缺少linux内核,Linux内核态缺页会发生什么?一文玩转Exception fixup表
近日,我在写内核模块的时候犯了一个低级错误:
直接access用户态的内存而没有使用copy_to_user/copy_from_user!
在内核看来,用户态提供的虚拟地址是不可信的,所以在一旦在内核态访问用户态内存发生缺页中断,处理起来是非常棘手的。
Linux内核的做法是提供了一张 异常处理表 ,使用专有的函数来访问用户态内存。类似 try-catch块一般。具体详情可参见copy_to_user/copy_from_user的实现以及内核文档Documentation/x86/exception-tables.txt的描述。
本来简单看下这个异常处理表能怎么玩。
首先,我们可以写一片代码,将内核的异常处理表dump下来:
// show_extable.c#include #include int (*_lookup_symbol_name)(unsigned long, char *);unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);unsigned long start_ex, end_ex;int init_module(void){unsigned long i;unsigned long orig, fixup, originsn, fixinsn, offset, size;char name[128], fixname[128];_lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name");_get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos");start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table");end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table");// 按照exception_table_entry的sizeof从start遍历到end。for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) {orig = i; // 取出exception_table_entry的insn字段地址。fixup = i + sizeof(unsigned int); // 取出fixup字段地址。originsn = orig + *(unsigned int *)orig; // 根据相对偏移字段求出绝对地址originsn |= 0xffffffff00000000;fixinsn = fixup + *(unsigned int *)fixup;fixinsn |= 0xffffffff00000000;_get_symbol_pos(originsn, &size, &offset);_lookup_symbol_name(originsn, name);_lookup_symbol_name(fixinsn, fixname);printk("[%lx]%s+0x%lx/0x%lx [%lx]%s\n",originsn,name,offset,size,fixinsn,fixname);}return -1;}MODULE_LICENSE("GPL");
我们看下输出:
# ___sys_recvmsg+0x253位置发生异常,跳转到ffffffff81649396处理异常。[7655.267616] [ffffffff8150d7a3]___sys_recvmsg+0x253/0x2b0 [ffffffff81649396]bad_to_user...# create_elf_tables+0x3cf位置处如果发生异常,跳转到ffffffff81648a07地址执行异常处理。[7655.267727] [ffffffff8163250e]create_elf_tables+0x3cf/0x509 [ffffffff81648a1b]bad_gs
一般而言,类似bad_to_user,bad_from_user之类的异常处理函数都是直接返回用户一个错误码,比如Bad address之类,并不是直接用户程序直接段错误,这一点和用户态访问非法地址直接发送SIGSEGV有所不同。比如:
#include int main(int argc, char **argv){int fd;int ret;char *buf = (char *)0x56; // 显然是一个非法地址。fd = open("/proc/sys/net/nf_conntrack_max", O_RDWR | O_CREAT, S_IRWXU);perror("open");ret = read(fd, buf, 100);perror("read");}
执行之:
[root@localhost test]# ./a.outopen: Successread: Bad address # 没有段错误,只是一个普通错误。
我们能不能将其行为修改成和用户态访问非法地址一致呢?简单,替换掉bad_to_user即可,代码如下:
// fix_ex.c#include #include #include int (*_lookup_symbol_name)(unsigned long, char *);unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);unsigned long start_ex, end_ex;void *_bad_from_user, *_bad_to_user;void kill_user_from(void){printk("经理!rush tighten beat electric discourse!\n");force_sig(SIGSEGV, current);}void kill_user_to(void){printk("经理!rush tighten beat electric discourse! SB 皮鞋\n");force_sig(SIGSEGV, current);}unsigned int old, new;int (*_lookup_symbol_name)(unsigned long, char *);unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);int hook_fixup(void *origfunc1, void *origfunc2, void *newfunc1, void *newfunc2){unsigned long i;unsigned long fixup, fixinsn;char fixname[128];for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) {fixup = i + sizeof(unsigned int);fixinsn = fixup + *(unsigned int *)fixup;fixinsn |= 0xffffffff00000000;_lookup_symbol_name(fixinsn, fixname);if (!strcmp(fixname, origfunc1) ||!strcmp(fixname, origfunc2)) {unsigned long new;unsigned int newfix;if (!strcmp(fixname, origfunc1)) {new = (unsigned long)newfunc1;} else {new = (unsigned long)newfunc2;}new -= fixup;newfix = (unsigned int)new;*(unsigned int *)fixup = newfix;}}return 0;}int init_module(void){_lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name");_get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos");_bad_from_user = (void *)kallsyms_lookup_name("bad_from_user");_bad_to_user = (void *)kallsyms_lookup_name("bad_to_user");start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table");end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table");hook_fixup("bad_from_user", "bad_to_user", kill_user_from, kill_user_to);return 0;}void cleanup_module(void){hook_fixup("kill_user_from", "kill_user_to", _bad_from_user, _bad_to_user);}MODULE_LICENSE("GPL");
编译,加载,重新执行我们的a.out:
[root@localhost test]# insmod ./fix_ex.ko[root@localhost test]# ./a.outopen: Success段错误[root@localhost test]# dmesg[ 8686.091738] 经理!rush tighten beat electric discourse! SB 皮鞋[root@localhost test]#
发生了段错误,并且打印出了让经理赶紧打电话的句子。
其实,我的目的并不是这样的,我真正的意思是,Linux的异常处理链表,又是一个藏污纳垢的好地方,我们可以在上面的hook函数中藏一些代码,比如说inline hook之类的,然后呢?然后静悄悄地等待用户态进程的bug导致异常处理被执行。将代码注入的时间线拉长,从而更难让运维和经理注意到。
让代码注入的时间点和模块插入的时间点分开,让事情更加混乱。不过,注意好隐藏模块或者oneshot哦。
浙江温州皮鞋湿,下雨进水不会胖。
缺少linux内核,Linux内核态缺页会发生什么?一文玩转Exception fixup表相关推荐
- 模拟linux内核异常,Linux内核态缺页会发生什么 - 玩转Exception fixup表
近日,我在写内核模块的时候犯了一个低级错误: 直接access用户态的内存而没有使用copy_to_user/copy_from_user! 在内核看来,用户态提供的虚拟地址是不可信的,所以在一旦在内 ...
- 修改掉Linux内核缺页中断处理的exception fixup表
近日,我在写内核模块的时候犯了一个低级错误: 直接access用户态的内存而没有使用copy_to_user/copy_from_user! 在内核看来,用户态提供的虚拟地址是不可信的,所以在一旦在内 ...
- 缺少linux内核,Linux内核缺页
整个缺页异常的处理过程非常复杂,我们这里只简单介绍一下缺页涉及到的内核函数. 当CPU产生一个异常时,将会跳转到异常处理的整个处理流程中.对于缺页异常,CPU将跳转到page_fault异常处理程序中 ...
- Linux 操作系统原理 — 内核态与用户态
目录 文章目录 目录 Linux 的内核态与用户态 系统调用(System Call) Shell 用户态和内核态的切换 进程的用户空间和内核空间的内存布局 内核空间 用户空间 Linux 的内核态与 ...
- Linux 0.11-从内核态到用户态-23
Linux 0.11-从内核态到用户态-23 从内核态到用户态 转载 从内核态到用户态 书接上回,上回书咱们从整体上鸟瞰了一下第三部分要讲的内容,代码上就是还差四句话就走到了 main 函数的尽头. ...
- 宋宝华:评Linux 5.13内核
目录 Misc cgroup Landlock安全模块 系统调用的堆栈随机化 printk无锁ringbuffer的进一步优化 BPF可调用内核函数 公共的IO PAGE Fault支持 Linux ...
- linux怎样查看内核参数,Linux 实例如何查看和修改 Linux 实例内核参数?
<操作系统>课程设计报告课程设计题目:操作系统课程设计 设计时间:2016/1/10一. 课程设计目的与要求需要完成的内容:(1) 安装虚拟机:Vmware.Vmware palyer ( ...
- Linux教程:内核怎样管理你的内存
在分析了进程的虚拟地址布局,我们转向内核以及他管理用户内存的机制.下图是gonzo的例子: Linux进程在内核中是由task_struct进程描述符实现的,task_struct的mm字段指向内存描 ...
- Linux 0.11内核分析04:多进程视图
目录 1 进程概念的引入 1.1 使用CPU的直观想法 1.2 直观用法的缺点 1.3 直观用法的改进 1.4 进程的概念 1.4.1 保存程序执行状态 1.4.2 进程与PCB 1.5 Linux ...
最新文章
- Azure正式对外发布容器服务,支持Swarm和Mesos
- instantclient_11_2 连接oracle数据
- 5款实用的硬盘、SSD固态硬盘、U盘、储存卡磁盘性能测试工具绿色版
- Excel绘制甘特图
- SQL查询重复记录方法大全 转
- 详谈Windows消息循环机制
- mysql差异备份实现_结合Git实现Mysql差异备份,可用于生产环境
- html修改图片宽度高度,HTML基础 img width height 设置显示图片的高度和宽度
- LiveQing直播点播存储流媒体服务-服务器并发性能及消耗带宽计算参考
- 【QGIS入门实战精品教程】4.4:QGIS如何将点自动连成线、线生成多边形?
- DBN训练学习-A fast Learning algorithm for deep belief nets
- hdu 5023 线段树染色问题
- [转]cubemap soft shadow
- C语言小游戏——贪吃蛇
- 3dsll 新大三 误删fbi不能安装游戏解决之路
- 扒一扒网易云课堂python课程,发现还有不少可以白嫖的免费好资源
- sql date_format用法
- 彩虹云仿小柯秒赞主题模板
- SwiftUI - Text
- 关于超细六类网线用于PoE的说明
热门文章
- DJL调用目标检测模型检测rtsp视频流
- 中国平安提供两万就业岗位,成为“国聘行动”招聘最多企业
- 韩国人韩语网络聊天常用初声/字母缩略词集合
- Capslock+常用功能汇总
- 电源学习总结(五)——开关电源基本原理
- c语言assert_param,STM32断言机制assert_param()宏定义
- Adversarial Decomposition of Text Representation翻译
- lnmp 一键安装包 安装php扩展
- c语言专业自我评价,简历自我评价it
- 巨人网络正式推出首款网页游戏