`bpf_listprogs --dump-xlated` fails on preloaded iterator programs

Question

`bpf_listprogs --dump-xlated` fails on preloaded iterator programs

Closed this issue a year ago · 0 comments

For the two preloaded iterator programs the plugin only diassembles the first instruction, even though there are a lot more bytes.

# vol -f /io/dumps/minimal-04.elf linux.bpf_listprogs --id 2 --dump-xlated
Volatility 3 Framework 2.4.2
Progress:  100.00		Stacking attempts finished
OFFSET (V)	ID	NAME	TYPE	LOADED AT	HELPERS	MAPS	LINK TYPE	ATTACH TYPE	ATTACH TO
b'y\x12\x00\x00\x00\x00\x00\x009&\x00\x00\x00\x00\x00\x00y\x17\x08\x00\x00\x00\x00\x00\x15\x07\x1b\x00\x00\x00\x00\x00y\x11\x00\x00\x00\x00\x00\x009\x11\x10\x00\x00\x00\x00\x00U\x01\x08\x00\x00\x00\x00\x00\xbf\xa4\x00\x00\x00\x00\x00\x00\x07\x04\x00\x00\xe8\xff\xff\xff\xbfa\x00\x00\x00\x00\x00\x00\x18\x02\x00\x00\x00`\x04\x00\x00\x00\x00\x00\x00\xc9\xff\xff\xb7\x03\x00\x00#\x00\x00\x00\xb7\x05\x00\x00\x00\x00\x00\x00\x85\x00\x00\x00\xa0\xcb\xfe\xff!qD\x00\x00\x00\x00\x00{\x1a\xe8\xff\x00\x00\x00\x00\xb7\x01\x00\x00`\x00\x00\x00\xbfr\x00\x00\x00\x00\x00\x00\x0f\x12\x00\x00\x00\x00\x00\x00{*\xf0\xff\x00\x00\x00\x00!q$\x00\x00\x00\x00\x00{\x1a\xf8\xff\x00\x00\x00\x00\xbf\xa4\x00\x00\x00\x00\x00\x00\x07\x04\x00\x00\xe8\xff\xff\xff\xbfa\x00\x00\x00\x00\x00\x00\x18\x02\x00\x00#`\x04\x00\x00\x00\x00\x00\x00\xc9\xff\xff\xb7\x03\x00\x00\x0e\x00\x00\x00\xb7\x05\x00\x00\x18\x00\x00\x00\x85\x00\x00\x00\xa0\xcb\xfe\xff\xb7\x00\x00\x00\x00\x00\x00\x00\x95\x00\x00\x00\x00\x00\x00\x00'
[<CsInsn 0x0 [7912000000000000]: ldxdw r2, [r1]>]
['0x0: 79 12 00 00 00 00 00 00                         ldxdw r2, [r1]']

0xc9000004d000	2	dump_bpf_map	BpfProgType.BPF_PROG_TYPE_TRACING	2023-03-16 07:33:45.434227 	bpf_seq_printf,iterator.rodata	2	BpfLinkType.BPF_LINK_TYPE_ITER	BpfAttachType.BPF_TRACE_ITER	iter/bpf_map