# Linux system call呼叫 & `fork()` ###### tags: `learning` ## `fork` System Call如何呼叫 - 早期(v3.7及之前): `sys_fork()`呼叫`do_fork()` ```c asmlinkage long sys_fork(struct pt_regs regs) { return do_fork(SIGCHLD, regs.rsp, &regs, 0); } ``` - 後期(~v5.9): `SYS_DEFINEx()`(x代表參數個數)呼叫`do_fork()` ```c #ifdef __ARCH_WANT_SYS_FORK SYSCALL_DEFINE0(fork) { #ifdef CONFIG_MMU return _do_fork(SIGCHLD, 0, 0, NULL, NULL, 0); #else /* can not support in nommu mode */ return -EINVAL; #endif } #endif ``` - 最新版(v5.10之後): `SYS_DEFINEx()`呼叫`kernel_clone()` ```c #ifdef __ARCH_WANT_SYS_FORK SYSCALL_DEFINE0(fork) { #ifdef CONFIG_MMU struct kernel_clone_args args = { .exit_signal = SIGCHLD, }; return kernel_clone(&args); #else /* can not support in nommu mode */ return -EINVAL; #endif } #endif ``` - [ref](https://blog.csdn.net/boyemachao/article/details/112983228) ## fork/vfork/clone - `fork()`將parent的<font color='red'>全部`task_struct`資源</font>copy給child - 使用Copy On Write技術,parent與child共享資源,如果有寫入才分配新的空間給child - `vfork()`將parent<font color='blue'>除了`mm_stuct`</font>的全部資源copy給child - 即parent及child共享data section,但有各自的記憶體空間 - `vfork`創建的child process會先於parent執行 - `clone()`<font color='green'>利用`CLONE_xxx` flag指定parent的哪些資源</font>copy給child - v5.10之前`fork/vfork/clone`底層皆呼叫`_do_fork()`,並利用第一個參數的flag區別 - `fork`: `SIGCHLD` - child終止後會發送SIGCHLD信號給parent - `vfork`: `CLONE_VFORK | CLONE_VM | SIGCHLD` - `clone`: 由User自定義flag - v5.10-rc1之後將原本的`_do_fork`替換成`kernel_clone`,`fork/vfork/clone`底層全部呼叫`kernel_clone` ## `kernel_clone`流程(與`_do_fork`基本一致) 1. `copy_process()` :複製parent的`task_struct`給child,return值為`task_struct` Pointer 2. `get_task_pid()`取得child pid 2. 如果是`vfork`,初始化vfork處理資訊 3. `wake_up_new_task()`將child加入scheduler,至此完成fork,child準備執行 4. 啟動`ptrace`,如果child開始執行就告訴parent 4. 如果是`vfork`,執行`wait_for_vfork_done()`,parent等待child完成,當child調用`exec`或`exit`之後,parent才可以繼續執行 - [ref1](https://blog.csdn.net/jasonactions/article/details/115316642) - [ref2](https://blog.csdn.net/jasonactions/article/details/115316642) - [ref3](https://cloud.tencent.com/developer/article/1891524)
Last changed by  
許瓈方
279

Read more

來拆一拆__libc_start_main

從entry point(start)開始start :::info在剛開始執行時,會把參數以倒序+argc push到stack上 ex. gdb> r aaa 會依序push aaa, binary_path, 0x2(2個arg) (0x4009d0是entry pt) 因此第三行的pop rsi就相當於把stack頂的argc pop給rsi 第四行的mov rdx, rsp相當於把binary_path傳給rdx 第五行對rsp & 0xFF...F0是為了要確保stack是0x10對齊 :::

2/5/2023
SOLACE PubSub+

Introduction 整合跨廠、Data center、Cloud Server及IoT,作為設備之間即時通訊的管理平台Event Management支援EDA (Event-Driven Architecture)偵測特定Event Event Streaming 建立Event mesh以共享數據Event Mesh是一個由事件代理系統(Event Broker)所組成的網路架構層,可以將某應用程式產生的event動態route到其他應用程式(無論他部屬在哪裡) Event Broker接收從Producers產生的事件訊息,並將事件訊息route給事件訂閱者(Consumers) Event Broker可以部屬在Cloud (包含公有雲&私有雲,etc) Software (各類Container或虛擬機管理平台) Appliance

12/28/2022
常用協定及網路相關整理

OSI vs TCP/IP OSI(7層) TCP/IP(4層) 用途 ex Protocol 7 Application應用層

1/16/2022
惡意程式分析 (ColdLock)

結論 :::info 這是一隻ColdLock變種的勒索軟體 他會檢查自己是否在win10系統,並關閉通知及Windows Defender 只會在每天的11點11分後發作 利用檢查%System Root%\ProgramData\readme.tmp判斷是否系統已被感染 勒索訊息寫在How To Unlock Files.txt,包含personalID,會在多個路徑下產生 <all drive path>\

9/28/2021
Read more from 許瓈方
Published on HackMD