2. 程式人生 > >linux0.11 execve系統呼叫分析

linux0.11 execve系統呼叫分析

阿新 發佈:2019-01-01
    在Linux平臺下,我們一般都是在命令列下鍵入"./hello"來執行一個當前目錄下的hello應用程式("./"指定當前目錄)。雖然看似很簡單,但這麼小小的一個操作其實涉及到了很多的知識。比如:shell是如何將hello調入記憶體的?hello在執行前shell執行了哪些操作?hello的父程序又是哪個?回答這些問題之前我們先來看下面的一個例子:
這個例子包含兩個程式,第一個test_hello程式可以看成是hello的父程序,因為在test_hello中呼叫了fork函式生成一個子程序,並在子程序中呼叫execve函式執行hello程式。最後父程序等待子程序的退出,並打印出子程序的退出碼。第二個hello程式簡單的將main函式的引數和環境變數打印出來。

test_hello.c程式碼:

#include <stdio.h>
#include <stdlib.h>

char * argv[]={ "arg1","arg2", NULL };
char * envp[] = { "PATH=/home", NULL };

int main()
{
	int pid;
	int i;
	if(!(pid=fork()))
	{
		execve("hello",argv,envp);
	}
	else
		printf("child pid %d\n\n",pid);

	while (1)
		if (pid == wait(&i))
			break;
	printf("\n\rchild %d died with code %04x\n\r",pid,i);
	return 0;
}
hello.c程式碼: 
#include <stdio.h>

int main(int argc, char **argv, char **envp)
{
	int i;
	printf("hello program start\n");
	for(i=0;i<argc;i++)
		printf("argv: %s\n",argv[i]);
	printf("arge: %s\n",envp[0]);

	printf("hello program end\n");
	return 0x05;
}
在同一個目錄下將上面兩個程式進行編譯連結,然後執行"./test_hello",最後列印結果如下: 
 
[email protected]:~/gcc$ ./test_hello 
child pid 3690

hello program start
argv: arg1
argv: arg2
arge: PATH=/home
hello program end

child 3690 died with code 0500
    從執行的結果可以看出,首先test_hello父程序先執行列印處子程序的pid,然後子程序通過執行execve系統呼叫將hello程式裝載進來並執行,打印出execve系統呼叫向hello程式傳遞的引數和環境變數,最後hello退出後父程序也將終止wait並退出。上面程式其實就是一個說明shell執行機制的簡單例子(實際的shell遠比這複雜),為什麼這麼說呢?首先可以把test_hello看成是"shell",然後把hello看成是我們的"命令"(ls, echo 類似的命令),而hello的執行依靠的是test_hello,並且hello的引數也是由test_hello來傳遞,這與我們平常用的shell道理是一致的(比如: ls -l /etc/passwd),只不過我們平常用的shell沒有顯示的呼叫而已(/bin/sh)。
    所以簡單來說,shell執行一個命令就是這麼一個過程:首先fork出一個子程序,然後在子程序中execve這個命令程式,並傳遞命令程式的引數和環境變數,最後在父程序中wait子程序退出。

    下面再通過分析linux0.11的execve系統呼叫來進一步說明一個程式的執行過程。首先來看一下linux0.11的init程序中關於shell啟動的程式碼部分:

static char * argv[] = { "-/bin/sh",NULL };
static char * envp[] = { "HOME=/usr/root", NULL };

void init(void)
{
/*... 省略前面程式碼...*/	

	while (1) {
		if ((pid=fork())<0) {
			printf("Fork failed in init\r\n");
			continue;
		}
		if (!pid) {
			close(0);close(1);close(2);
			setsid();
			(void) open("/dev/tty0",O_RDWR,0);
			(void) dup(0);
			(void) dup(0);
			_exit(execve("/bin/sh",argv,envp));
		}
		while (1)
			if (pid == wait(&i))
				break;
		printf("\n\rchild %d died with code %04x\n\r",pid,i);
		sync();
	}

	_exit(0);	/* NOTE! _exit, not exit() */
}
    上面的init函式其實就是在所謂的init程序中執行,在該函式中可以看到包含一個while迴圈,在迴圈中首先fork出一個子程序,然後在子程序中執行shell終端程式(/bin/sh),父程序一直等待子程序退出。當子程序退出後(shell中執行exit命令),父程序將break等待,然後又重新fork子程序並執行shell程式,父程序又等待,如此形成一個迴圈(似乎只有強制關機才可“退出”)。
    上述程式碼我們只關注execve("/bin/sh",argv,envp)函式,其它的先不管。按照最開始的分析,執行這條語句將啟動/bin/sh程式,並給該程式傳遞argv引數和envp環境變數。注意sh也只是一個正常的具有main函式的可執行程式而已,只不過它的功能與我們平常寫的程式稍有不同,它會讀取使用者在命令列輸入的程式名以及相應引數,然後fork出一個子程序去execve這個程式,子程式執行完成後又回到命令列等待輸入,最後一直迴圈這個過程(似乎跟init函式有點類似,不過概念完全不同)。所以execve所做的工作就是將所要執行的程式調入記憶體並執行,準確的說應該是將fork出來的子程序替換成所要執行的程式。那麼這個替換又是如何進行的呢?下面具體分析execve這個系統呼叫。
    首先execve函式將呼叫system_call.s檔案中的sys_execve函式,該函式如下所示: 
sys_execve:
	lea EIP(%esp),%eax
	pushl %eax
	call do_execve
	addl $4,%esp
	ret
    可以看到sys_execve內部其實又呼叫的是exec.c檔案中的do_execve函式,但是注意在呼叫do_execve函式前的pushl %eax語句,這條語句其實是給do_execve函式壓入引數,根據C語言引數傳遞規則,do_execve函式的第一個引數即為eax暫存器的值,而eax暫存器中存放的內容為子程序進行系統呼叫時壓入子程序核心態堆疊的eip指標,也即系統呼叫的返回地址,所以這裡可以猜想do_execve函式內部可能會對該eip指標進行修改。
    接下來再來看一下do_execve函式宣告:
int do_execve(unsigned long * eip,long tmp,char * filename, char ** argv, char ** envp)
    我們已經知道了第一個引數的由來以及含義,第二個引數其實是sys_execve函式的返回地址(call sys_execve指令自動產生),這裡並沒有用,接下來的3個引數即為C程式中執行execve系統呼叫所傳遞進來的3個引數,他們分別是:可執行程式的全路徑名稱,引數以及環境變數。
    在具體研究do_execve函式前,再先大概瞭解一下gcc1.3版本編譯出來的a.out格式的可執行檔案結構。linux0.11支援的可執行檔案格式為a.out(現在採用的是ELF檔案格式),每個二進位制的執行檔案的頭部資料都從下面資料結構開始: 
struct exec {
  unsigned long a_magic;	/* Use macros N_MAGIC, etc for access */
  unsigned a_text;		/* length of text, in bytes */
  unsigned a_data;		/* length of data, in bytes */
  unsigned a_bss;		/* length of uninitialized data area for file, in bytes */
  unsigned a_syms;		/* length of symbol table data in file, in bytes */
  unsigned a_entry;		/* start address */
  unsigned a_trsize;		/* length of relocation info for text, in bytes */
  unsigned a_drsize;		/* length of relocation info for data, in bytes */
};
    這個結構就基本上描述了該可執行程式的必要資訊,比如:程式碼段,資料段,bss段的長度,應用程式的入口地址a_entry等。所以可以想象,如果將子程序的eip替換為a_entry,就應該可以執行該可執行檔案了,當然還必須要設定堆疊指標以及程序描述符。因此do_execve函式完成的功能應該包含上述的這些操作(設定堆疊,設定程序描述符,替換eip),其中對於堆疊的操作稍微複雜點。堆疊操作的過程其實是將可執行程式的引數和環境變數複製到64M線性空間的末尾128KB處(128KB足夠放很多引數了),並且為這些引數和環境變數建立對應的指標表(因為要訪問這些引數,肯定要定義指向這些引數的指標了),最終的堆疊指標p將指向指標表的第一個元素(因為在進入main函式時需要從堆疊中彈出3個引數:1個整型引數argc和2個字串指標引數argv,envp,所以p應指向整型引數argc)。最終程序的64M線性空間的佈局如下所示:

    從do_execve函式的原始碼可以看到,如我們想象的那樣,do_execve函式最後修改了子程序的eip和esp,這樣函式返回後將執行可執行程式的內容。

eip[0] = ex.a_entry;       /* eip, magic happens :-) */
eip[3] = p;                /* stack pointer */
    至此,關於do_execve函式的功能介紹到這裡,總結一下:對於一個a.out格式的可執行檔案,首先獲取該檔案的inode節點指標,並判斷該檔案的屬性以及執行許可權,然後獲取可執行檔案的a.out頭結構指標ex,根據ex結構判斷可執行檔案是否符合標準,然後對子程序的程序描述符的相關欄位進行賦值,最後修改子程序核心態堆疊中eip和esp並返回。返回後,fork出來的子程序將被可執行程式替代並執行。其中關於執行指令碼檔案相關的程式碼沒有分析(#!),因為這部分程式碼僅在執行檔案為shell指令碼的時候可用。


附do_execve函式原始碼:
int do_execve(unsigned long * eip,long tmp,char * filename,
	char ** argv, char ** envp)
{
	struct m_inode * inode;
	struct buffer_head * bh;
	struct exec ex;
	unsigned long page[MAX_ARG_PAGES];
	int i,argc,envc;
	int e_uid, e_gid;
	int retval;
	int sh_bang = 0;
	unsigned long p=PAGE_SIZE*MAX_ARG_PAGES-4;

	if ((0xffff & eip[1]) != 0x000f)
		panic("execve called from supervisor mode");
	for (i=0 ; i<MAX_ARG_PAGES ; i++)	/* clear page-table */
		page[i]=0;
	if (!(inode=namei(filename)))		/* get executables inode */
		return -ENOENT;
	argc = count(argv);
	envc = count(envp);
	
restart_interp:
	if (!S_ISREG(inode->i_mode)) {	/* must be regular file */
		retval = -EACCES;
		goto exec_error2;
	}
	i = inode->i_mode;
	e_uid = (i & S_ISUID) ? inode->i_uid : current->euid;
	e_gid = (i & S_ISGID) ? inode->i_gid : current->egid;
	if (current->euid == inode->i_uid)
		i >>= 6;
	else if (current->egid == inode->i_gid)
		i >>= 3;
	if (!(i & 1) &&
	    !((inode->i_mode & 0111) && suser())) {
		retval = -ENOEXEC;
		goto exec_error2;
	}
	if (!(bh = bread(inode->i_dev,inode->i_zone[0]))) {
		retval = -EACCES;
		goto exec_error2;
	}
	ex = *((struct exec *) bh->b_data);	/* read exec-header */
	if ((bh->b_data[0] == '#') && (bh->b_data[1] == '!') && (!sh_bang)) {
		/*
		 * This section does the #! interpretation.
		 * Sorta complicated, but hopefully it will work.  -TYT
		 */

		char buf[1023], *cp, *interp, *i_name, *i_arg;
		unsigned long old_fs;

		strncpy(buf, bh->b_data+2, 1022);
		brelse(bh);
		iput(inode);
		buf[1022] = '\0';
		if ((cp = strchr(buf, '\n'))) {
			*cp = '\0';
			for (cp = buf; (*cp == ' ') || (*cp == '\t'); cp++);
		}
		if (!cp || *cp == '\0') {
			retval = -ENOEXEC; /* No interpreter name found */
			goto exec_error1;
		}
		interp = i_name = cp;
		i_arg = 0;
		for ( ; *cp && (*cp != ' ') && (*cp != '\t'); cp++) {
 			if (*cp == '/')
				i_name = cp+1;
		}
		if (*cp) {
			*cp++ = '\0';
			i_arg = cp;
		}
		/*
		 * OK, we've parsed out the interpreter name and
		 * (optional) argument.
		 */
		if (sh_bang++ == 0) {
			p = copy_strings(envc, envp, page, p, 0);
			p = copy_strings(--argc, argv+1, page, p, 0);
		}
		/*
		 * Splice in (1) the interpreter's name for argv[0]
		 *           (2) (optional) argument to interpreter
		 *           (3) filename of shell script
		 *
		 * This is done in reverse order, because of how the
		 * user environment and arguments are stored.
		 */
		p = copy_strings(1, &filename, page, p, 1);
		argc++;
		if (i_arg) {
			p = copy_strings(1, &i_arg, page, p, 2);
			argc++;
		}
		p = copy_strings(1, &i_name, page, p, 2);
		argc++;
		if (!p) {
			retval = -ENOMEM;
			goto exec_error1;
		}
		/*
		 * OK, now restart the process with the interpreter's inode.
		 */
		old_fs = get_fs();
		set_fs(get_ds());
		if (!(inode=namei(interp))) { /* get executables inode */
			set_fs(old_fs);
			retval = -ENOENT;
			goto exec_error1;
		}
		set_fs(old_fs);
		goto restart_interp;
	}
	brelse(bh);
	if (N_MAGIC(ex) != ZMAGIC || ex.a_trsize || ex.a_drsize ||
		ex.a_text+ex.a_data+ex.a_bss>0x3000000 ||
		inode->i_size < ex.a_text+ex.a_data+ex.a_syms+N_TXTOFF(ex)) {
		retval = -ENOEXEC;
		goto exec_error2;
	}
	if (N_TXTOFF(ex) != BLOCK_SIZE) {
		printk("%s: N_TXTOFF != BLOCK_SIZE. See a.out.h.", filename);
		retval = -ENOEXEC;
		goto exec_error2;
	}
	if (!sh_bang) {
		p = copy_strings(envc,envp,page,p,0);
		p = copy_strings(argc,argv,page,p,0);
		if (!p) {
			retval = -ENOMEM;
			goto exec_error2;
		}
	}
/* OK, This is the point of no return */
	if (current->executable)
		iput(current->executable);
	current->executable = inode;
	for (i=0 ; i<32 ; i++)
		current->sigaction[i].sa_handler = NULL;
	for (i=0 ; i<NR_OPEN ; i++)
		if ((current->close_on_exec>>i)&1)
			sys_close(i);
	current->close_on_exec = 0;
	free_page_tables(get_base(current->ldt[1]),get_limit(0x0f));
	free_page_tables(get_base(current->ldt[2]),get_limit(0x17));
	if (last_task_used_math == current)
		last_task_used_math = NULL;
	current->used_math = 0;
	p += change_ldt(ex.a_text,page)-MAX_ARG_PAGES*PAGE_SIZE;
	p = (unsigned long) create_tables((char *)p,argc,envc);
	current->brk = ex.a_bss +
		(current->end_data = ex.a_data +
		(current->end_code = ex.a_text));
	current->start_stack = p & 0xfffff000;
	current->euid = e_uid;
	current->egid = e_gid;
	i = ex.a_text+ex.a_data;
	while (i&0xfff)
		put_fs_byte(0,(char *) (i++));
	eip[0] = ex.a_entry;		/* eip, magic happens :-) */
	eip[3] = p;			/* stack pointer */
	return 0;
exec_error2:
	iput(inode);
exec_error1:
	for (i=0 ; i<MAX_ARG_PAGES ; i++)
		free_page(page[i]);
	return(retval);
}


相關推薦

linux0.11 execve系統呼叫分析

    在Linux平臺下,我們一般都是在命令列下鍵入"./hello"來執行一個當前目錄下的hello應用程式("./"指定當前目錄)。雖然看似很簡單,但這麼小小的一個操作其實涉及到了很多的知識。比如:shell是如何將hello調入記憶體的?hello在執行前shell

第一次作業:基於Linux0.11操作系統的進程模型分析

機制 中斷處理程序 soft page tab nr_open sched move 關閉 1.前言 本文基於Linux0.11操作系統的源代碼,分析其進程模型。 Linux0.11下載地址:https://zhidao.baidu.com/share/20396e1704

linux0.11中head.s分析

/* *注意!32位啟動程式碼是從絕對地址0x0000 0000開始的,這裡同樣也是頁目錄 *將要存在的地方,因此啟動程式碼會被頁目錄覆蓋掉 */ .text .globl _idt,_gdt,_pg_dir,_tmp_floppy_area _pg_dir: !頁

Linux0.11中斷及系統呼叫

中斷簡介Linux0.11使用的Intel i386晶片共有256箇中斷,表現為中斷號0~255.其中前0~31號中斷已經由Intel預定義,其餘中斷號為可程式設計中斷。32~47號分別對應linux的16個硬體中斷訊號(包括時鐘、鍵盤、軟盤等)。0x80中斷即128號中斷為

Linux fsync和fdatasync系統呼叫實現分析(Ext4檔案系統

參考:https://blog.csdn.net/luckyapple1028/article/details/61413724 在Linux系統中,對檔案系統上檔案的讀寫一般是通過頁快取(page cache)進行的(DirectIO除外),這樣設計的可以延時磁碟IO的操作,從而可以減少磁碟讀

《深入分析JavaWeb技術內幕》之 11-Tomcat系統架構與設計模式

1、 分發請求 2 、同時請求 3、 多級容器 4、 設計模式 Tomcat的組織結構 https://www.cnblogs.com/zhouyuqin/p/5143121.html   Tomcat Server處理一個HTTP請求的

win10系統呼叫架構分析

1.  作業系統模型 大多數作業系統中,都會把應用程式和核心程式碼分離執行在不同的模式下。核心模式訪問系統資料和硬體,應用程式執行在沒有特權的模式下(使用者模式),只能使用有限的API,且不能直接訪問硬體。當用戶模式呼叫系統服務時,CPU執行一個特殊的指令以切換到核

linux核心剖析---Linux系統呼叫詳解(實現機制分析

本文介紹了系統呼叫的一些實現細節。首先分析了系統呼叫的意義,它們與庫函式和應用程式介面(API)有怎樣的關係。然後,我們考察了Linux核心如何實現系統呼叫,以及執行系統呼叫的連鎖反應:陷入核心,傳遞系統呼叫號和引數,執行正確的系統呼叫函式,並把返回值帶回使用者空間。最後

linux0.11程序睡眠sleep_on函式和喚醒wake_up函式分析

核心中的這兩個函式主要用於訪問資源時的同步操作。高速緩衝區的訪問就是其中的一個例子:如果兩個程序都要訪問同一個緩衝塊,那麼其中的一個程序就必然睡眠等待,直到該緩衝塊被釋放才可訪問。趙炯博士所著的linux0.11核心完全註釋一書中也是對該問題進行詳細的討論,但是我在閱讀這部

易學筆記-系統分析師考試-第11章 軟體需求工程/11.3 需求分析/11.3.2 需求分析的方法

需求分析的方法 PDOA方法(面向問題域的分析(Problem Domain Oriented Analysis)) 概念:是一種比較新的分析技術,注重描述,少強調建模 組成 關於問題域 用一

易學筆記-系統分析師考試-第11章 軟體需求工程/11.3 需求分析/11.3.1 需求分析的任務

一份好的需求應該具備的特徵 無二義性 完整性 一致性 可測試性 確認性 可跟蹤性 正確性 必要性 需求分析的任務 繪製上下文範圍關係圖 關係圖指的是繪製定義系統與外部實體間的界限和介面的簡單模

系統呼叫system失敗的原因分析

fork()與vfock()都是建立一個程序,那他們有什麼區別呢?總結有以下三點區別: 1.  fork  ():子程序拷貝父程序的資料段,程式碼段      vfork ( ):子程序與父程序共享資料段 2.  fork ()父子程序的執行次序不確定      vfor

5_gdb跟蹤分析系統呼叫system_call的處理過程

http://mooc.study.163.com/course/USTC-1000029000 ========================================================================== 這周的實驗在上週實驗四的基

Linux系統呼叫過程分析

Linux系統呼叫過程分析 參考: 《Linux核心設計與實現》 0 摘要 linux的系統呼叫過程:層次例如以下:使用者程式------>C庫(即API):INT 0x80 ----->system_call------->系

Linux 0.11 系統呼叫的實現機制

Linux 0.11 系統呼叫的實現機制 一、系統呼叫概述     系統呼叫本質上是一種中斷,中斷號為0x80,即128號中斷。通常我們使用的是庫函式,而不是直接使用系統呼叫,這主要是因為庫函式一般都是規定好的,是可以移植的。而系統呼叫的具體子呼叫號可能會發生改變,不同平臺

Linux0.11---head.s分析

head.s位於system模組的頭部,故其命名為head。 system模組位於磁碟上setup模組之後(4個扇區),即從磁碟上第6個扇區開始的位置 從此核心完全開始執行在保護模式下運行了。 head.s的彙編程式與前面的語法格式不同,它採用的是AT&T的組合語言格

Linux--Sys_Read系統呼叫過程分析

注: 本片文章以Read函式的呼叫為例來講述一下系統對塊驅動層的一些處理, 哈哈。如果有不正確或者不完善的地方,歡迎前來拍磚留言或者發郵件到[email protected]進行討論,先行謝過。 一.Read函式經由的層次模型 首先來了解一下Read函式經由的

linux0.11字元裝置的讀寫過程分析

首先要知道linux系統/dev目錄下的各種裝置檔案(檔案屬性c打頭)並不佔用空間,你可以發現他們的大小為0位元組,他們的區別在於檔案的i節點的成員i_zone[0]的值不同,該值標識不同的裝置號。比如tty0檔案的裝置號為0x0400,tty1裝置號為0x0401,hd0

Oracle效能分析11系統統計資訊

早期Oracle查詢優化器的開銷計算是基於執行SQL語句所需要的物理讀,這個方法被叫做I/O開銷模式(I/O cost model),這個方法的主要缺點是認為單塊讀和多塊讀開銷相當。在Oracle 8i中,初始化引數optimizer_index_caching和optim

brk系統呼叫實現分析

brk(addr)直接修改堆的大小。addr指定current->mm->brk的新值,返回值是線性區新的結束地址,這是一個系統呼叫。當用戶態的程序呼叫brk()系統呼叫時,核心執行sys_brk(addr)函式。下面分析這個函式的執行流程:1:檢測addr引數是