多线程内存问题分析之mprotect方法

最新推荐文章于 2024-01-27 19:27:55 发布
最新推荐文章于 2024-01-27 19:27:55 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: Android

http://www.yebangyu.org/blog/2016/02/01/detectmemoryghostinmultithread/


多线程中的内存问题,一直被认为是噩梦般的存在,几乎只有高手、大仙才能解决。除了大量的打log、gdb调试、code review以及依靠多年的经验和直觉之外,有没有一些分析的手段和工具呢?答案是肯定的。本文首先介绍其中的一种:mprotect大法。通过mprotect,保护特定的感兴趣的内存,当有线程改写该区域时,会产生一个中断,我们在中断处理函数中把调用栈等信息打印出来。这是大概的思路,不过其中的问题很多,我们慢慢道来。

原理

mprotect函数

mprotect函数的原型如下:

int mprotect(const void *addr, size_t len, int prot);

其中addr是待保护的内存首地址,必须按页对齐;len是待保护内存的大小,必须是页的整数倍,prot代表模式,可能的取值有PROT_READ(表示可读)、PROT_WRITE(可写)等。

不同体系结构和操作系统,一页的大小不尽相同。如何获得页大小呢?通过PAGE_SIZE宏或者getpagesize()系统调用即可。

定制中断处理函数

当线程试图对我们已保护(成只读)的内存进行篡改时,默认情况下程序会收到SIGSEGV错误而退出。能不能不退出并且把相应的调用栈打印出来分析?当然可以。通过如下代码注册你定制的中断处理函数即可:

struct sigaction act;
act.sa_sigaction = your_handler;
sigemptyset(&act.sa_mask);
act.sa_flags = SA_SIGINFO;
if(sigaction(SIGSEGV, &act, NULL) == -1) {
  perror("Register hanlder failed");
  exit(EXIT_FAILURE);
}

这样,控制流就会到达你编写的your_handler函数上。而your_handler的函数原型是:

void your_handler(int sig, siginfo_t *si, void *unused);

编写your_handler函数即可?是的,不过这里面有两个注意事项:

1,中断处理函数里不应该调用内存分配函数,否则可能会引起double fault。因此,不适合调用backtrace_symbols(内部会动态分配内存),而是通过backtrace_symbols_fd直接将调用栈信息直接刷到文件中。

2,中断处理函数中应该恢复被保护内存为可写,否则会引起死循环。(再次中断并进入咱们编写的函数)

封装

为了方便使用,我封装了一个类,供参考:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73

#include <fcntl.h>
#include <signal.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/stat.h>
#include <unistd.h>
#include <sys/user.h>
#include <execinfo.h>
class MemoryDetector
{
public:
  typedef void (*segv_handler) (int sig, siginfo_t *si, void *unused);
  static void init(const char *path)
  {
    register_handler(handler);
    fd_ = open(path, O_RDWR|O_CREAT, 777);
  }
  static int protect(void *p, int len)
  {
    address_ = reinterpret_cast<uint64_t>(p);
    len_ = len;
    uint64_t start_address = (address_ >> PAGE_SHIFT) << PAGE_SHIFT;
    return mprotect(reinterpret_cast<void *>(start_address), PAGE_SIZE, PROT_READ);
  }
  static int umprotect(void *p, int len)
  {
    uint64_t tmp_address_ = reinterpret_cast<uint64_t>(p);
    uint64_t start_address = (tmp_address_ >> PAGE_SHIFT) << PAGE_SHIFT;
    return mprotect(reinterpret_cast<void *>(start_address), PAGE_SIZE, PROT_READ | PROT_WRITE);
  }
  static int umprotect()
  {
    uint64_t start_address = (address_ >> PAGE_SHIFT) << PAGE_SHIFT;
    return mprotect(reinterpret_cast<void *>(start_address), PAGE_SIZE, PROT_READ | PROT_WRITE);
  }
  static void finish()
  {
    close(fd_);
  }
private:
  static void register_handler(segv_handler sh)
  {
    struct sigaction act;
    act.sa_sigaction = sh;
    sigemptyset(&act.sa_mask);
    act.sa_flags = SA_SIGINFO;
    if(sigaction(SIGSEGV, &act, NULL) == -1){
      perror("Register hanlder failed");
      exit(EXIT_FAILURE);
    }
  }
  static void handler(int sig, siginfo_t *si, void *unused)
  {
    uint64_t address = reinterpret_cast<uint64_t>(si->si_addr);
    if (address >= address_ && address < address_ + len_) {
      umprotect(si->si_addr, PAGE_SIZE);
      my_backtrace();
    }
  }
  static void my_backtrace()
  {
    const int N = 100;
    void* array[100];
    size_t size = backtrace(array, N);
    backtrace_symbols_fd(array, size, fd_);
  }
  static uint64_t address_;
  static int len_;
  static int fd_;
};

这个封装还存在一些问题,比如缺少错误处理,待保护内存必须在一页内等。读者诸君可以根据需要自行完善。

实战

来个例子,实战一下吧

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

#include "test.h" //就是上面封装的MemoryDetector类
#include <thread>
using namespace std;
uint64_t MemoryDetector::address_ = 0;
int MemoryDetector::len_ = 0;
int MemoryDetector::fd_ = 0;
///
int *p = NULL;
void g()
{
  usleep(2000000);
  char *q = reinterpret_cast<char *>(p);
  *(q+2) = 111;//非法篡改!!!
}
void f()
{
  p = new int(1);
  MemoryDetector::protect(p, 4);
}
int main()
{
  const char *path = "result.tmp";//调用栈信息存放路径
  MemoryDetector::init(path);
  std::thread t1(f);
  std::thread t2(g);
  t1.join();
  t2.join();
  MemoryDetector::finish();
  return 0;
}

用如下方式编译链接以上程序:

g++ -g -rdynamic -std=c++11 -pthread  test.cpp -o test

程序运行结束后,打开result.tmp文件,看到如下内容:

./test(_ZN14MemoryDetector12my_backtraceEv+0x26)[0x405ce8]
./test(_ZN14MemoryDetector7handlerEiP7siginfoPv+0x60)[0x405cc0]
/lib64/libpthread.so.0[0x339a80f500]
./test(_Z1gv+0x25)[0x405909]
./test(_ZNSt6thread5_ImplIPFvvEE6_M_runEv+0x16)[0x406e2c]
/usr/lib64/libstdc++.so.6[0x3a6f6b6490]
/lib64/libpthread.so.0[0x339a807851]
/lib64/libc.so.6(clone+0x6d)[0x339a4e767d]

注意其中的第四行:./test(_Z1gv+0x25)[0x405909]。使用addr2line命令:

addr2line -e test 0x405909

获得非法篡改的代码位置:

/home/yebangyu/test.cpp:13

真相大白了。


agwtpcbox
关注
专栏目录
内存问题分析方法
x-2010的笔记
01-06 1625
比较麻烦的在于程序奔溃点在之后的某个时间出现。此时array为全局数组,则被坏的内存也属于全局数组(除非array定义在全局区域的边缘),此种情况比较容易查找,通常也是由于index越界引起,可通过被坏内容的特征往前推,大致推导开始的位置,找出对应的全局变量后检查代码逻辑,看是否存在溢出。看到func没有对参数i做范围检查,极可能传进的i超过10,甚至是负数,这就无法知道被内存位置和自己内存位置,此种问题也是最难查的,因为可能每次奔溃的情况都不一样。1.1.2. 栈溢出。
Linux mprotect函数 -- control the protection of pages
LU_ZHAO的博客
02-19 580
函数原型 int mprotect(void *addr, size_t len, int prot); 头文件 #include <sys/mman.h> #include <unistd.h> 描述 control the protection of pages. The mprotect() system call changes the specif...
linux编程之mprotect
云计算?
11-06 625
mprotect: 设置内存访问权限 mmap 的第三个参数指定对内存区域的保护,由标记读、写、执行权限的 PROT_READ、PROT_WRITE 和 PROT_EXEC 按位与操作获得,或者是限制没有访问权限的 PROT_NONE。如果程序尝试在不允许这些权限的本地内存上操作,它将被 SIGSEGV 信号(Segmentation fault,段错误)终止。 在内存映射完成后,这些...
mprotect
weixin_34315189的博客
03-07 160
mprotect- set protection on a region of memory Synopsis #include <sys/mman.h> int mprotect(const void *addr, size_t len, int prot); Description mprotect() changes protection for the ca...
mprotect()
刘松华-林散
05-15 1155
mprotect: 设置内存访问权限 mmap 的第三个参数指定对内存区域的保护,由标记读、写、执行权限的 PROT_READ、PROT_WRITE 和 PROT_EXEC 按位与操作获得,或者是限制没有访问权限的 PROT_NONE。如果程序尝试在不允许这些权限的本地内存上操作,它将被 SIGSEGV 信号(Segmentation fault,段错误)终止。 在内存映射完成后,这些权限仍可以被
走下神坛的内存调试器--定位多线程内存越界问题实践总结[整理].pdf
10-14
valgrind 是一个自由、开源的内存调试工具,可以用来检测和分析多线程内存越界问题。使用 valgrind 可以检查内存问题,程序不需要重新编译,只需要使用 valgrind 来启动。valgrind 提供了各种检查工具,如 Memcheck...
走下神坛的内存调试器--定位多线程内存越界问题实践总结.pdf
09-30
#### 使用mprotect定位多线程内存越界问题 - **设置保护属性**:通过`mprotect(addr, len, prot)`函数设置内存区域的保护属性。prot可以是PROT_READ、PROT_WRITE、PROT_EXEC或它们的组合。 - **错误处理**:如果...
mprotect函数测试
10-13 888
mprotect函数测试
Linux中mprotect()函数详解
热门推荐
qq_15762939的博客
01-29 1万+
测试源码 //mmp.c #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/mman.h> int *g_ps32Result; void add(int a, int b) { *g_ps32Result = a + b; } void s...
mprotect()函数 Unix/Linux
hellochenlu的博客
05-28 2707
mprotect - 控制允许访问的内存区域 内容简介 #include int mprotect(const void *addr, size_t len, int prot); 描述 The function mprotect() specifies the desired protection for the memory page(s) containing
浅谈mprotect函数和mmap函数
Rt1Text的博客
06-27 1097
在Linux中,mprotect()函数可以用来修改一段指定内存区域的权限。 细说参数一句话mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。注意几点: mmap函数 首先了解内存映射:内存映射:(可以类别数学中函数的映射关系,抽象类比的理解这种关系或者说是过程)将用户空间的一段内存区域映射到内核空间,映射成功后,用户对这段内存区域的修改可以直接反映到内核空间,同样,内核空间对这段区域的修改也直接反映用户空间通俗点理解嘛:就是你和镜子中的你,你发
mprotect,ret2libc
最新发布
2301_79879963的博客
01-27 784
果然是进入了mprotect函数,再ni就ni不动了,因为我们还没有填入返回地址,接下来再将返回地址修改为bss,但是到这我们只是修改了bss的权限,以及返回到bss并没有获取权限的操作,那么接下来需要再使用。然后来讲讲mprotect函数的使用规则:mprotect(起始地址(要把后三位地址换成000),长度,0-7(取决于你想把目标地址权限改成什么样儿,一般改成7:可读可写可执行))看到gets函数,那么就存在栈溢出了,shift+f12看了一下也是没有后门函数什么的。
系统调用-mprotect
u011955950的专栏
01-29 2332
mprotect:系统调用,设置内存访问权限,在内存映射完成后,这些权限仍可以被 mprotect 系统调用所修改。mprotect 的参数分别为内存区间的地址,区间的大小,新的保护标志设置。所指定的内存区间必须包含整个页:区间地址必须和整个系统页大小对齐,而区间长度必须是页大小的整数倍。这些页的保护标记被这里指定的新保护模式替换。
pwn入门之mprotect函数的利用
wangxunyu6的博客
01-24 1388
所以payload的意思就是先调用mprotect函数通过pop将原本的参数覆盖为我们想要的参数,然后返回到read函数,然后pop弹掉read的参数,把第二个参数改为bss的地址,读入shellcode。通过gadget找到一个含有三个pop一个ret指令的地址,我们要通过这个指令将mprotect函数原来的参数pop走,让我们能够填入我们想要的参数.pop_ebx_esi_ebp_ret=0x80a019b然后就是构造payload了先上代码。这题是64位的所以着重讲一下pay的构造。
内存越界定位】mprotect
叮咚的博客
08-15 949
mprotect()函数可以修改调用进程内存页的保护属性,如果调用进程尝试以违反保护属性的方式访问该内存,则内核会发出一个SIGSEGV信号给该进程。 函数介绍 头文件:#include <sys/mman.h> 函数定义: int mprotect(void *addr, size_t len, int prot); 入参: addr:内存地址要求是一个内存页的首地址,简而言之为页大小(一般是 4KB == 4096字节)整数倍。 len:被修改保护属性区域的长度,页大小整数倍。修改
mprotect+ret2csu
2301_79880074的博客
01-26 1784
寒假学习计划第一轮,通过四道典型题回顾复习。
多线程内存越界问题定位:实战与解析
这种方法对于处理多线程内存越界问题具有很高的实用价值,因为它允许开发者在运行时检测到非法内存访问,并获取详细的调用堆栈信息。 该文档详细介绍了在多线程环境中定位内存越界问题的过程,强调了复现问题、理解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值