crash bug 分析

最新推荐文章于 2023-11-30 14:45:26 发布
最新推荐文章于 2023-11-30 14:45:26 发布
阅读量500 收藏
点赞数
分类专栏: linux内核 文章标签: linux kernel crash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengcheng123456/article/details/103467244
版权

[  494.250386] init kernel rcv buf size [20971520]
[  494.252194] security_bprm_check hooks success
[  494.253444] do_sys_open hooks success
[  494.255155] kernel tried to execute NX-protected page - exploit attempt? (uid: 0)
[  494.255158] BUG: unable to handle kernel paging request at ffff8800278b1800
[  494.255160] IP: [<ffff8800278b1800>] 0xffff8800278b1800
[  494.255163] PGD 2212067 PUD 2213067 PMD 80000000278000e3 
[  494.255166] Oops: 0011 [#1] SMP 
[  494.255168] Modules linked in: xxnd(OE+) rfcomm bnep snd_ens1371 snd_ac97_codec gameport ac97_bus coretemp snd_pcm snd_seq_midi snd_seq_midi_event crct10dif_pclmul snd_rawmidi crc32_pclmul snd_seq ghash_clmulni_intel snd_seq_device snd_timer aesni_intel aes_x86_64 snd soundcore lrw gf128mul glue_helper ablk_helper cryptd btusb btrtl btbcm btintel bluetooth vmw_balloon ecdh_generic joydev input_leds serio_raw 8250_fintek shpchp i2c_piix4 vmw_vmci mac_hid parport_pc ppdev lp parport autofs4 hid_generic usbhid hid vmwgfx psmouse ttm drm_kms_helper syscopyarea sysfillrect sysimgblt fb_sys_fops mptspi ahci libahci e1000 mptscsih mptbase scsi_transport_spi drm pata_acpi fjes
[  494.255193] CPU: 0 PID: 339 Comm: systemd-udevd Tainted: G           OE   4.4.0-169-generic #198-Ubuntu
[  494.255195] Hardware name: VMware, Inc. VMware Virtual Platform/440BX Desktop Reference Platform, BIOS 6.00 07/02/2015
[  494.255196] task: ffff880073238000 ti: ffff8800358cc000 task.ti: ffff8800358cc000
[  494.255197] RIP: 0010:[<ffff8800278b1800>]  [<ffff8800278b1800>] 0xffff8800278b1800
[  494.255199] RSP: 0018:ffff8800358cff20  EFLAGS: 00010202
[  494.255200] RAX: ffff8800278b1800 RBX: 00000000ffffffff RCX: 00000000000001a4
[  494.255202] RDX: 0000000000088141 RSI: 0000555f5a775a66 RDI: 00000000ffffff9c
[  494.255203] RBP: ffff8800358cff38 R08: 0000000000000001 R09: c3488152e767770d
[  494.255204] R10: ddfeacca19626bc8 R11: 0000000000000246 R12: 0000555f5b7ff010
[  494.255205] R13: 00000000fffffffe R14: 0000000000000000 R15: 0000555f5b80a690
[  494.255207] FS:  00007f1bd03f48c0(0000) GS:ffff88007b600000(0000) knlGS:0000000000000000
[  494.255208] CS:  0010 DS: 0000 ES: 0000 CR0: 0000000080050033
[  494.255209] CR2: ffff8800278b1800 CR3: 0000000076664000 CR4: 0000000000360670
[  494.255250] Stack:
[  494.255251]  ffffffffc04238e2 00000000ffffffff 0000555f5b7ff010 ffff8800358cff48
[  494.255253]  ffffffff8121d19e 0000555f5a775a66 ffffffff8186671b 0000555f5b80ff90
[  494.255255]  0000000000002710 0000555f5b846e20 00007f1bcf540b78 0000000000000120
[  494.255257] Call Trace:
[  494.255268]  [<ffffffffc04238e2>] ? hook_do_sys_open+0x22/0x70 [xxdefend]
[  494.255271]  [<ffffffff8121d19e>] SyS_open+0x1e/0x20
[  494.255274]  [<ffffffff8186671b>] entry_SYSCALL_64_fastpath+0x22/0xcb
[  494.255276] Code: 00 2f 00 00 00 00 00 2f 00 00 00 00 01 2f 00 00 00 00 02 00 03 51 00 00 00 50 2b 00 00 04 44 00 00 00 03 00 0e 00 00 00 00 2c 2c <0f> 1f 44 00 00 55 48 89 e5 41 57 41 56 41 55 41 54 41 89 ff 53 
[  494.255295] RIP  [<ffff8800278b1800>] 0xffff8800278b1800
[  494.255297]  RSP <ffff8800358cff20>
[  494.255298] CR2: ffff8800278b1800

问题分析:
4.15.0-60-generic #67~16.04.1-Ubuntu  
root@virtual-machine:/linux-source-4.15.0# cat /etc/os-release 
NAME="Ubuntu"
VERSION="16.04.1 LTS (Xenial Xerus)"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 16.04.1 LTS"
VERSION_ID="16.04"
HOME_URL="http://www.ubuntu.com/"
SUPPORT_URL="http://help.ubuntu.com/"
BUG_REPORT_URL="http://bugs.launchpad.net/ubuntu/"
UBUNTU_CODENAME=xenial

 [root@xx-ISP linux]# uname -a
Linux xx-ISP 3.10.0-862.el7.x86_64 #1 SMP Fri Apr 20 16:44:24 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux 
arch/x86/kernel/module.c 
 void *module_alloc(unsigned long size)
 {   
     void *p;
         
     if (PAGE_ALIGN(size) > MODULES_LEN)
         return NULL;
 
     p = __vmalloc_node_range(size, MODULE_ALIGN,
                     MODULES_VADDR + get_module_load_offset(),
                     MODULES_END, GFP_KERNEL | __GFP_HIGHMEM,
                     PAGE_KERNEL_EXEC, 0, NUMA_NO_NODE,
                     __builtin_return_address(0));
     if (p && (kasan_module_alloc(p, size) < 0)) {
         vfree(p);
         return NULL;
     }
 
     return p;
 }
                 

出问题的内核:4.15.0-60-generic #67~16.04.1-Ubuntu  
linux/arch/x86/kernel/module.c 
 void *module_alloc(unsigned long size)
 {
     void *p;
 
     if (PAGE_ALIGN(size) > MODULES_LEN)
         return NULL;
 
     p = __vmalloc_node_range(size, MODULE_ALIGN,
                     MODULES_VADDR + get_module_load_offset(),
                     MODULES_END, GFP_KERNEL,
                     PAGE_KERNEL, 0, NUMA_NO_NODE,     //缺少可执行标识PAGE_KERNEL_EXEC
                     __builtin_return_address(0));
     if (p && (kasan_module_alloc(p, size) < 0)) {
         vfree(p);
         return NULL;
     }
 
     return p;
 }
  
  

解决:
使module_alloc分配的地址具有可执行权限
    set_memory_x((unsigned long)sym->new_addr,1);
 

danielliu861
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
crash 分析
dreamDay2016_11_11的博客
09-28 1160
crash analysis
IOS —— Crash分析
LinShunIos的博客
10-27 2987
常见crash类型 容器越界 使用未初始化的变量 用户授权问题 选择器方法未定义 子线程刷新ui KVO 数据类型不匹配 内存溢出 野指针 死循环
Linux页面异常处理
u010154760的专栏
04-08 625
Linux页面异常处理是一个复杂的过程.它用来处理内存访问各种异常,因为这部份内容涉及到了系统调用的相关部份,所以,我们暂且忽略这部份信息,只要知道,如果有内存访问异常情况,就会转入到do_page_fault()中处理,关于系统调用这部份,我们之后再给出详细的分析,详情请关注本站更新.    同以往一样,本文的代码是基于linux-2.6.21.页面异常处理程序的代码如下: /*     
缺页异常处理程序
热门推荐
云(存储),松(耦合)
05-31 1万+
<br />我们在中断专题中提到,Linux的缺页(Page Fault)异常处理程序必须区分以下两种情况:由编程错误所引起的异常,及由引用属于进程地址空间但还尚未分配物理页框的页所引起的异常。<br /> <br />线性区描述符可以让缺页异常处理程序非常有效地完成它的工作。do_page_fault()函数是80x86上的缺页中断服务程序,它把引起缺页的线性地址和当前进程的线性区相比较,从而能够根据和下图所示的方案选择适当的方法处理这个异常。<br /> <br /><br /> <br /> <br
kernel tried to execute NX-protected page - exploit attempt? (uid: 0)
嵌入式
01-24 4113
kernel tried to execute NX-protected page - exploit attempt? (uid: 0) 写内核模块时,遇到这个问题。 这个问题报告的是,CPU执行了一个没有执行权限的代码区域。 后来,我检查了代码发现在某一个函数前面有 __init 前缀,这个前缀会导致代码第一次被执行后就被释放掉了,去掉这个前缀问题仍然
kernel crash "kernel tried to execute NX-protected page"
Vic的博客
08-19 2417
环境 Red Hat Enterprise Linux 6, 7 RHEL 7 kernel-3.10.0-514.2.2.el7 RHEL 6 kernel-2.6.32-220.13.1.el6 kernel-2.6.32-431.23.3.el6 kernel-2.6.32-504.8.1.el6 问题 Server got crashed and reb...
处理地址空间以外的错误地址
云(存储),松(耦合)
05-31 2890
<br />前面博文提到了,如果address不属于进程的地址空间,那么do_page_fault()函数继续执行bad_area标记处的语句。如果错误发生在用户态,则发送一个SIGSEGV信号给current进程并结束函数:<br /><br />/*<br /> * Something tried to access memory that isn't in our memory map..<br /> * Fix it, but check if it's kernel or user first..
【iOS开发】 常遇到的CrashBug处理
Penuel 进化中
09-03 4226
一,Unknown type name ....     如果是报这个错误,多半是你的对象类型没有被识别,检查是不是没有引用对应的库或者头文件在你的文件头部分,还有可能是循环引用导致的,循环引用的解决方法就是  Class A 中用import Class B  Class B的.h头文件里用@class A;  .m文件里再用import  二,EXC_BAD_ACCESS
linux内核代码在哪个文件,Linux内核中的代码在哪里打开(“/ proc / self / fd / NUM”)?...
weixin_39941721的博客
04-29 351
我一直认为开放(/ proc / self / fd / NUM,flags)相当于dup(NUM),但显然情况并非如此!例如,如果您复制文件描述符,然后将新fd设置为非阻塞,这也会影响原始文件描述符(因为非阻塞状态是文件描述的属性,并且两个文件描述符都指向相同的文件描述).但是,如果您打开/ proc / self / fd / NUM,那么您似乎获得了一个新的独立文件描述,并且可以独立设置旧的...
Linux 系统资源查看:vmstat,dmesg,free,uptime,uname,lsb_release,lsof
weixin_33950035的博客
05-09 128
Linux 系统资源查看 一、vmstat 命令(监控系统资源)【常用】 1. 命令格式 vmstat [刷新延时 刷新次数] 2. 输出说明 procs:进程信息字段 r:等待运行的进程数。b:不可被唤醒的进程数。这两个数量越大,表示系统越繁忙 memory:内存信息字段 swpd:虚拟内存的使用情况,单位KB。free:空闲...
详解linux内核-缺页中断处理
最新发布
m0_74282605的博客
11-30 1352
而vmalloc出现异常比较好处理,只需要页表同步就可以了(因为伴随着进程的切换可能用户进程的页表不是最新的,需要将内核的页表更新到用户进程的页表),2.内核引用用户空间地址发生的异常,比如用户态的地址非法,或者页面已经被交换到了磁盘。6.一旦页框干净后,操作系统查找所需页面在磁盘上的地址,通过磁盘操作将其装入,当页面被装入后,产生缺页中断的进程仍然被挂起,并且如果有其他可运行的用户进程,则选择另一用户进程运行。首先是find_vma,查找缺页地址所处的vma,vma在用户进程创建的时候分配好的。
linux安全小记1
weixin_34232744的博客
08-17 91
在微软本月月经日(8.11)的同一天,国外***taviso和julien公开了可以***所有新旧Linux系统的一个漏洞,包括但不限于RedHat,CentOS,Suse,Debian,Ubuntu,Slackware,Mandriva,Gentoo及其衍生系统。***只需要执行一个命令,就可以通过此漏洞获得root权限,即使开启了SELinux也于事无补。***这个漏洞到...
linux查看内核实时输出,Linux 系统资源查看:vmstat,dmesg,free,uptime,uname,lsb_release,lsof...
weixin_32571629的博客
04-29 633
一、vmstat 命令(监控系统资源)【常用】1. 命令格式vmstat [刷新延时 刷新次数]2. 输出说明procs:进程信息字段r:等待运行的进程数。b:不可被唤醒的进程数。这两个数量越大,表示系统越繁忙memory:内存信息字段swpd:虚拟内存的使用情况,单位KB。free:空闲的内存容量,单位KB。buff:缓冲的内存容量,单位KB。cache:缓存的内存容量,单位KB。缓冲(buff...
crash bug解析
12-09 1712
2.168.103.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=19111 PROTO=UDP SPT=137 DPT=137 LEN=58 [2328005.223347] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:4c:d1:a1:53:d5:84:08:00 SRC=192.168.103....
linux内核缺页中断处理
a7980718的专栏
07-12 5902
现代处理器大部分都有MMU,除了一些小型嵌入式设备。MMU可以做虚拟地址到物理地址的转换,使用MMU我们就可以使用更多的内存空间,因为程序具有局部性原理,我们可以将暂时用不到的数据存放到磁盘,当访问到时会发生缺页中断,从磁盘中将所需要的数据加载到内存。所以我们可以通过mmu运行程序大小大于内存的程序和打开大于内存的文件。现代处理器通过分段分页机制实现虚拟地址到物理地址转换一般支持二级页表或四级页表...
Linux权限提升—Kernel exploit
qq_27828281的博客
12-21 831
Linux权限提升—利用kernel exploit进行权限提升。
linux 下 systemd-udevd 服务解析
weixin_33699914的博客
09-05 1595
  最近在看linux下重定向的时候看到 的这个系统的服务,所以记下来备忘。   描述:systemd-udevd是监听内核发出的设备事件,并根据udev规则处理每个事件。   选项: --daemon 脱离控制台,并作为后台守程运行。      --debug 在标准错误上打印调试信息      --children-max= 限制最多同时处理多少个设备事件      --exec-d...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

danielliu861

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值