首页 / 问题 / 正文

如何在Linux上在Python中调用内联机器码?

18 投票
3 回答
2401 浏览
提问于 2025-04-16 18:24

我正在尝试在Linux上从纯Python代码调用内联的机器代码。为此,我把代码嵌入到一个字节字面量中。

code = b"\x55\x89\xe5\x5d\xc3"

然后我通过mprotect()调用来允许执行包含代码的页面。最后,我尝试使用ctypes来调用这些代码。以下是我的完整代码:

#!/usr/bin/python3

from ctypes import *

# Initialise ctypes prototype for mprotect().
# According to the manpage:
#     int mprotect(const void *addr, size_t len, int prot);
libc = CDLL("libc.so.6")
mprotect = libc.mprotect
mprotect.restype = c_int
mprotect.argtypes = [c_void_p, c_size_t, c_int]

# PROT_xxxx constants
# Output of gcc -E -dM -x c /usr/include/sys/mman.h | grep PROT_
#     #define PROT_NONE 0x0
#     #define PROT_READ 0x1
#     #define PROT_WRITE 0x2
#     #define PROT_EXEC 0x4
#     #define PROT_GROWSDOWN 0x01000000
#     #define PROT_GROWSUP 0x02000000
PROT_NONE = 0x0
PROT_READ = 0x1
PROT_WRITE = 0x2
PROT_EXEC = 0x4

# Machine code of an empty C function, generated with gcc
# Disassembly:
#     55        push   %ebp
#     89 e5     mov    %esp,%ebp
#     5d        pop    %ebp
#     c3        ret
code = b"\x55\x89\xe5\x5d\xc3"

# Get the address of the code
addr = addressof(c_char_p(code))

# Get the start of the page containing the code and set the permissions
pagesize = 0x1000
pagestart = addr & ~(pagesize - 1)
if mprotect(pagestart, pagesize, PROT_READ|PROT_WRITE|PROT_EXEC):
    raise RuntimeError("Failed to set permissions using mprotect()")

# Generate ctypes function object from code
functype = CFUNCTYPE(None)
f = functype(addr)

# Call the function
print("Calling f()")
f()

这段代码在最后一行出现了段错误(segfault)。

  1. 我为什么会遇到段错误?mprotect()调用显示成功,所以我应该可以在这个页面上执行代码。

  2. 有没有办法修复这段代码?我真的能在纯Python中调用机器代码并在当前进程中执行吗?

(一些进一步的说明:我并不是在追求某个目标——我只是想理解事情是如何运作的。我还尝试在mprotect()调用中使用2*pagesize而不是pagesize,以排除我的5个字节代码落在页面边界的情况——这本来就不应该发生。我使用的是Python 3.1.3进行测试。我的机器是32位的i386盒子。我知道一个可能的解决方案是从纯Python代码创建一个ELF共享对象并通过ctypes加载它,但这不是我想要的答案 :)

编辑:以下是代码的C版本,运行得很好:

#include <sys/mman.h>

char code[] = "\x55\x89\xe5\x5d\xc3";
const int pagesize = 0x1000;

int main()
{
    mprotect((int)code & ~(pagesize - 1), pagesize,
             PROT_READ|PROT_WRITE|PROT_EXEC);
    ((void(*)())code)();
}

编辑2:我找到了代码中的错误。那一行

addr = addressof(c_char_p(code))

首先创建了一个指向bytes实例code开头的char*的ctypes指针。对这个指针应用addressof()并不会返回这个指针所指向的地址,而是返回指针本身的地址。

我找到的获取代码开头地址的最简单方法是

addr = addressof(cast(c_char_p(code), POINTER(c_char)).contents)

如果有更简单的解决方案提示,我会很感激 :)

修复这一行后,上面的代码“工作”了(意思是它什么也不做,而不是出现段错误...)。

Linux ctypes 段错误 mprotect 内联机器码 字节字面量 ELF共享对象 机器代码执行

3 个回答

2

我建议你先在C语言中让你的代码运行起来,然后再转到ctypes。如果你只是想在Python中执行汇编代码,还有一个叫做CorePy的东西可以用。

回答于 2025-04-16 由 Python大师
分享 举报
3

你可能需要清空指令缓存

对我来说,不太清楚 mprotect() 是否会自动执行这个操作。

[更新]

当然,如果我看了cacheflush()的文档,就会发现它只适用于MIPS架构(根据手册页的说法)。

假设这是x86架构,你可能需要调用WBINVD(或者CLFLUSH)指令。

一般来说,自修改代码需要清空指令缓存,但据我所知,没有一种通用的方法可以做到这一点。

回答于 2025-04-16 由 Python大师
分享 举报
7

我快速调试了一下,发现指向code的指针没有正确构建。在内部,ctypes在把函数指针传递给ffi_call()之前搞砸了一些东西,这导致代码无法正常执行。

这是在ffi_call_unix64()中的一行代码(我在使用64位系统),这里把函数指针保存到了%r11里:

57   movq    %r8, %r11               /* Save a copy of the target fn.

当我执行你的代码时,这里是调用之前加载到%r11里的值:

(gdb) x/5b $r11
0x7ffff7f186d0: -108    24      -122    0       0

这是构建指针并调用函数的修复方法:

raw = b"\x55\x89\xe5\x5d\xc3"
code = create_string_buffer(raw)
addr = addressof(code)

现在当我运行它时,我在那个地址看到了正确的字节,函数也能正常执行了:

(gdb) x/5b $r11
0x7ffff7f186d0: 0x55    0x89    0xe5    0x5d    0xc3
回答于 2025-04-16 由 Python大师
分享 举报

撰写回答