这几天研究了下/dev/mem。发现功能非常奇妙,通过mmap能够将物理地址映射到用户空间的虚拟地址上。在用户空间完毕对设备寄存器的操作,于是上网搜了一些/dev/mem的资料。

网上的说法也非常统一,/dev/mem是物理内存的全映像,能够用来訪问物理内存,一般使用方法是open("/dev/mem",O_RDWR|O_SYNC),接着就能够用mmap来訪问物理内存以及外设的IO资源,这就是实现用户空间驱动的一种方法。
用户空间驱动听起来非常酷。可是对于/dev/mem,我认为没那么简单,有2个地方引起我的怀疑:
(1)网上资料都说/dev/mem是物理内存的全镜像。这个概念非常含糊,/dev/mem究竟能够完毕哪些地址的虚实映射?
(2)/dev/mem看似非常强大。可是这也太危急了,黑客全然能够利用/dev/mem对kernel代码以及IO进行一系列的非法操作,后果不可预測。难道内核开发人员们没有意识到这点吗?

网上资料说法都非常泛泛,仅仅对mem设备的使用进行说明,没有对这些问题进行深究。

要搞清这一点,我认为还是从/dev/mem驱动開始下手。

參考内核版本号:3.4.55 
參考平台:powerpc/arm

mem驱动在drivers/char/mem.c,mmap是系统调用。产生软中断进入内核后调用sys_mmap。终于会调用到mem驱动的mmap实现函数。

来看下mem.c中的mmap实现:

static int mmap_mem(struct file *file, struct vm_area_struct *vma)
{size_t size = vma->vm_end - vma->vm_start;if (!valid_mmap_phys_addr_range(vma->vm_pgoff, size))return -EINVAL;if (!private_mapping_ok(vma))return -ENOSYS;if (!range_is_allowed(vma->vm_pgoff, size))return -EPERM;if (!phys_mem_access_prot_allowed(file, vma->vm_pgoff, size,&vma->vm_page_prot))return -EINVAL;vma->vm_page_prot = phys_mem_access_prot(file, vma->vm_pgoff,size,vma->vm_page_prot);vma->vm_ops = &mmap_mem_ops;/* Remap-pfn-range will mark the range VM_IO and VM_RESERVED */if (remap_pfn_range(vma,vma->vm_start,vma->vm_pgoff,size,vma->vm_page_prot)) {return -EAGAIN;}return 0;
}

vma是内核内存管理非常重要的一个结构体。
其结构成员中start end代表要映射到的用户空间虚拟地址范围。用户空间的动态映射是以PAGE_SIZE也就是4K为一页,
vma_pgoff是要映射的物理地址。vma_page_prot代表该页的权限。

这些成员的赋值是在调用详细驱动的mmap实现函数之前。在sys_mmap中进行的。
在mmap_mem最后调用remap_pfn_range,该函数完毕指定物理地址与用户空间虚拟地址页表的建立。
remap_pfn_range參数中vma->vm_pgoff即代表要映射的物理地址,并没有范围限制仅能够操作内存。
mmap系统调用的函数定义例如以下:
void *mmap(void *addr, size_t length, int prot, int flags, int fd, off_t offset);
addr指定要映射到的虚拟地址。写NULL则有sys_mmap来分配该虚拟地址。
mmap參数与mem_mmap參数对应关系例如以下:
prot      ===> vma->vma_page_prot
offset    ===> vma->vma_pgoff
length    ===> size

从刚才分析的mem_mmap流程来看,能够得出一个简单的结论:
mem_mmap能够映射整个处理器的地址空间。而不单单是内存。这里要说明的是,地址空间不等于内存空间。站在处理器角度看。地址空间指处理器总线上的全部可寻址空间。除了内存,还有外设的IO空间。以及其它总线映射过来的mem(如PCI)
我的理解。mem_mmap全然能够映射0-0xffffffff的全部物理地址(填TLB页表完毕映射)。但前提是保证该物理地址是真实有效的,也就是处理器訪问该总线物理地址能够获取有效数据。
所以如今看来mmap /dev/mem,仅仅要确定我们处理器的地址空间分布,就能够将我们须要的地址映射到用户空间进行操作。
假设地址不是一个有效物理地址(处理器地址空间分布中该地址没用)。mmap建立该物理地址与用户空间虚拟地址的映射。填TLB,CPU经过TLB翻译后去訪问该不存在的物理地址訪问就有可能导致CPU挂掉。

这也就解释了我第一个疑问,可是kernel的安全机制不会同意用户这么肆无忌惮的操作。接着来看remap_pfn_range之前mmap_mem怎样进行防护。

首先是valid_mmap_phys_addr_range,检查该物理地址是否是一个有效的mmap地址。假设平台定义了ARCH_HAS_VALID_PHYS_ADDR_RANGE则会实现该函数,
arm中定义并实现了该函数,在arch/arm/mm/mmap.c中,例如以下:

/** We don't use supersection mappings for mmap() on /dev/mem, which* means that we can't map the memory area above the 4G barrier into* userspace.*/
int valid_mmap_phys_addr_range(unsigned long pfn, size_t size)
{return !(pfn + (size >> PAGE_SHIFT) > 0x00100000);
}

该函数确定mmap的范围是否超过4G,超过4G则为无效物理地址,这样的情况用户空间一般不会出现。

而对于powerpc,平台未定义ARCH_HAS_VALID_PHYS_ADDR_RANGE,所以valid_mmap_phys_addr_range在mem.c中定义为空函数,返回1 表示该物理地址一直有效。
物理地址有效。不会返回-EINVAL。继续往下走。

接下来是private_mapping_ok,对于有MMU的CPU,实现例如以下:

static inline int private_mapping_ok(struct vm_area_struct *vma)
{return 1;
}

MMU的权限管理能够支持私有映射,所以该函数一直成功。

接下来是一个最为关键的检查函数range_is_allowed。定义例如以下:

#ifdef CONFIG_STRICT_DEVMEM
static inline int range_is_allowed(unsigned long pfn, unsigned long size)
{u64 from = ((u64)pfn) << PAGE_SHIFT;u64 to = from + size;u64 cursor = from;while (cursor < to) {if (!devmem_is_allowed(pfn)) {printk(KERN_INFO"Program %s tried to access /dev/mem between %Lx->%Lx.\n",current->comm, from, to);return 0;}cursor += PAGE_SIZE;pfn++;}return 1;
}
#else
static inline int range_is_allowed(unsigned long pfn, unsigned long size)
{return 1;
}
#endif

能够看出假设不打开CONFIG_STRICT_DEVMEM,range_is_allowed是返回1,表示该物理地址范围是被同意的。查看kconfig文件(在对应平台文件夹下。如arch/arm/Kconfig.debug中)找到CONFIG_STRICT_DEVMEM说明例如以下

config STRICT_DEVMEMdef_bool yprompt "Filter access to /dev/mem"helpThis option restricts access to /dev/mem.  If this option isdisabled, you allow userspace access to all memory, includingkernel and userspace memory. Accidental memory access is likelyto be disastrous.Memory access is required for experts who want to debug the kernel.If you are unsure, say Y.

该选项menuconfig时在kernel hacking文件夹下。
依据说明能够理解。CONFIG_STRICT_DEVMEM是严格的对/dev/mem訪问检查,假设关掉该选项,用户就能够通过mem设备訪问全部地址空间(依据对我提出的第一个问题理解,这里memory应该理解为地址空间)。该选项对于调试内核有帮助。

假设打开该选项,内核就会对mem设备訪问加以检查。检查函数就是range_is_allowed。

range_is_allowed函数对要检查的物理地址范围以4K页为单位,一页一页的调用devmem_is_allowed。假设不同意,则会进行打印提示。并返回0,表示该物理地址范围不被同意

来看devmem_is_allowed.该函数是平台相关函数,只是arm跟powerpc的实现相差不大,以arm的实现为例。

在arch/arm/mm/mmap.c中。

/** devmem_is_allowed() checks to see if /dev/mem access to a certain* address is valid. The argument is a physical page number.* We mimic x86 here by disallowing access to system RAM as well as* device-exclusive MMIO regions. This effectively disable read()/write()* on /dev/mem.*/
int devmem_is_allowed(unsigned long pfn)
{if (iomem_is_exclusive(pfn << PAGE_SHIFT))return 0;if (!page_is_ram(pfn))return 1;return 0;
}

首先iomem_is_exclusive检查该物理地址是否被独占保留,实现例如以下:

#ifdef CONFIG_STRICT_DEVMEM
static int strict_iomem_checks = 1;
#else
static int strict_iomem_checks;
#endif/** check if an address is reserved in the iomem resource tree* returns 1 if reserved, 0 if not reserved.*/
int iomem_is_exclusive(u64 addr)
{struct resource *p = &iomem_resource;int err = 0;loff_t l;int size = PAGE_SIZE;if (!strict_iomem_checks)return 0;addr = addr & PAGE_MASK;read_lock(&resource_lock);for (p = p->child; p ; p = r_next(NULL, p, &l)) {/** We can probably skip the resources without* IORESOURCE_IO attribute?*/if (p->start >= addr + size)break;if (p->end < addr)continue;if (p->flags & IORESOURCE_BUSY &&p->flags & IORESOURCE_EXCLUSIVE) {err = 1;break;}}read_unlock(&resource_lock);return err;
}

假设打开了CONFIG_STRICT_DEVMEM,iomem_is_exclusive遍历iomem_resource链表,查看要检查的物理地址所在resource的flags,假设是bug或者exclusive。则返回1,表明该物理地址是独占保留的。

据我了解,iomem_resource是来表征内核iomem资源的链表。

对于外设的IO资源,kernel中使用platform device机制来注冊平台设备(platform_device_register)时调用insert_resource将该设备对应的io资源插入到iomem_resource链表中。

假设我要对某外设的IO资源进行保护。防止用户空间訪问。能够将其resource的flags置位exclusive就可以。

只是我查看我平台支持包里的全部platform device的resource。flags都没有置位exclusive或者busy。

假设我映射的物理地址范围是外设的IO。检查能够通过。

对于内存的mem资源,怎样注冊到iomem_resource链表中。内核代码中我还没找到详细的位置,只是iomem在proc下有对应的表征文件。能够cat /proc/iomem。

依据我的实际操作測试。内存资源也都没有exclusive。所以假设我映射地址是内存。检查也能够通过。

所以这里iomem_is_exclusive检查通常是通过的。接下来看page_is_ram。看devmem_is_range的逻辑,假设地址是ram地址。则该地址不被同意。page_is_ram也是平台函数,查看powerpc的实现例如以下。

int page_is_ram(unsigned long pfn)
{
#ifndef CONFIG_PPC64    /* XXX for now */return pfn < max_pfn;
#elseunsigned long paddr = (pfn << PAGE_SHIFT);struct memblock_region *reg;for_each_memblock(memory, reg)if (paddr >= reg->base && paddr < (reg->base + reg->size))return 1;return 0;
#endif
}
max_pfn赋值在在do_init_bootmem中。例如以下.
void __init do_init_bootmem(void)
{unsigned long start, bootmap_pages;unsigned long total_pages;struct memblock_region *reg;int boot_mapsize;max_low_pfn = max_pfn = memblock_end_of_DRAM() >> PAGE_SHIFT;total_pages = (memblock_end_of_DRAM() - memstart_addr) >> PAGE_SHIFT;

max_pfn代表了内核lowmem的页个数,lowmem在内核下静态线性映射。系统启动之初完毕映射之后不会修改。读写效率高。内核代码都是跑在lowmem。
lowmem大小我们能够通过cmdline的“mem=”来指定。

这里就明确了假设要映射的物理地址在lowmem范围内,也是不同意被映射的。

这样range_is_allowed就分析完了。exclusive的iomem以及lowmem范围内的物理地址是不同意被映射的。

接下来phys_mem_access_prot_allowed实现为空返回1,没有影响。

phys_mem_access_prot确定我们映射页的权限,该函数也是平台函数,以powerpc实现为例,例如以下:

pgprot_t phys_mem_access_prot(struct file *file, unsigned long pfn,unsigned long size, pgprot_t vma_prot)
{if (ppc_md.phys_mem_access_prot)return ppc_md.phys_mem_access_prot(file, pfn, size, vma_prot);if (!page_is_ram(pfn))vma_prot = pgprot_noncached(vma_prot);return vma_prot;
}

假设有平台实现的phys_mem_access_prot,则调用之。

假设没有。对于不是lowmem范围内的物理地址。权限设置为uncached。

以上的检查完毕,最后调用remap_pfn_range完毕页表设置。

所以假设打开CONFIG_STRICT_DEVMEM,mem驱动会对mmap要映射的物理地址进行范围和位置的检查然后才进行映射。检查条件例如以下:
(1)映射范围不能超过4G。
(2)该物理地址所在iomem不能exclusive.
(3)该物理地址不能处在lowmem中。

所以说对于网上给出的各种利用/dev/mem来操作内存以及寄存器的文章。假设操作范围在上述3个条件内,内核必须关闭CONFIG_STRICT_DEVMEM才行。

这样对于mem设备我的2个疑问算是攻克了。

查看mem.c时我还看到了另外一个有趣的设备kmem。这个设备mmap的是哪里的地址,网上的说法是内核虚拟地址。这个说法我不以为然,这里记录下我的想法。

假设内核打开CONFIG_KMEM。则会创建kmem设备。它与mem设备主要区别在mmap的实现上。kmem的mmap实现例如以下:

#ifdef CONFIG_DEVKMEM
static int mmap_kmem(struct file *file, struct vm_area_struct *vma)
{unsigned long pfn;/* Turn a kernel-virtual address into a physical page frame */pfn = __pa((u64)vma->vm_pgoff << PAGE_SHIFT) >> PAGE_SHIFT;/** RED-PEN: on some architectures there is more mapped memory than* available in mem_map which pfn_valid checks for. Perhaps should add a* new macro here.** RED-PEN: vmalloc is not supported right now.*/if (!pfn_valid(pfn))return -EIO;vma->vm_pgoff = pfn;return mmap_mem(file, vma);
}
#endif

引起我注意的是__pa,完毕内核虚拟地址到物理地址的转换,最后调用mmap_mem,简单一看kmem的确是映射的内核虚拟地址。
可是搞清楚__pa的实现,我就不这么认为了。

以powerpc为例。在arch/powerpc/include/asm/page.h,定义例如以下:

#define __va(x) ((void *)(unsigned long)((phys_addr_t)(x) + VIRT_PHYS_OFFSET))
#define __pa(x) ((unsigned long)(x) - VIRT_PHYS_OFFSET)
....
#define VIRT_PHYS_OFFSET (KERNELBASE - PHYSICAL_START)

内核中定义了4个变量来表示内核一些主要的物理地址和虚拟地址,例如以下:
KERNELBASE     内核的起始虚拟地址,我的是0xc0000000
PAGE_OFFSET    低端内存的起始虚拟地址,通常是0xc0000000
PHYSICAL_START 内核的起始物理地址。我的是0x80000000
MEMORY_START   低端内存的起始物理地址。我的是0x80000000

内核在启动过程中对于lowmem的静态映射。就是以上述的物理地址和虚拟地址的差值进行线性映射的。
所以__pa __va转换的是线性映射的内存部分,也就是lowmem。
所以kmem映射的是lowmem。假设我的cmdline參数中mem=512M,这就意味着通过kmem的mmap我最多能够訪问内核地址空间開始的512M内存。

对于超过lowmem范围,訪问highmem。假设使用__pa訪问,因为highmem是动态映射的,其映射关系不是线性的那么简单了,依据__pa获取的物理地址与我们想要的内核虚拟地址是不正确应的。

/dev/mem 实现原理相关推荐

  1. Linux /dev/mem的新玩法

    来自<解决Linux内核问题实用技巧之-dev/mem的新玩法> 接着上一篇文章<解决Linux内核问题实用技巧之 - Crash工具结合/dev/mem任意修改内存>继续,本 ...

  2. 关于对 linux系统的物理内存访问 /dev/mem

    dev/mem: 物理内存的全镜像换句话说是可以根据实际的物理地址去访问,在I/O总线上的物理设备(相对应的对驱动读写接口的操作,都是通过,写地址,数据,然后,读取相应的物理内存中,数值所存储的数值的 ...

  3. 12015.linux通过代码或命令形式操作内存/dev/mem

    文章目录 1 代码形式访问 /dev/mem 2 命令行形式访问 /dev/mem 3 结合开发板实践验证 1 代码形式访问 /dev/mem #include <stdio.h>#inc ...

  4. linux mem设备是什么,linux下/dev/mem分析

    dev/mem: 物理内存的全镜像.可以用来访问物理内存. /dev/kmem: kernel看到的虚拟内存的全镜像.可以用来访问kernel的内容. /dev/mem 用来访问物理IO设备,比如X用 ...

  5. /dev/mem可没那么简单

    /dev/mem可没那么简单 转载 weixin_34342992 最后发布于2017-07-24 19:54:00 阅读数 113 收藏 发布于2017-07-24 19:54:00 这几天研究了下 ...

  6. linux dd 清屏 of=/dev/mem,Linux系统简介分区基础命令(ADMIN01-2)(示例代码)

    6.5.3 cat &1 从标准输入stdin(0)读入数据,在标准输出stdout(1)显示出来 6.6 uname 查看内核版本信息 uname -r 3.10.0 -327 .el7 . ...

  7. /dev/random 和 /dev/urandom 的原理

    /dev/random和 /dev/urandom是 Linux 上的字符设备文件,它们是随机数生成器,为系统提供随机数 随机数的重要性 随机数在计算中很重要. TCP/IP 序列号.密码盐和 DNS ...

  8. linux主设备号作用是什么,linux 主设备号为1 以及/dev/null的介绍

    介绍个特殊的字符设备,主设备号为1的设备 1 char Memory devices 1 = /dev/mem Physical memory access 2 = /dev/kmem Kernel ...

  9. 探秘Linux特殊设备文件:(/dev/null,/dev/zero,/dev/random,/dev/urandom等)

    目录标题 第一章:设备文件简介(Introduction to Device Files) 1.1 设备文件概述(Overview of Device Files) 1.2 设备文件类型(Types ...

最新文章

  1. Python3 文件读写(持续更新)
  2. 【转】排序算法复习(Java实现)(一): 插入,冒泡,选择,Shell,快速排序...
  3. 数据库事务原理详解-Spring 事务的传播属性
  4. kaggle notebook在git push时附带用户民和密码(一行搞定,全部写在一行中)
  5. linux ctrlc 退出循环_linux按行读取 (while read line与forloop)
  6. [剑指offer]面试题22:栈的压入、弹出序列
  7. linux操作系统之进程组及会话
  8. 前端开发大师修炼指南
  9. MySQL主从复制: MHA
  10. 【WAX链游】发布一个免费开源的Alien Worlds【外星世界】脚本TLM
  11. 测试php连接mysql的实例实现
  12. 手游SDK-数据上报
  13. 输出边长为n的正六边形(c语言)
  14. Lumerical官方案例、FDTD时域有限差分法仿真学习(十七)——Y分支功分器
  15. 一个老牛的视频sdk
  16. php中对数组进行转码,PHP 数组转码
  17. 为什么牛逼程序员都秃顶了....?
  18. 《我是科比》—科比在湖人成长记录
  19. 遇到面试心情总是很紧张该怎么缓解
  20. android 死亡自动启动,android – 服务在Activity的’死亡’崩溃

热门文章

  1. 数说故事数据赋能车企数字化转型——智能决策支持系统搭建
  2. 怎样做研究(转载哈工大刘挺教授博客内容)
  3. MatLab建模学习笔记3——MatLab工具箱
  4. 一位大学生IT男谈谈刚大学毕业找实习单位的经验总结
  5. 加载磊科336usb无线网卡驱动到s3c6410开发板中去
  6. 《程序员2007增刊——实战Web2.0》精彩预览之“指导篇”
  7. python调用函数指定次数_扣丁学堂Python在线视频之Python限制函数调用次数实例
  8. PHP 第三方登录 (QQ登录)
  9. 什么是soc?SOC与MCU的区别是什么?
  10. 企业办理ISO认证的四大关注点!