Linux内核态缺页会发生什么 - 玩转Exception fixup表

最新推荐文章于 2023-02-06 12:34:24 发布
最新推荐文章于 2023-02-06 12:34:24 发布
阅读量734 收藏 2
点赞数
原文链接:https://blog.csdn.net/dog250/article/details/106105523
版权

近日,我在写内核模块的时候犯了一个低级错误:

  • 直接access用户态的内存而没有使用copy_to_user/copy_from_user!

在内核看来,用户态提供的虚拟地址是不可信的,所以在一旦在内核态访问用户态内存发生缺页中断,处理起来是非常棘手的。

Linux内核的做法是提供了一张 异常处理表 ,使用专有的函数来访问用户态内存。类似 try-catch块一般。具体详情可参见copy_to_user/copy_from_user的实现以及内核文档Documentation/x86/exception-tables.txt的描述。

本来简单看下这个异常处理表能怎么玩。

首先,我们可以写一片代码,将内核的异常处理表dump下来:

// show_extable.c
#include <linux/module.h>
#include <linux/kallsyms.h>


int (*_lookup_symbol_name)(unsigned long, char *);
unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);
unsigned long start_ex, end_ex;


int init_module(void)
{
  unsigned long i;
  unsigned long orig, fixup, originsn, fixinsn, offset, size;
  char name[128], fixname[128];


  _lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name");
  _get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos");
  start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table");
  end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table");


  // 按照exception_table_entry的sizeof从start遍历到end。
  for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) {
    orig = i; // 取出exception_table_entry的insn字段地址。
    fixup = i + sizeof(unsigned int); // 取出fixup字段地址。


    originsn = orig + *(unsigned int *)orig; // 根据相对偏移字段求出绝对地址
    originsn |= 0xffffffff00000000;
    fixinsn = fixup + *(unsigned int *)fixup;
    fixinsn |= 0xffffffff00000000;
    _get_symbol_pos(originsn, &size, &offset);
    _lookup_symbol_name(originsn, name);
    _lookup_symbol_name(fixinsn, fixname);
    printk("[%lx]%s+0x%lx/0x%lx [%lx]%s\n",
        originsn,
        name,
        offset,
        size,
        fixinsn,
        fixname);
  }


  return -1;
}
MODULE_LICENSE("GPL");

我们看下输出:

# ___sys_recvmsg+0x253位置发生异常,跳转到ffffffff81649396处理异常。
[ 7655.267616] [ffffffff8150d7a3]___sys_recvmsg+0x253/0x2b0 [ffffffff81649396]bad_to_user
...
# create_elf_tables+0x3cf位置处如果发生异常,跳转到ffffffff81648a07地址执行异常处理。
[ 7655.267727] [ffffffff8163250e]create_elf_tables+0x3cf/0x509 [ffffffff81648a1b]bad_gs

一般而言,类似bad_to_user,bad_from_user之类的异常处理函数都是直接返回用户一个错误码,比如Bad address之类,并不是直接用户程序直接段错误,这一点和用户态访问非法地址直接发送SIGSEGV有所不同。比如:

#include <fcntl.h>
int main(int argc, char **argv)
{
  int fd;
  int ret;
  char *buf = (char *)0x56; // 显然是一个非法地址。


  fd = open("/proc/sys/net/nf_conntrack_max", O_RDWR | O_CREAT, S_IRWXU);
  perror("open");
  ret = read(fd, buf, 100);
  perror("read");
}

执行之:

[root@localhost test]# ./a.out
open: Success
read: Bad address # 没有段错误,只是一个普通错误。

我们能不能将其行为修改成和用户态访问非法地址一致呢?简单,替换掉bad_to_user即可,代码如下:

// fix_ex.c
#include <linux/module.h>
#include <linux/sched.h>
#include <linux/kallsyms.h>


int (*_lookup_symbol_name)(unsigned long, char *);
unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);
unsigned long start_ex, end_ex;
void *_bad_from_user, *_bad_to_user;


void kill_user_from(void)
{
  printk("经理!rush tighten beat electric discourse!\n");
  force_sig(SIGSEGV, current);
}


void kill_user_to(void)
{
  printk("经理!rush tighten beat electric discourse! SB 皮鞋\n");
  force_sig(SIGSEGV, current);
}


unsigned int old, new;


int (*_lookup_symbol_name)(unsigned long, char *);
unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);


int hook_fixup(void *origfunc1, void *origfunc2, void *newfunc1, void *newfunc2)
{
  unsigned long i;
  unsigned long fixup, fixinsn;
  char fixname[128];




  for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) {
    fixup = i + sizeof(unsigned int);
    fixinsn = fixup + *(unsigned int *)fixup;
    fixinsn |= 0xffffffff00000000;
    _lookup_symbol_name(fixinsn, fixname);
    if (!strcmp(fixname, origfunc1) ||
      !strcmp(fixname, origfunc2)) {
      unsigned long new;
      unsigned int newfix;


      if (!strcmp(fixname, origfunc1)) {
        new = (unsigned long)newfunc1;
      } else {
        new = (unsigned long)newfunc2;
      }
      new -= fixup;
      newfix = (unsigned int)new;
      *(unsigned int *)fixup = newfix;
    }
  }


  return 0;
}


int init_module(void)
{
  _lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name");
  _get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos");
  _bad_from_user = (void *)kallsyms_lookup_name("bad_from_user");
  _bad_to_user = (void *)kallsyms_lookup_name("bad_to_user");
  start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table");
  end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table");


  hook_fixup("bad_from_user", "bad_to_user", kill_user_from, kill_user_to);
  return 0;
}
void cleanup_module(void)
{
  hook_fixup("kill_user_from", "kill_user_to", _bad_from_user, _bad_to_user);
}


MODULE_LICENSE("GPL");

编译,加载,重新执行我们的a.out:

[root@localhost test]# insmod ./fix_ex.ko
[root@localhost test]# ./a.out
open: Success
段错误
[root@localhost test]# dmesg
[ 8686.091738] 经理!rush tighten beat electric discourse! SB 皮鞋
[root@localhost test]#

发生了段错误,并且打印出了让经理赶紧打电话的句子。

其实,我的目的并不是这样的,我真正的意思是,Linux的异常处理链表,又是一个藏污纳垢的好地方,我们可以在上面的hook函数中藏一些代码,比如说inline hook之类的,然后呢?然后静悄悄地等待用户态进程的bug导致异常处理被执行。将代码注入的时间线拉长,从而更难让运维和经理注意到。

让代码注入的时间点和模块插入的时间点分开,让事情更加混乱。不过,注意好隐藏模块或者oneshot哦。

浙江温州皮鞋湿,下雨进水不会胖。

————————————————

版权声明:本文为CSDN博主「dog250」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。

原文链接:

https://blog.csdn.net/dog250/article/details/106105523

(END)

Linux阅码场原创精华文章汇总

更多精彩,尽在"Linux阅码场",扫描下方二维码关注

宋宝华
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fixup-rbtx4927.rar_单片机开发_Unix_Linux_
08-11
Board specific pci fixups for the Toshiba rbtx4927.
修改掉Linux内核缺页中断处理的exception fixup
热门推荐
Netfilter
05-13 1万+
近日,我在写内核模块的时候犯了一个低级错误: 直接access用户的内存而没有使用copy_to_user/copy_from_user! 在内核看来,用户提供的虚拟地址是不可信的,所以在一旦在内核访问用户内存发生缺页中断,处理起来是非常棘手的。 Linux内核的做法是提供了一张 异常处理 ,使用专有的函数来访问用户内存。类似 try-catch块一般。具体详情可参见copy_to_user/copy_from_user的实现以及内核文档Documentation/x86/exception
linux内存管理--缺页异常处理
wenwuge_topsec的专栏
11-19 3130
缺页异常在linux内核处理中占有非常重要的位置,很多linux特性,如写时复制,页框延迟分配,内存回收中的磁盘和内存交换,都需要借助缺页异常来进行,本文介绍了linux缺页处理的情形和代码分析。
模拟linux内核异常,Linux内核缺页发生什么 - 玩转Exception fixup
weixin_39862871的博客
04-29 80
近日,我在写内核模块的时候犯了一个低级错误:直接access用户的内存而没有使用copy_to_user/copy_from_user!在内核看来,用户提供的虚拟地址是不可信的,所以在一旦在内核访问用户内存发生缺页中断,处理起来是非常棘手的。Linux内核的做法是提供了一张 异常处理 ,使用专有的函数来访问用户内存。类似 try-catch块一般。具体详情可参见copy_to_user...
重写-linux内存管理-缺页异常分析(上)
jianjian的博客
02-06 1483
从do_mem_abort追下来,大部分异常我们linux都是无法处理的,就直接把系统卡死。巨型页缺页匿名页缺页文件页缺页页在交换分区中也在其他内存节点中写时复制这些情况我们在下节中详细分析。
利用异常处理 Linux 内核缺页异常
juce的专栏
03-19 4386
在程序的执行过程中,因为遇到某种障碍而使 CPU 无法最终访问到相应的物理内存单元,即无法完成从虚拟地址到物理地址映射的时候,CPU 产生一次缺页异常,从而进行相应的缺页异常处理。基于 CPU 的这一特性,Linux 采用了请求调页(Demand Paging)和写时复制(Copy On Write)的技术 1. 请求调页是一种动内存分配技术,它把页框的分配推迟到不能再推迟为止。这种技术的动
linux copy_from_user实现原理
shenhuxi_yu的专栏
11-06 6880
linux4.9 aarch32 linux fixup table说明: http://cache.baiducontent.com/cm=9d78d513d99d1af31fa7837e7c428c2c5e1697634d91834521838448e2374c41362cf7fc677c1f5e95833e2616ae3a41f7b57337200357eccb979f4aaaeacf7...
linux fixup段和__ex_table段
ask_true的博客
04-15 331
linux copy_from_user实现原理 - it610.com struct exception_table_entry { unsigned long insn, fixup; }; .section __ex_table,"a" .align 4 .long 1b,3b .long 1b,3b分别对应exception_table_entry结构体中的insn、fixup,1b示pagefault时的地址标号,3b示pagefault时对应的hand..
一切皆是映射:浅谈操作系统内核缺页异常(Page Fault)
禅与计算机程序设计艺术
03-25 1万+
浅谈操作系统内核缺页异常(Page Fault) 缺页中断就是要访问的页不在主存,需要操作系统将其调入主存后再进行访问。在这个时候,被内存映射的文件实际上成了一个分页交换文件。 页缺失(英语:Page fault,又名硬错误、硬中断、分页错误、寻页缺失、缺页中断、页故障等),指的是当软件试图访问已映射在虚拟地址空间中,但是并未被加载在物理内存中的一个分页时,由中央处理器的内存管理单元所发出的...
git-absorb:git commit --fixup,但是自动
02-02
git-absorb:git commit --fixup,但是自动
git-fixup:与基准工作流中的复制粘贴元素作斗争
02-03
git-fixup:与基准工作流中的复制粘贴元素作斗争
FixUp Restrictions-开源
06-06
FixUp Restrictions 可以恢复您的任务管理器、注册编辑器、文件夹选项、搜索选项、隐藏驱动器、运行选项、显示隐藏文件和文件夹等选项,它可以帮助您从 Windows 注册和文件系统中删除病毒的影响。
sta2x11-fixup.rar_between
09-24
glue code for lib swiotlb.c and DMA translation between STA2x11 AMBA memory mapping and the X86 memory mapping.
基于matlab实现实现了基于项目的协同过滤代码,MATLAB实现.rar
05-04
基于matlab实现实现了基于项目的协同过滤代码,MATLAB实现.rar
各地区年末城镇登记失业人员及失业率.xls
最新发布
05-05
数据来源:中国劳动统计NJ-2023版
企业固定资产信息管理系统设计与实现.doc
05-04
企业固定资产信息管理系统设计与实现.doc
node-v11.14.0-darwin-x64.tar.xz
05-04
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v8.9.1-sunos-x64.tar.xz
05-04
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v12.10.0-linux-armv7l.tar.xz
05-04
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
openwrt makefile 中 PKG_FIXUP:=autoreconf 什么意思
06-08
`autoreconf` 是其中的一个选项,它自动运行 `autoconf` 和 `automake` 工具,以生成或更新 `configure` 脚本和 Makefile.in 文件,以便软件包能够正确地进行编译和安装。因此,`PKG_FIXUP:=autoreconf` 示在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值