當(dāng)前位置：首頁 > 公眾號(hào)精選 > 21ic電子網(wǎng)

Linux內(nèi)核態(tài)缺頁會(huì)發(fā)生什么？一文玩轉(zhuǎn)Exception fixup表

時(shí)間：2020-06-03 23:22:14

關(guān)鍵字：內(nèi)核 ce

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]近日，我在寫內(nèi)核模塊的時(shí)候犯了一個(gè)低級(jí)錯(cuò)誤：直接access用戶態(tài)的內(nèi)存而沒有使用copy_to_user/copy_from_user！在內(nèi)核看來，用戶態(tài)提供的虛擬地址是不可信的，所以在一旦在內(nèi)核態(tài)訪問用戶態(tài)內(nèi)存發(fā)生缺頁中斷，處理起來是非常棘手的。 Linux內(nèi)核的做法是提

center;display: flex;margin: 10px 0%;box-sizing: border-box;text-align: left;">

近日，我在寫內(nèi)核模塊的時(shí)候犯了一個(gè)低級(jí)錯(cuò)誤：

直接access用戶態(tài)的內(nèi)存而沒有使用copy_to_user/copy_from_user！

在內(nèi)核看來，用戶態(tài)提供的虛擬地址是不可信的，所以在一旦在內(nèi)核態(tài)訪問用戶態(tài)內(nèi)存發(fā)生缺頁中斷，處理起來是非常棘手的。

Linux內(nèi)核的做法是提供了一張異常處理表，使用專有的函數(shù)來訪問用戶態(tài)內(nèi)存。類似 try-catch塊一般。具體詳情可參見copy_to_user/copy_from_user的實(shí)現(xiàn)以及內(nèi)核文檔Documentation/x86/exception-tables.txt的描述。

本來簡(jiǎn)單看下這個(gè)異常處理表能怎么玩。

首先，我們可以寫一片代碼，將內(nèi)核的異常處理表dump下來：

// show_extable.c#include <linux/module.h>#include <linux/kallsyms.h>
int (*_lookup_symbol_name)(unsigned long, char *);unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);unsigned long start_ex, end_ex;
int init_module(void){ unsigned long i; unsigned long orig, fixup, originsn, fixinsn, offset, size; char name[128], fixname[128];
 _lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name"); _get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos"); start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table"); end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table");
 // 按照exception_table_entry的sizeof從start遍歷到end。 for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) { orig = i; // 取出exception_table_entry的insn字段地址。 fixup = i + sizeof(unsigned int); // 取出fixup字段地址。
 originsn = orig + *(unsigned int *)orig; // 根據(jù)相對(duì)偏移字段求出絕對(duì)地址 originsn |= 0xffffffff00000000; fixinsn = fixup + *(unsigned int *)fixup; fixinsn |= 0xffffffff00000000; _get_symbol_pos(originsn, &size, &offset); _lookup_symbol_name(originsn, name); _lookup_symbol_name(fixinsn, fixname); printk("[%lx]%s+0x%lx/0x%lx [%lx]%s\n", originsn, name, offset, size, fixinsn, fixname); }
 return -1;}MODULE_LICENSE("GPL");

我們看下輸出：

# ___sys_recvmsg+0x253位置發(fā)生異常，跳轉(zhuǎn)到ffffffff81649396處理異常。[ 7655.267616] [ffffffff8150d7a3]___sys_recvmsg+0x253/0x2b0 [ffffffff81649396]bad_to_user...# create_elf_tables+0x3cf位置處如果發(fā)生異常，跳轉(zhuǎn)到ffffffff81648a07地址執(zhí)行異常處理。[ 7655.267727] [ffffffff8163250e]create_elf_tables+0x3cf/0x509 [ffffffff81648a1b]bad_gs

一般而言，類似bad_to_user，bad_from_user之類的異常處理函數(shù)都是直接返回用戶一個(gè)錯(cuò)誤碼，比如Bad address之類，并不是直接用戶程序直接段錯(cuò)誤，這一點(diǎn)和用戶態(tài)訪問非法地址直接發(fā)送SIGSEGV有所不同。比如：

#include <fcntl.h>int main(int argc, char **argv){ int fd; int ret; char *buf = (char *)0x56; // 顯然是一個(gè)非法地址。
 fd = open("/proc/sys/net/nf_conntrack_max", O_RDWR | O_CREAT, S_IRWXU); perror("open"); ret = read(fd, buf, 100); perror("read");}

執(zhí)行之：

[root@localhost test]# ./a.outopen: Successread: Bad address # 沒有段錯(cuò)誤，只是一個(gè)普通錯(cuò)誤。

我們能不能將其行為修改成和用戶態(tài)訪問非法地址一致呢？簡(jiǎn)單，替換掉bad_to_user即可，代碼如下：

// fix_ex.c#include <linux/module.h>#include <linux/sched.h>#include <linux/kallsyms.h>
int (*_lookup_symbol_name)(unsigned long, char *);unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);unsigned long start_ex, end_ex;void *_bad_from_user, *_bad_to_user;
void kill_user_from(void){ printk("經(jīng)理！rush tighten beat electric discourse!\n"); force_sig(SIGSEGV, current);}
void kill_user_to(void){ printk("經(jīng)理！rush tighten beat electric discourse! SB 皮鞋\n"); force_sig(SIGSEGV, current);}
unsigned int old, new;
int (*_lookup_symbol_name)(unsigned long, char *);unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);
int hook_fixup(void *origfunc1, void *origfunc2, void *newfunc1, void *newfunc2){ unsigned long i; unsigned long fixup, fixinsn; char fixname[128];

 for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) { fixup = i + sizeof(unsigned int); fixinsn = fixup + *(unsigned int *)fixup; fixinsn |= 0xffffffff00000000; _lookup_symbol_name(fixinsn, fixname); if (!strcmp(fixname, origfunc1) || !strcmp(fixname, origfunc2)) { unsigned long new; unsigned int newfix;
 if (!strcmp(fixname, origfunc1)) { new = (unsigned long)newfunc1; } else { new = (unsigned long)newfunc2; } new -= fixup; newfix = (unsigned int)new; *(unsigned int *)fixup = newfix; } }
 return 0;}
int init_module(void){ _lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name"); _get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos"); _bad_from_user = (void *)kallsyms_lookup_name("bad_from_user"); _bad_to_user = (void *)kallsyms_lookup_name("bad_to_user"); start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table"); end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table");
 hook_fixup("bad_from_user", "bad_to_user", kill_user_from, kill_user_to); return 0;}void cleanup_module(void){ hook_fixup("kill_user_from", "kill_user_to", _bad_from_user, _bad_to_user);}
MODULE_LICENSE("GPL");

編譯，加載，重新執(zhí)行我們的a.out：

[root@localhost test]# insmod ./fix_ex.ko[root@localhost test]# ./a.outopen: Success段錯(cuò)誤[root@localhost test]# dmesg[ 8686.091738] 經(jīng)理！rush tighten beat electric discourse! SB 皮鞋[root@localhost test]#

發(fā)生了段錯(cuò)誤，并且打印出了讓經(jīng)理趕緊打電話的句子。

其實(shí)，我的目的并不是這樣的，我真正的意思是，Linux的異常處理鏈表，又是一個(gè)藏污納垢的好地方，我們可以在上面的hook函數(shù)中藏一些代碼，比如說inline hook之類的，然后呢？然后靜悄悄地等待用戶態(tài)進(jìn)程的bug導(dǎo)致異常處理被執(zhí)行。將代碼注入的時(shí)間線拉長(zhǎng)，從而更難讓運(yùn)維和經(jīng)理注意到。

讓代碼注入的時(shí)間點(diǎn)和模塊插入的時(shí)間點(diǎn)分開，讓事情更加混亂。不過，注意好隱藏模塊或者oneshot哦。

浙江溫州皮鞋濕，下雨進(jìn)水不會(huì)胖。

center;transform: translate3d(-5px, 0px, 0px);margin-right: 0%;margin-left: 0%;box-sizing: border-box;" powered-by="xiumi.us">

作者：dog250

來源：https://blog.csdn.net/dog250/article/details/106105523

免責(zé)聲明：本文內(nèi)容由21ic獲得授權(quán)后發(fā)布，版權(quán)歸原作者所有，本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。文章僅代表作者個(gè)人觀點(diǎn)，不代表本平臺(tái)立場(chǎng)，如有問題，請(qǐng)聯(lián)系我們，謝謝！

掃描二維碼，關(guān)注更多精彩內(nèi)容

本站聲明：本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布，目的在于傳遞更多信息，并不代表本站贊同其觀點(diǎn)，本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專欄作者，如若文章內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系本站刪除。

換一批

阿維塔、賽力斯已入股！華為引望可能成“中國(guó)博世”

9月2日消息，不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司，隨著阿維塔和賽力斯的入局，華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字：阿維塔塞力斯華為

[美通社全球TMT]

Trianz與AWS達(dá)成戰(zhàn)略合作協(xié)議，徹底改變?cè)撇捎煤凸芾矸绞?/a>

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布，該公司與Amazon Web Services （AWS）簽訂了...

關(guān)鍵字： AWS AN BSP 數(shù)字化

[美通社全球TMT]

人工智能驅(qū)動(dòng)工具SODA V將顛覆汽車市場(chǎng)，使汽車開發(fā)時(shí)間和成本降低90%

倫敦2024年8月29日 /美通社/ -- 英國(guó)汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V，這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具，可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時(shí)1.5...

關(guān)鍵字：汽車人工智能智能驅(qū)動(dòng) BSP

[美通社全球TMT]

從容應(yīng)對(duì)未知風(fēng)險(xiǎn)----解密亞馬遜云科技的韌性之道

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行，同時(shí)企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險(xiǎn)，如企業(yè)系統(tǒng)復(fù)雜性的增加，頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性，提升韌性，成...

關(guān)鍵字：亞馬遜解密控制平面 BSP

[通信先鋒]

中國(guó)游戲市場(chǎng)開始復(fù)蘇！騰訊、網(wǎng)易等巨頭縮減在日本投資

8月30日消息，據(jù)媒體報(bào)道，騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場(chǎng)的投資。

關(guān)鍵字：騰訊編碼器 CPU

[通信先鋒]

獨(dú)立自主！華為董事：致力打造不依賴西方的技術(shù)

8月28日消息，今天上午，2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開幕式在貴陽舉行，華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字：華為 12nm EDA 半導(dǎo)體

[通信先鋒]

華為張平安：數(shù)字世界話語權(quán)最終由生態(tài)繁榮決定！

8月28日消息，在2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上，華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱，數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字：華為 12nm 手機(jī) 衛(wèi)星通信

[美通社全球TMT]

中國(guó)通信服務(wù)公布2024年中期業(yè)績(jī)

要點(diǎn)：有效應(yīng)對(duì)環(huán)境變化，經(jīng)營(yíng)業(yè)績(jī)穩(wěn)中有升落實(shí)提質(zhì)增效舉措，毛利潤(rùn)率延續(xù)升勢(shì) 戰(zhàn)略布局成效顯著，戰(zhàn)新業(yè)務(wù)引領(lǐng)增長(zhǎng) 以科技創(chuàng)新為引領(lǐng)，提升企業(yè)核心競(jìng)爭(zhēng)力堅(jiān)持高質(zhì)量發(fā)展策略，塑強(qiáng)核心競(jìng)爭(zhēng)優(yōu)勢(shì)...

關(guān)鍵字：通信 BSP 電信運(yùn)營(yíng)商數(shù)字經(jīng)濟(jì)

[美通社全球TMT]

NVI技術(shù)創(chuàng)新聯(lián)盟成立！自主生態(tài)將帶動(dòng)產(chǎn)業(yè)鏈高速發(fā)展

北京2024年8月27日 /美通社/ -- 8月21日，由中央廣播電視總臺(tái)與中國(guó)電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。活動(dòng)現(xiàn)場(chǎng) NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字： VI 傳輸協(xié)議音頻 BSP

[美通社全球TMT]

軟通動(dòng)力與長(zhǎng)三角投資達(dá)成戰(zhàn)略合作共謀數(shù)字生態(tài)新發(fā)展

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長(zhǎng)三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上，軟通動(dòng)力信息技術(shù)（集團(tuán)）股份有限公司（以下簡(jiǎn)稱"軟通動(dòng)力"）與長(zhǎng)三角投資（上海）有限...

關(guān)鍵字： BSP 信息技術(shù)