由用户态经库函数进入内核态

为了配合内核使用新的系统调用方式，glibc中要做一定的修改。新的glibc-2.3.2（及其以后版本中）中已经包含了这个改动，在glibc源代码的sysdeps/unix/sysv/linux/i386/sysdep.h文件中，处理系统调用的宏INTERNAL_SYSCALL在不同的编译选项下有不同的结果。在打开支持sysenter/sysexit指令的选项I386_USE_SYSENTER下，系统调用会有两种方式，在静态链接（编译时加上-static选项）情况下，采用"call *_dl_sysinfo"指令；在动态链接情况下，采用"call *%gs:0x10"指令。这两种情况由glibc库采用哪种方法链接，实际上最终都相当于调用某个固定地址的代码。下面我们通过一个小小的程序，配合gdb来验证。

首先是一个静态编译的程序，代码很简单：

将代码加上static选项用gcc静态编译，然后用gdb装载并反编译main函数。

可以看出，main函数中调用了__getuid函数，接着反编译__getuid函数。

上面只是__getuid函数的一部分。可以看到__getuid将eax寄存器赋值为getuid系统调用的功能号0x18然后调用了另一个函数，这个函数的入口在哪里呢？接着查看位于地址0x80aa054的值。

(gdb) X 0x80aa054

0x80aa054 <_dl_sysinfo>:　　　　0x0804d7f6

看起来不像是指向内核映射页面内的代码，但是，可以确认，__dl_sysinfo指针的指向的地址就是0x80aa054。下面，我们试着启动这个程序，然后停在程序第一条语句，再查看这个地方的值。

可以看到，_dl_sysinfo指针指向的数值已经发生了变化，指向了0xffffe400，如果我们继续运行程序，__getuid函数将会调用地址0xffffe400处的代码。

接下来，我们将上面的代码编译成动态链接的方式，即默认方式，用gdb装载并反编译main函数

[root@test opt]# gcc test.c -o ./dynamic
[root@test opt]# gdb ./dynamic
(gdb) disassemble main
0x08048204 <main+0>:　　push　 %ebp
0x08048205 <main+1>:　　mov　　%esp,%ebp
0x08048207 <main+3>:　　sub　　$0x8,%esp
0x0804820a <main+6>:　　and　　$0xfffffff0,%esp
0x0804820d <main+9>:　　mov　　$0x0,%eax
0x08048212 <main+14>:　 sub　　%eax,%esp
0x08048214 <main+16>:　 call　 0x8048288
0x08048219 <main+21>:　 leave
0x0804821a <main+22>:　 ret