L'exécution de code machine dans la mémoire

Je suis à essayer de comprendre comment exécuter du code machine stockées dans la mémoire.

J'ai le code suivant:

#include <stdio.h>
#include <stdlib.h>

int main(int argc, char* argv[])
{
    FILE* f = fopen(argv[1], "rb");

    fseek(f, 0, SEEK_END);
    unsigned int len = ftell(f);
    fseek(f, 0, SEEK_SET);

    char* bin = (char*)malloc(len);
    fread(bin, 1, len, f);

    fclose(f);

    return ((int (*)(int, char *)) bin)(argc-1, argv[1]);
}

Le code ci-dessus compile bien dans GCC, mais quand j'essaie d'exécuter le programme à partir de la ligne de commande comme ceci:

./my_prog /bin/echo hello

Le programme de segmentation. J'ai compris que le problème est sur la dernière ligne, comme en commentant les arrêts de l'erreur de segmentation.

Je ne pense pas que je vais le faire tout à fait le droit, car je suis toujours obtenir ma tête autour de pointeurs de fonction.

Est le problème à une défaillance de la fonte, ou quelque chose d'autre?

  • Charlie: Si jamais vous rendre sence de toutes ces réponses, plutôt coulé à l'aide d'un pointeur à une fonction que vous avez, vous pourriez être mieux adaptés à écrire des thunk qui gère la pile des arguments de façon dynamique. Si vous utilisez gcc, une fonction déclarée comme "fonction() attribut ((nu));" et voir gcc.gnu.org/onlinedocs/gcc/Function-Attributes.html pour plus d'exemples. De cette façon, vous pouvez appeler la même fonction qui décide si le chargement dynamique de code devra être fourni avec N le nombre d'arguments/convention d'appel etc... de toute façon, vous devriez probablement lookino FFI et autres.
  • Je suis sûr que l'OP est juste de l'incompréhension des fondements de la façon dont les fichiers exécutables de travail. Utiliser une bibliothèque de liens dynamiques pour l'exécution de votre propre code dynamique, et exec pour exécuter d'autres applications.
  • Vous avez entièrement raison. Je voulais voir si je pouvais faire cela, alors j'ai pensé "où puis-je trouver le code machine?", et a décidé de prendre juste un fichier exécutable sans réfléchir plus sérieusement à ça :/
  • Vous pouvez avoir de la chance et compilation pour web de l'assemblée.
InformationsquelleAutor anonymous coward | 2010-01-07
  1. 12

    Il me semble que vous êtes en train de charger une image ELF, puis en essayant de sauter directement dans l'en-tête ELF? http://en.wikipedia.org/wiki/Executable_and_Linkable_Format

    Si vous essayez d'exécuter une autre binaire, pourquoi n'utilisez-vous pas le processus de création des fonctions de la plate-forme que vous utilisez?

    • Je pense que c'est parce qu'il essaie de exec une application en mémoire, il est alloué, je ne crois pas que tout le processus de création de la fonction fonctionne comme ça. Fil de créer des fonctions de mai, mais il est loaing un fichier du disque vers la mémoire et ensuite essayer de le exec mémoire.
    • Si la mémoire n'est pas signalé comme exécuter il ne sera pas en mesure de l'exécuter, mais il est également le chargement d'un ELFE de fichier dans la mémoire et ensuite d'essayer d'appeler l'en-tête ELF, les quatre premiers octets sont 0x7f 'E', 'L', 'F'
    • Fait amusant: 0x7F est le principal opcode pour JNLE. Alors peut-être la première chose que le code est en train de faire un saut à la poubelle adresse? De toute façon: l'exécution d'une en-tête ELF n'est pas d'aller travailler.
    InformationsquelleAutor ta.speot.is
  2. 28

    Vous avez besoin d'une page à écrire des autorisations d'exécution. Voir mmap(2) et mprotect(2) si vous êtes sous unix. Vous ne devriez pas le faire à l'aide de malloc.

    Aussi, lire ce que les autres ont dit, vous ne pouvez exécuter raw code de l'ordinateur à l'aide de votre chargeur. Si vous essayez d'exécuter un en-tête ELF, il ne sera probablement erreur tout de même.

    Concernant le contenu des réponses et downmods:

    1 - OP a dit qu'il essayait d'exécuter du code machine, j'ai donc répondu sur ce, plutôt que de l'exécution d'un fichier exécutable.

    2 - Voir pourquoi vous ne mélangez pas de malloc et mman fonctions:

    #include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <sys/mman.h>

int main()
{
    char *a=malloc(10);
    char *b=malloc(10);
    char *c=malloc(10);
    memset (a,'a',4095);
    memset (b,'b',4095);
    memset (c,'c',4095);
    puts (a);
    memset (c,0xc3,10); /* return */

    /* c is not alligned to page boundary so this is NOOP.
     Many implementations include a header to malloc'ed data so it's always NOOP. */
    mprotect(c,10,PROT_READ|PROT_EXEC);
    b[0]='H'; /* oops it is still writeable. If you provided an alligned
    address it would segfault */
    char *d=mmap(0,4096,PROT_READ|PROT_WRITE|PROT_EXEC,MAP_PRIVATE|MAP_ANON,-1,0);
    memset (d,0xc3,4096);
    ((void(*)(void))d)();
    ((void(*)(void))c)(); /* oops it isn't executable */
    return 0;
}

    Il affiche exactement ce problème sur Linux x86_64 autre laid comportement sûr de se poser sur d'autres implémentations.

    • Je vais regarder à cela. J'ai eu le sentiment qu'il pourrait avoir quelque chose à voir avec cela.
    • Ce n'est pas correcte, vous pouvez le faire avec malloc, vous avez juste besoin d'utiliser mprotect.
    • OK, si vous LISEZ son CODE, vous le voyez CHARGEMENT d'un FICHIER à EXÉCUTER. Le FAIT que c'est un BINAIRE COMPILÉ, signifie que c'est le texte de la zone est de la TAILLE de la PAGE ALIGNÉ DÉJÀ. Si il mprotect le TAS, alors la SEULE POSSIABLE PROBLÈME, est le fichier qu'il est CHARGÉ d'EXÉCUTER ont certains de la .les données éventuellement MARQUÉ EXEC s'il n'est pas ajusté pour que lui-même. Mais n'est PAS leur PROBLÈME avec le fait de faire le TAS +x, JAVA et MONO le faire tout le temps.
    • Ne soyez pas trop excités, mmap, mprotect, etc. seulement protéger/déprotéger dans les pages, pas d'octets. malloc implémentations de mettre malloc ed de données dans préaffectés morceaux donc, si vous changez les protections dans votre morceau, il est susceptible d'être ajouté ou ajouté à d'autres malloc ed le partage des données de la même page(s). Si vous utilisez mprotect les protections vont être (r|)w|x ou x|r, en tout cas, votre r|w données de la page(s) ne va pas comme il ie. erreur de segmentation ou vous êtes en laissant les données à la disposition d'introduire le code de l'exécutable.
    • ya, ne vous inquiétez pas je me suis calmé un tout, même des décidé que votre post utile après votre exemple de code. Cependant dans tous les cas, si vous voyez de mon code, malloc fonctionne très bien +rwx, même si vous l'ajoutez gratuitement à tous les 3 du tas mémoire allouée que l'exemple que je montre l'appelle, n'est pas leur problème ou de tout problème de stabilité. La seule chose est que vous pouvez légèrement la permission de la mémoire sur le tas involontairement car +x, mais c'est vraiment pas une grosse affaire.
    InformationsquelleAutor jbcreix
  3. 12

    À l'aide de malloc fonctionne très bien.

    OK c'est ma dernière réponse, veuillez noter que j'ai utilisé l'original de l'affiche du code.
    Je suis de chargement de disque, la version compilée de ce code à un segment de mémoire allouée zone "bin", tout comme l'originale code (le nom est fixé non pas à l'aide argv, et la valeur 0x674 est de; 

    objdump -F -D foo|grep -i hoho
08048674 <hohoho> (File Offset: 0x674):

    Ceci peut être regardé, au moment de l'exécution de la BFD (Binaire Descripteur de Fichier de la bibliothèque) ou quelque chose d'autre, vous pouvez appeler d'autres fichiers binaires (et pas seulement vous-même), tant qu'ils sont liés statiquement le même ensemble de lib de l'.

    #include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/mman.h>

unsigned char *charp;
unsigned char *bin;

void hohoho()
{
   printf("merry mas\n");
   fflush(stdout);
}

int main(int argc, char **argv)
{
   int what;

   charp = malloc(10101);
   memset(charp, 0xc3, 10101);
   mprotect(charp, 10101, PROT_EXEC | PROT_READ | PROT_WRITE);

   __asm__("leal charp, %eax");
   __asm__("call (%eax)" );

   printf("am I alive?\n");

   char *more = strdup("more heap operations");
   printf("%s\n", more);

   FILE* f = fopen("foo", "rb");

   fseek(f, 0, SEEK_END);
   unsigned int len = ftell(f);
   fseek(f, 0, SEEK_SET);

   bin = (char*)malloc(len);
   printf("read in %d\n", fread(bin, 1, len, f));
   printf("%p\n", bin);

   fclose(f);
   mprotect(&bin, 10101, PROT_EXEC | PROT_READ | PROT_WRITE);

   asm volatile ("movl %0, %%eax"::"g"(bin));
   __asm__("addl $0x674, %eax");
   __asm__("call %eax" );
   fflush(stdout);

   return 0;
}

    en cours d'exécution...

    co tmp # ./foo
am I alive?
more heap operations
read in 30180
0x804d910
merry mas

    Vous pouvez utiliser UPX à gérer la charge de travail/modifier/exec d'un fichier.

    P. S. désolé pour le précédent lien brisé 😐

    • Remarque ce EST de la croix-plate-forme et totalement abstrait les détails des spécifications de format de fichier ou de toute sorte d'obligation de jouer avec la page de protections et ces.
    • Pffft, Ilove descendre voté avec aucun raisonnement, get real. UPX est LA façon todo ce, en utilisant autre chose est naieve. Vous pouvez easially soit l'utiliser pour charger des fichiers exe pour vous ou c'est moins le niveau de l'api qui émettent de la dynamique de l'assemblage des talons qui permet de charger/exécuter des blocs de mémoire comprimé ou autre.
    • Eh bien, nous ne savons pas comment il va obtenir le code de l'ordinateur dans la mémoire. S'il écrit un interpréteur de bytecode et le code sera généré dans la mémoire? Lors du chargement de "echo" (comme incorrecte car le code est) aurait été une preuve de concept que le code peut être généré et exécuté à la volée.
    • malloc ne garantit pas la page d'alignement, votre code peut ou peut ne pas fonctionner. vous pouvez utiliser une page alignés sous-ensemble de la mallocd bloc, qui serait à l'abri, ou peut-être l'utiliser posix_memalign si vous l'avez
    • Espérons que vous n'avez pas l'esprit de mon montage, votre UPX lien pointant quelque part scummy
    • Merci pour la fixation du lien, et oui c'est assez sloppilly mettre ensemble dès maintenant 🙂 Mais il ne EXACTALLY ce que Charlie a demandé, l'homme j'espère obtenir une accepté de répondre pour cette ahha
    • Maintenant, comment pouvons-nous faire pour dynamiquement lié Elfes?
    • J'ai été googler pour combien de compilation JIT est effectuée et trouvé votre réponse - JIBL juste à temps binaire de chargement LOL. +1 car il donne une idée.
    • Je ne comprends pas, comment peut-il être de la croix-plate-forme avec processeur intel assemblée là-dedans? Vous pouvez exécuter le code en C sur un Raspberry Pi, PS 2, un PDP-11 ou même un AS400.

    InformationsquelleAutor RandomNickName42
  4. 3

    Un typique fichier exécutable a:

    • un en-tête
    • le code d'entrée qui est appelée avant main(int, char **)

    La première signifie que vous ne pouvez généralement s'attendre octet 0 du fichier exécutable; intead, les informations contenues dans l'en-tête décrit comment charger le reste du fichier en mémoire et par où commencer l'exécution de ce.

    La seconde signifie que lorsque vous avez trouvé le point d'entrée, vous ne pouvez pas vous attendre à le traiter comme une fonction C en prenant les arguments (int, char **). Il peut, peut-être, être utilisable comme une fonction prenant pas paramétrée (et donc nécessitant rien d'être poussé en avant de l'appeler). Mais vous ne devez remplir l'environnement qui va à son tour être utilisé par le code d'entrée pour construire la ligne de commande chaînes passées à main.

    Faire cela à la main sous un OS serait aller dans la profondeur qui est au delà de moi; mais je suis sûr qu'il est beaucoup plus agréable de faire ce que vous essayez de faire. Êtes-vous essayer d'exécuter un fichier externe comme un marche-arrêt de l'opération, ou de la charge externe binaire et de traiter ses fonctions dans le cadre de votre programme? Les deux sont pris en charge par les librairies en C sous Unix.

    InformationsquelleAutor Edmund
  5. 3

    Ce que vous essayez de faire est quelque chose de semblable à ce que les interprètes ne. Sauf qu'un interpréteur lit d'un programme écrit dans un langage interprété comme le Python, qui compile le code à la volée, met le code de l'exécutable en mémoire, puis l'exécute.

    Vous pouvez lire plus à propos de " juste-à-temps de compilation trop:

    Juste au moment de la compilation

    Java HotSpot JIT runtime

    Il existe des bibliothèques disponibles pour JIT génération de code tels que la GNU foudre et libJIT, si vous êtes intéressé. Que vous avez à faire beaucoup plus que juste de la lecture du fichier et en essayant d'exécuter du code. Un exemple de scénario d'utilisation sera:

    1. Lire un programme écrit dans un script-langue (peut-être
      votre propre).
    2. Analyser et compiler le code source dans un
      intermédiaire langue comprise par
      l'équipe de la bibliothèque.
    3. Utiliser l'équipe de la bibliothèque pour générer le code
      par cet intermédiaire
      la représentation, pour votre plate-forme cible centrale.
    4. Exécuter le JIT code généré.

    Et d'exécuter le code que vous auriez à utiliser des techniques telles que l'utilisation de mmap() à la carte le code exécutable dans l'espace d'adressage du processus, le marquage de la page exécutable et le saut à ce morceau de mémoire. C'est plus compliqué que cela, mais c'est un bon début pour comprendre ce qu'il se passe en dessous de tous ces interprètes de langages de script comme Python, Ruby, etc.

    La version en ligne du livre "Les Linkers et les Chargeurs" vous donnera plus d'informations sur l'objet de formats de fichiers, ce qui se passe derrière les coulisses lors de l'exécution d'un programme, les rôles des linkers et les chargeurs et ainsi de suite. C'est une très bonne lecture.

    InformationsquelleAutor Sudhanshu
  6. 3

    Il est plus probable que c'est le code qui est sauté par l'appel à l'aide de la fonction de pointeur qui est à l'origine de l'erreur plutôt que de l'appel lui-même. Il n'y a aucun moyen de le code que vous avez posté pour déterminer que le code chargé dans le bac est valide. Votre meilleur pari est d'utiliser un débogueur, passer à l'assembleur vue, pause sur l'instruction de retour et étape dans l'appel de la fonction pour déterminer que le code que vous vous attendez à exécuter est en effet en cours d'exécution, et qu'il est valide.

    Note également que, pour fonctionner à tous les code devra être indépendant de la position et entièrement résolu.

    En outre, si votre processeur/système d'exploitation permet à la prévention d'exécution des données, puis la tentative est probablement vouée à l'échec. Il est, au mieux, mal conseillé dans tous les cas, le chargement de code est ce que l'OS est pour.

    • Ya, bien sur la position indépendante, Charlie utilisez l'option-fPIC si vous utilisez gcc, mais unfortnatly sur Windows, leur est pas facile d'obtenir compilés PIC C applications.
    InformationsquelleAutor Clifford
  7. 2

    Utiliser le système d'exploitation pour le chargement et l'exécution de programmes.

    Sur unix, le exec appels peuvent le faire.

    Votre extrait de code dans la question pourrait être réécrite:

    #include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

int main(int argc, char* argv[])
{
    return execv(argv[1],argv+2);
}
    • exec ne le fait pas, il essaie de charger l'application dans la mémoire manuellement. exec s'attendre à un chemin de fichier en argument, pas une &adresse de mémoire.
    • Il ouvre le binaire à l'aide de fopen et puis essaye de faire le saut en elle. Si il venais juste de réussir ce chemin pour exec... Thx pour le downmod.
    • Si vous préciser pour moi comment vous pensez exec ne fait ce qu'il a demandé, ce qui est "exécuter machiene code dans la mémoire", je vais prendre toute downvote sur vous en un instant, cependant, il est totalement pas ce qu'il a demandé à partir de ce que je peux dire. Merci pour les associés en bas de vote.
    • Je n'ai pas downvoted UPX. J'ai ajouté un coupe-pâte-changement du code dans la question d'origine.
    • Comme Bruce Lee a dit une fois "Mon style? C'est comme l'art du combat sans combattre." une belle.
    InformationsquelleAutor Will
  8. 1

    Vous pouvez dlopen() sur un fichier, recherchez le symbole "main" et de l'appeler avec 0, 1, 2 ou 3 arguments (tous de type char*) par une troupe de pointeur de fonction-retour-int-prendre-0,1,2,ou3-char*

    • à l'aide d'une méthode comme ceci votre voulez probablement à la recherche __libc_start_principaux
    InformationsquelleAutor haavee
  9. 0

    Fichiers exécutables qui contiennent beaucoup plus que juste le code. L'en-tête, de code, de données, de plus en plus de données, ce genre de choses est séparé et chargé dans les différentes zones de la mémoire par le système d'exploitation et de ses bibliothèques. Vous ne pouvez pas charger un fichier de programme dans un seul morceau de la mémoire et de s'attendre à passer du premier octet.

    Si vous essayez d'exécuter votre propre code arbitraire, vous avez besoin de regarder dans les bibliothèques dynamiques parce que c'est exactement ce qu'ils sont pour.

    • Pas MS-dos .COM fichiers, ils sont juste une image binaire de la machine code - dommage qu'ils étaient limité à 64 ko...
    InformationsquelleAutor Jimbo