在 x86-64 上對 system call 使用 conditional break
在瞭解目標模組的動態行為時, 最近覺得從模組的 public interface 設中斷點是滿不錯的作法。廣意來說, system call 則是最一般化的 public interface, 從 system call 回頭夾擊目標也滿有效的。比方像這篇用 strace 找到切入點。
若想獲得更多資訊, 可以用 gdb 在 system call 上設中斷點, 一步步從退回來找到呼叫者、傳遞的資料等更多訊息。但在尋找 write、send 這類廣為使用的 system call 時, 被呼叫的次數過於頻繁, 就有點難找了。
查了一下, 看到這篇提到從 register 設定 conditional break 的方法:
(gdb) b write if 1==$rdi # stop only when write(1, ...)
Scott 補充了以下的資訊:
要在 syscall argument 上設條件,且要 portable 以目前的工具不容易。用 gdb 的話需能背出**『x86-64 上參數依序擺在 rdi, rsi, rdx, rcx, r8d, r9d』**。 x86-64 上特別好記,因 syscall 與 一般 function call 被設計成將參數擺在同位置。ARM 上還有 64bit 參數開頭一定擺在偶數暫存器如 r0-r1, r2-r3 而不擺在 r1-r2 等規則。
目前 gdb 沒有將 syscall parameter 存在如 $syscall_arg0 的 convenience variable 中,否則寫: catch syscall write if $syscall_arg0 == 1 即可。
用 "system call calling convention" 當關鍵字查到**《What are the calling conventions for UNIX & Linux system calls on x86-64》**, 文中有許多相關資訊, 就先備忘吧。
