linux - 在系统调用中停止时如何获得正确的 orig_eax 值？

Question

我正在使用 ptrace(PTRACE_ATTACH...) 附加到一个进程，而它在一个系统调用中(比如 nanosleep())。我可以使用 PTRACE_GETREGS 获取寄存器内容，并且 eip 位于预期位置(在 __kernel_vsyscall 中)。然而，eax 和 orig_eax 寄存器有意想不到的内容:eax 通常包含 -516，而 orig_eax 通常为 0。

这是我使用的测试程序(取自http://www.linuxjournal.com/article/6210并稍作修改):

    #include <stdlib.h>
    #include <stdio.h>
    #include <sys/ptrace.h>
    #include <sys/types.h>
    #include <sys/wait.h>
    #include <unistd.h>
    #include <sys/user.h>

    int main(int argc, char *argv[])
    {
        pid_t traced_process;
        struct user_regs_struct regs;
        long ins;
        if(argc != 2) {
            printf("Usage: %s <pid to be traced>\n",
                   argv[0]);
            exit(1);
        }
        traced_process = atoi(argv[1]);
        ptrace(PTRACE_ATTACH, traced_process,
               NULL, NULL);
        wait(NULL);
        ptrace(PTRACE_GETREGS, traced_process,
               NULL, &regs);
        printf("eax: %lx (%d); orig_eax: %lx\n",
               regs.eax, (int)regs.eax, regs.orig_eax);
        ins = ptrace(PTRACE_PEEKTEXT, traced_process,
                     regs.eip, NULL);
        printf("EIP: %lx Instruction executed: %lx\n",
               regs.eip, ins);
        ptrace(PTRACE_DETACH, traced_process,
               NULL, NULL);
        return 0;
    }

附加到另一个终端中运行的“sleep 10000”命令时的输出:

    eax: fffffdfc (-516); orig_eax: 0
    EIP: b7711424 Instruction executed: c3595a5d

eax 中的值是什么意思？为什么 orig_eax 不包含原始系统调用号(如 162)？在这种情况下，我实际上如何获得系统调用号？

此外，为什么 gdb 正确显示“print $orig_eax”的“162”？

顺便说一句。这是在 Ubuntu 12.04 上，内核为 3.2.0:

• uname -a: "Linux edgebox 3.2.0-24-generic-pae #37-Ubuntu SMP Wed Apr 25 10:47:59 UTC 2012 i686 athlon i386 GNU/Linux"
• /proc/cpuinfo: "AMD Athlon(tm) II Neo K345 双核处理器"
• file which sleep: "/bin/sleep: ELF 32 位 LSB 可执行文件，Intel 80386，版本 1 (SYSV)，动态链接(使用共享库)，适用于 GNU/Linux 2.6。 24，BuildID[sha1]=0x0965431bde4d183eaa2fa3e3989098ce46b92129，已剥离。

所以这是 32 位 PAE 内核和 64 位 CPU 上的 32 位 Ubuntu 安装。

Answer 1

当您附加到进程时，一个信号被发送到进程，中断任何正在进行的系统调用。如果发生这种情况，大多数系统调用只会返回 -EINTR 并期望用户空间代码在需要时重新启动它们。还有其他可以自动重启的系统调用，但这是一个更大的话题。

在某些系统调用的情况下，nanosleep() 就是其中之一，进程已经休眠了指定时间的一部分，因此您不想从头重新启动，而是只想休眠剩余的时间。为实现这一点，每个线程在内核空间中都有一个“重启 block ”。当系统调用被中断时，它会填充重启 block ，并返回 -516 (ERESTART_RESTARTBLOCK)。内核特别对待此返回代码:它将 pc 倒回到系统调用之前，并将系统调用编号更改为“restart_syscall”(在您的体系结构中为 0)。当进程重新启动时，它显然会调用 restart_syscall，它使用重新启动 block 来确定要做什么。

这种重新启动通常对用户来说是不可见的，但 ptrace 是发现它的一种方法。但是我不知道 GDB 是否设法为 orig_eax 获取了正确的值。