多线程内存问题分析之mprotect方法

最新推荐文章于 2024-02-04 00:09:32 发布
最新推荐文章于 2024-02-04 00:09:32 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: Android

http://www.yebangyu.org/blog/2016/02/01/detectmemoryghostinmultithread/


多线程中的内存问题,一直被认为是噩梦般的存在,几乎只有高手、大仙才能解决。除了大量的打log、gdb调试、code review以及依靠多年的经验和直觉之外,有没有一些分析的手段和工具呢?答案是肯定的。本文首先介绍其中的一种:mprotect大法。通过mprotect,保护特定的感兴趣的内存,当有线程改写该区域时,会产生一个中断,我们在中断处理函数中把调用栈等信息打印出来。这是大概的思路,不过其中的问题很多,我们慢慢道来。

原理

mprotect函数

mprotect函数的原型如下:

int mprotect(const void *addr, size_t len, int prot);

其中addr是待保护的内存首地址,必须按页对齐;len是待保护内存的大小,必须是页的整数倍,prot代表模式,可能的取值有PROT_READ(表示可读)、PROT_WRITE(可写)等。

不同体系结构和操作系统,一页的大小不尽相同。如何获得页大小呢?通过PAGE_SIZE宏或者getpagesize()系统调用即可。

定制中断处理函数

当线程试图对我们已保护(成只读)的内存进行篡改时,默认情况下程序会收到SIGSEGV错误而退出。能不能不退出并且把相应的调用栈打印出来分析?当然可以。通过如下代码注册你定制的中断处理函数即可:

struct sigaction act;
act.sa_sigaction = your_handler;
sigemptyset(&act.sa_mask);
act.sa_flags = SA_SIGINFO;
if(sigaction(SIGSEGV, &act, NULL) == -1) {
  perror("Register hanlder failed");
  exit(EXIT_FAILURE);
}

这样,控制流就会到达你编写的your_handler函数上。而your_handler的函数原型是:

void your_handler(int sig, siginfo_t *si, void *unused);

编写your_handler函数即可?是的,不过这里面有两个注意事项:

1,中断处理函数里不应该调用内存分配函数,否则可能会引起double fault。因此,不适合调用backtrace_symbols(内部会动态分配内存),而是通过backtrace_symbols_fd直接将调用栈信息直接刷到文件中。

2,中断处理函数中应该恢复被保护内存为可写,否则会引起死循环。(再次中断并进入咱们编写的函数)

封装

为了方便使用,我封装了一个类,供参考:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73

#include <fcntl.h>
#include <signal.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/stat.h>
#include <unistd.h>
#include <sys/user.h>
#include <execinfo.h>
class MemoryDetector
{
public:
  typedef void (*segv_handler) (int sig, siginfo_t *si, void *unused);
  static void init(const char *path)
  {
    register_handler(handler);
    fd_ = open(path, O_RDWR|O_CREAT, 777);
  }
  static int protect(void *p, int len)
  {
    address_ = reinterpret_cast<uint64_t>(p);
    len_ = len;
    uint64_t start_address = (address_ >> PAGE_SHIFT) << PAGE_SHIFT;
    return mprotect(reinterpret_cast<void *>(start_address), PAGE_SIZE, PROT_READ);
  }
  static int umprotect(void *p, int len)
  {
    uint64_t tmp_address_ = reinterpret_cast<uint64_t>(p);
    uint64_t start_address = (tmp_address_ >> PAGE_SHIFT) << PAGE_SHIFT;
    return mprotect(reinterpret_cast<void *>(start_address), PAGE_SIZE, PROT_READ | PROT_WRITE);
  }
  static int umprotect()
  {
    uint64_t start_address = (address_ >> PAGE_SHIFT) << PAGE_SHIFT;
    return mprotect(reinterpret_cast<void *>(start_address), PAGE_SIZE, PROT_READ | PROT_WRITE);
  }
  static void finish()
  {
    close(fd_);
  }
private:
  static void register_handler(segv_handler sh)
  {
    struct sigaction act;
    act.sa_sigaction = sh;
    sigemptyset(&act.sa_mask);
    act.sa_flags = SA_SIGINFO;
    if(sigaction(SIGSEGV, &act, NULL) == -1){
      perror("Register hanlder failed");
      exit(EXIT_FAILURE);
    }
  }
  static void handler(int sig, siginfo_t *si, void *unused)
  {
    uint64_t address = reinterpret_cast<uint64_t>(si->si_addr);
    if (address >= address_ && address < address_ + len_) {
      umprotect(si->si_addr, PAGE_SIZE);
      my_backtrace();
    }
  }
  static void my_backtrace()
  {
    const int N = 100;
    void* array[100];
    size_t size = backtrace(array, N);
    backtrace_symbols_fd(array, size, fd_);
  }
  static uint64_t address_;
  static int len_;
  static int fd_;
};

这个封装还存在一些问题,比如缺少错误处理,待保护内存必须在一页内等。读者诸君可以根据需要自行完善。

实战

来个例子,实战一下吧

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

#include "test.h" //就是上面封装的MemoryDetector类
#include <thread>
using namespace std;
uint64_t MemoryDetector::address_ = 0;
int MemoryDetector::len_ = 0;
int MemoryDetector::fd_ = 0;
///
int *p = NULL;
void g()
{
  usleep(2000000);
  char *q = reinterpret_cast<char *>(p);
  *(q+2) = 111;//非法篡改!!!
}
void f()
{
  p = new int(1);
  MemoryDetector::protect(p, 4);
}
int main()
{
  const char *path = "result.tmp";//调用栈信息存放路径
  MemoryDetector::init(path);
  std::thread t1(f);
  std::thread t2(g);
  t1.join();
  t2.join();
  MemoryDetector::finish();
  return 0;
}

用如下方式编译链接以上程序:

g++ -g -rdynamic -std=c++11 -pthread  test.cpp -o test

程序运行结束后,打开result.tmp文件,看到如下内容:

./test(_ZN14MemoryDetector12my_backtraceEv+0x26)[0x405ce8]
./test(_ZN14MemoryDetector7handlerEiP7siginfoPv+0x60)[0x405cc0]
/lib64/libpthread.so.0[0x339a80f500]
./test(_Z1gv+0x25)[0x405909]
./test(_ZNSt6thread5_ImplIPFvvEE6_M_runEv+0x16)[0x406e2c]
/usr/lib64/libstdc++.so.6[0x3a6f6b6490]
/lib64/libpthread.so.0[0x339a807851]
/lib64/libc.so.6(clone+0x6d)[0x339a4e767d]

注意其中的第四行:./test(_Z1gv+0x25)[0x405909]。使用addr2line命令:

addr2line -e test 0x405909

获得非法篡改的代码位置:

/home/yebangyu/test.cpp:13

真相大白了。


agwtpcbox
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
c++-mprotect.tar.gz
10-27
为了让应用在内存时就发生崩溃(这样可以使用gdb调试,或分析其coredump),一种方法是将C++类对象配置成只读属性;可用的系统调用为mprotect,它可以配置一段对页对齐的内存区域内存的读写属性。
使用mprotect系统调用来调试内存问题:memalign,aligned_alloc
RToax
09-30 1432
编写多任务应用程序时需要做出的决定之一是使用进程(使用fork系统调用)还是使用线程(使用posix库)。使用多个线程的主要好处是它们之间共享内存,但是当一个线程例如捣毁另一个线程缓冲区时,此功能也会产生问题。调试这种情况很困难,因为我们看到了垃圾数据,但是我们无法弄清楚是哪个线程执行的。 解决该问题的一种方法是在缓冲区之间添加没有权限的保护页。在Linux中使用posix线程时,默认情况下,其保护大小属性为一页自动完成。 例: #include<stdio.h> #include&lt
mprotect,ret2libc
2301_79879963的博客
01-27 456
果然是进入了mprotect函数,再ni就ni不动了,因为我们还没有填入返回地址,接下来再将返回地址修改为bss,但是到这我们只是修改了bss的权限,以及返回到bss并没有获取权限的操作,那么接下来需要再使用。然后来讲讲mprotect函数的使用规则:mprotect(起始地址(要把后三位地址换成000),长度,0-7(取决于你想把目标地址权限改成什么样儿,一般改成7:可读可写可执行))看到gets函数,那么就存在栈溢出了,shift+f12看了一下也是没有后门函数什么的。
mprotect定位内存问题
happylzs2008的专栏
12-09 435
Linux C/C++内存越界定位: 利用mprotect使程序在crash在第一现场 https://blog.csdn.net/thisinnocence/article/details/80025064 linux c之使用mprotect检测内存访问 https://blog.csdn.net/earbao/article/details/51536304 用mprotect定位...
理解 Memory barrier(内存屏障)无锁环形队列
bob的博客
02-19 1105
Memory barrier 简介 程序在运行时内存实际的访问顺序和程序代码编写的访问顺序不一定一致,这就是内存乱序访问。内存乱序访问行为出现的理由是为了提升程序运行时的性能。内存乱序访问主要发生在两个阶段: 编译时,编译器优化导致内存乱序访问(指令重排) 运行时,多 CPU 间交互引起内存乱序访问 Memory barrier 能够让 CPU 或编译器在内存访问上有序。一个 Memory barrier 之前的内存访问操作必定先于其之后的完成。Memory barrier 包括两类: 编译器 bar
mprotect排查全局变量内存被篡改问题
攀的博客
02-04 906
内存篡改
linux gcc g++编译命令选项
swartz_lubel的专栏
02-23 3603
gcc/g++在执行编译工作的时候,总共需要4步 1.预处理,生成.i的文件[预处理器cpp] 2.将预处理后的文件不转换成汇编语言,生成文件.s[编译器egcs] 3.有汇编变为目标代码(机器代码)生成.o的文件[汇编器as] 4.连接目标代码,生成可执行程序[链接器ld] [参数详解] -c   只激活预处理,编译,和汇编,也就是他只把程序做成obj文件
Linux 多线程程序调用malloc,backtrace引发死锁问题的调试
DaliATOM的专栏
10-20 5147
信号处理函数必须是可重入函数,否则在多线程设计结构中容易造成不可预知的错误或造成程序死锁。
Linux中mprotect()函数详解
热门推荐
qq_15762939的博客
01-29 1万+
测试源码 //mmp.c #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/mman.h> int *g_ps32Result; void add(int a, int b) { *g_ps32Result = a + b; } void s...
如何在linux系统中修改其他进程的内存,如何在任意进程中修改内存保护属性
weixin_33016355的博客
04-29 527
最近,我们在进行一项安全研究时,需要在任意进程中修改内存空间的保护标志。起初,我们发现这项任务看起来很简单,但在实际操作中,却发现困难重重,还好这些都不是什么大问题。在解决这些问题的过程中,我们还学到了一些新的东西,主要是关于Linux机制和内核开发的。在以下的详解中,我们会介绍我们所采取的三种方法以及每次寻求更好解决方案的原因。背景介绍在现代操作系统中,每个进程都有自己的虚拟地址空间(从虚拟地址...
mprotect: 设置内存访问权限 Linux GCC
liulilittle的博客
03-15 686
mmap 的第三个参数指定对内存区域的保护,由标记读、写、执行权限的 PROT_READ、PROT_WRITE 和 PROT_EXEC 按位与操作获得,或者是限制没有访问权限的 PROT_NONE。mprotect 的参数分别为内存区间的地址,区间的大小,新的保护标志设置。有一种监控内存访问的高级技巧,可以通过利用 mmap 和 mprotect 保护目标内存区间,然后当程序访问时候接收并处理 Linux 系统发送的 SIGSEGV 信号。这个句柄将解除内存保护,因而程序内存访问得以继续。
定位多线程内存越界问题实践总结
02-05
最近定位了在一个多线程服务器程序(OceanBase MergeServer)中,一个线程非法篡改另一个线程的内存而导致程序core掉的问题定位这个问题花了整整一周的时间,期间历经曲折,尝试了各种内存调试的办法。往往感觉...
macos-golink-wrapper:解决“syscall.Mprotect panic
05-30
macos-golink-包装器使用或时,在macOS Catalina 10.15.x上的Golang中对“ syscall.Mprotect紧急:权限被拒绝”的解决方案这个怎么运作链接max_prot值更改为0x7 。 参考问题: : 用法假设 Go 安装在/opt/go 导航到...
jvm-suspend-working-thread-机制:jvm暂停工作线程的机制
02-16
JVM挂起工作线程的机制与原理首选使用Clang编译GCC编译会报错目前未研究...问题可以直接在linux上运行./main通过mprotect设置内存访问权限mprotect提供下图多个访问权限设置使用mprotect对特定内存区域设置附加保护并...
region-用于处理内存区域的库-Rust开发
05-27
用于操纵内存区域的跨平台Rust API,其底层实现使用平台特定的API(例如,VirtualQuery,VirtualLock,mprotect,mlock) )。平台该库为以下目标提供CI:Linux aarch64-linux-android armv7-unknown-linux-...
Linux操作系统相关习题集
04-25
Linux操作系统相关习题集,包含常用名、Linux系统基础知识等
基于java的-30-「计算机毕业设计」基于net的湖南特产销售网站-源码.zip
04-25
提供的源码资源涵盖了Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 适合毕业设计、课程设计作业。这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。 所有源码均经过严格测试,可以直接运行,可以放心下载使用。有任何使用问题欢迎随时与博主沟通,第一时间进行解答!
JVM+Java程序运行过程内存分配图解
最新发布
04-25
1、JVM 内存分配图解的 Visio 工程图。 2、直接下载使用、可自行调整和修改
IOC智慧运营中心平台整体解决方案qy.pptx
04-25
IOC智慧运营中心平台整体解决方案qy.pptx
mprotect产生core
01-05
mprotect()是一个用于保护内存区域权限的系统调用函数。它可以用于更改内存区域的保护属性,如可读、可写、可执行等。当mprotect()函数被错误地使用时,可能会导致产生core文件。 在使用mprotect()函数时,可能会出现以下一些错误情况: 1. 内存区域无效:当尝试对一个无效的内存区域进行保护属性更改时,可能会导致产生core文件。无效的内存区域可能包括未映射的、未分配的或无效地址的内存区域。 2. 权限错误:当试图以无效的权限对内存区域进行保护属性更改时,也可能导致产生core文件。例如,如果尝试将一个不可写的内存区域设置为可写,或将一个不可执行的区域设置为可执行。 3. 内存操作冲突:如果在对内存区域进行保护属性更改的同时,该区域正在被其他操作使用(例如读取、写入或执行),可能会导致产生core文件。 当出现上述错误情况时,操作系统内核可能会捕获错误,并将错误信息写入core文件中。core文件是一种用于调试的文件,它包含在程序崩溃或产生其他异常情况时的程序状态和内存映像。通过分析core文件,开发者可以了解程序出错的位置和原因,从而进行调试和修复。 为了避免mprotect()产生core文件,开发者应该仔细检查每次调用mprotect()函数的参数,并确保内存区域和权限设置是合法和正确的。此外,还应注意在对内存区域进行保护属性更改时,避免其他操作对该区域产生冲突。合理使用mprotect()函数可以帮助提高程序的安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值