修改掉Linux内核缺页中断处理的exception fixup表

近日，我在写内核模块的时候犯了一个低级错误：

直接access用户态的内存而没有使用copy_to_user/copy_from_user！

在内核看来，用户态提供的虚拟地址是不可信的，所以在一旦在内核态访问用户态内存发生缺页中断，处理起来是非常棘手的。

Linux内核的做法是提供了一张 异常处理表 ，使用专有的函数来访问用户态内存。类似 try-catch块一般。具体详情可参见copy_to_user/copy_from_user的实现以及内核文档Documentation/x86/exception-tables.txt的描述。

本来简单看下这个异常处理表能怎么玩。

首先，我们可以写一片代码，将内核的异常处理表dump下来：

// show_extable.c
#include <linux/module.h>
#include <linux/kallsyms.h>int (*_lookup_symbol_name)(unsigned long, char *);
unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);
unsigned long start_ex, end_ex;int init_module(void)
{unsigned long i;unsigned long orig, fixup, originsn, fixinsn, offset, size;char name[128], fixname[128];_lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name");_get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos");start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table");end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table");// 按照exception_table_entry的sizeof从start遍历到end。for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) {orig = i; // 取出exception_table_entry的insn字段地址。fixup = i + sizeof(unsigned int); // 取出fixup字段地址。originsn = orig + *(unsigned int *)orig; // 根据相对偏移字段求出绝对地址originsn |= 0xffffffff00000000;fixinsn = fixup + *(unsigned int *)fixup;fixinsn |= 0xffffffff00000000;_get_symbol_pos(originsn, &size, &offset);_lookup_symbol_name(originsn, name);_lookup_symbol_name(fixinsn, fixname);printk("[%lx]%s+0x%lx/0x%lx [%lx]%s\n",originsn,name,offset,size,fixinsn,fixname);}return -1;
}
MODULE_LICENSE("GPL");

我们看下输出：

# ___sys_recvmsg+0x253位置发生异常，跳转到ffffffff81649396处理异常。
[ 7655.267616] [ffffffff8150d7a3]___sys_recvmsg+0x253/0x2b0 [ffffffff81649396]bad_to_user
...
# create_elf_tables+0x3cf位置处如果发生异常，跳转到ffffffff81648a07地址执行异常处理。
[ 7655.267727] [ffffffff8163250e]create_elf_tables+0x3cf/0x509 [ffffffff81648a1b]bad_gs

一般而言，类似bad_to_user，bad_from_user之类的异常处理函数都是直接返回用户一个错误码，比如Bad address之类，并不是直接用户程序直接段错误，这一点和用户态访问非法地址直接发送SIGSEGV有所不同。比如：

#include <fcntl.h>
int main(int argc, char **argv)
{int fd;int ret;char *buf = (char *)0x56; // 显然是一个非法地址。fd = open("/proc/sys/net/nf_conntrack_max", O_RDWR | O_CREAT, S_IRWXU);perror("open");ret = read(fd, buf, 100);perror("read");
}

执行之：

[root@localhost test]# ./a.out
open: Success
read: Bad address # 没有段错误，只是一个普通错误。

我们能不能将其行为修改成和用户态访问非法地址一致呢？简单，替换掉bad_to_user即可，代码如下：

// fix_ex.c
#include <linux/module.h>
#include <linux/sched.h>
#include <linux/kallsyms.h>int (*_lookup_symbol_name)(unsigned long, char *);
unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);
unsigned long start_ex, end_ex;
void *_bad_from_user, *_bad_to_user;void kill_user_from(void)
{printk("经理！rush tighten beat electric discourse!\n");force_sig(SIGSEGV, current);
}void kill_user_to(void)
{printk("经理！rush tighten beat electric discourse! SB 皮鞋\n");force_sig(SIGSEGV, current);
}unsigned int old, new;int (*_lookup_symbol_name)(unsigned long, char *);
unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);int hook_fixup(void *origfunc1, void *origfunc2, void *newfunc1, void *newfunc2)
{unsigned long i;unsigned long fixup, fixinsn;char fixname[128];for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) {fixup = i + sizeof(unsigned int);fixinsn = fixup + *(unsigned int *)fixup;fixinsn |= 0xffffffff00000000;_lookup_symbol_name(fixinsn, fixname);if (!strcmp(fixname, origfunc1) ||!strcmp(fixname, origfunc2)) {unsigned long new;unsigned int newfix;if (!strcmp(fixname, origfunc1)) {new = (unsigned long)newfunc1;} else {new = (unsigned long)newfunc2;}new -= fixup;newfix = (unsigned int)new;*(unsigned int *)fixup = newfix;}}return 0;
}int init_module(void)
{_lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name");_get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos");_bad_from_user = (void *)kallsyms_lookup_name("bad_from_user");_bad_to_user = (void *)kallsyms_lookup_name("bad_to_user");start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table");end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table");hook_fixup("bad_from_user", "bad_to_user", kill_user_from, kill_user_to);return 0;
}
void cleanup_module(void)
{hook_fixup("kill_user_from", "kill_user_to", _bad_from_user, _bad_to_user);
}MODULE_LICENSE("GPL");

编译，加载，重新执行我们的a.out：

[root@localhost test]# insmod ./fix_ex.ko
[root@localhost test]# ./a.out
open: Success
段错误
[root@localhost test]# dmesg
[ 8686.091738] 经理！rush tighten beat electric discourse! SB 皮鞋
[root@localhost test]#

发生了段错误，并且打印出了让经理赶紧打电话的句子。

其实，我的目的并不是这样的，我真正的意思是，Linux的异常处理链表，又是一个藏污纳垢的好地方，我们可以在上面的hook函数中藏一些代码，比如说inline hook之类的，然后呢？然后静悄悄地等待用户态进程的bug导致异常处理被执行。将代码注入的时间线拉长，从而更难让运维和经理注意到。

让代码注入的时间点和模块插入的时间点分开，让事情更加混乱。

不过，注意好隐藏模块或者oneshot哦。

浙江温州皮鞋湿，下雨进水不会胖。

修改掉Linux内核缺页中断处理的exception fixup表相关推荐

模拟linux内核异常,Linux内核态缺页会发生什么 - 玩转Exception fixup表
近日,我在写内核模块的时候犯了一个低级错误: 直接access用户态的内存而没有使用copy_to_user/copy_from_user! 在内核看来,用户态提供的虚拟地址是不可信的,所以在一旦在内 ...
缺少linux内核,Linux内核态缺页会发生什么？一文玩转Exception fixup表
近日,我在写内核模块的时候犯了一个低级错误: 直接access用户态的内存而没有使用copy_to_user/copy_from_user! 在内核看来,用户态提供的虚拟地址是不可信的,所以在一旦在内 ...
缺少linux内核,Linux内核缺页
整个缺页异常的处理过程非常复杂,我们这里只简单介绍一下缺页涉及到的内核函数. 当CPU产生一个异常时,将会跳转到异常处理的整个处理流程中.对于缺页异常,CPU将跳转到page_fault异常处理程序中 ...
Linux内核分析 - 网络[九]：邻居表
内核版本:2.6.34 这部分的重点是三个核心的数据结构-邻居表.邻居缓存.代理邻居表,以及NUD状态转移图. 总的来说,要成功添加一条邻居表项,需要满足两个条件:1. 本机使用该表项:2. 对方主机 ...
linux下IPROTO_TCP,TCP/IP协议栈在Linux内核中的运行时序分析
可选题目三:TCP/IP协议栈在Linux内核中的运行时序分析在深入理解Linux内核任务调度(中断处理.softirg.tasklet.wq.内核线程等)机制的基础上,分析梳理send和recv过 ...
Linux内核中断顶半部和底半部的理解
工科生一枚,热衷于底层技术开发,有强烈的好奇心,感兴趣内容包括单片机,嵌入式Linux,Uboot等,欢迎学习交流! 爱好跑步,打篮球,睡觉. 欢迎加我QQ1500836631(备注CSDN),一起学 ...
spinlock与linux内核调度的关系
作者:刘洪涛,华清远见嵌入式学院高级讲师,ARM公司授权ATC讲师. 关于自旋锁用法介绍的文章,已经有很多,但有些细节的地方点的还不够透.我这里就把我个人认为大家容易有疑问的地方拿出来讨论一下. ...
Linux 内核协议栈学习资料
终极资料 1.<Understanding Linux Network Internals> 2.<TCP/IP Architecture, Design and Implement ...
Linux内核深入理解中断和异常（2）：初步中断处理-中断加载
Linux内核深入理解中断和异常(2):初步中断处理-中断加载 rtoax 2021年3月 1. 总体概览关于idt_table结构的填充,在5.10.13中流程为: idt_setup_early ...

修改掉Linux内核缺页中断处理的exception fixup表

修改掉Linux内核缺页中断处理的exception fixup表相关推荐

最新文章

热门文章