mprotect排查全局变量内存被篡改问题

已于 2024-02-04 00:15:11 修改
阅读量1k 收藏 5
点赞数 26
文章标签: 单片机 iot
于 2024-02-04 00:09:32 首次发布
ES32
本文链接:https://blog.csdn.net/sinat_16873757/article/details/136018494
版权

1. 问题背景
最近公司一直使用的上位机工具更新,使用已发售的设备对上位机进行测试,发现在关闭设备水印、开启画面翻转后,导出设备配置,再将设备恢复默认配置,重新再导入配置后设备死机。应用组同事根据生成的Core文件定位到死机点位于视频组件库,于是拿着Core文件找到我们一起排查。
2.问题分析
看一下Core文件:
#0 0x0005970c in GetMaxFps (pFps=0x6e8ebcb0) at …/src/iot/vin.c:254
看一下代码:
status = GetVinCfg(0, &pVideoInCfg);
if (xxxxx)
{
pFormat = pVideoInCfg->pStandP;
}
else if (xxxxxx)
{
pFormat = pVideoInCfg->pStandN;
}
看下地址:
(gdb) p pVideoInCfg
$1 = (VSF_VinConfig *) 0x0 // 空指针,导致段错误
再看一下status = GetVinCfg(0, &pVideoInCfg)调用:
static Int32 GetSmartWizardVinCfg(Uint32 channel, VinConfig **ppVinCfg)
{
*ppVinCfg = gCfgObj.pVinCfg; // 全局变量,设备刚启动时会对全局变量内存进行初始化
return SW_TRUE;
}
再在gdb中看一下gCfgObj变量的内存情况:
在这里插入图片描述
typedef struct
{
xxxxxxx pdtCfg;
xxxxxxx streamCfg[0][3];
xxxxxxxx *pVinCfg;
xxxxxxxxx *pChnMapInfo;
}SmartWizard_Config;
全局变量gCfgObj中的streamCfg成员是二维数组,根据对全局变量gCfgObj初始化部分的代码分析,encMask的值不应该为9961632,基本可以认定该问题是全局gCfgObj内存被篡改,并且通过打印与gCfgObj临近的高地址内存也同样存在内存异常的现象。
3. 解决手段
确定了该问题是由于全局变量被篡改导致的,我们就需要找到篡改该内存的代码所在的线程,通常有两种方法:
1、使用GdbServer在线调试方法,对被篡改的内存添加条件断点。如在本案例中,根据代码流程,encMask的正常值应该为7,添加条件断点watch encMask > 7. // 厂商未提供该平台的GDbserver版本,放弃
2、在被篡改的内存区域中间插入内存保护区域,当异常代码尝试修改内存保护区域内容时,触发段错误。通过打印gCfgObj.pChnMapInfo地址为0x6c2d94,下一页的起始地址为0x6c3000(页大小为4Kb), 因此,在结构体SmartWizard_Config中增加一段内存保护区域,在初始化gCfgObj全局变量代码结束后,使用mprotect((void *)mpAddrAlign, ALIGN_SIZE,PROT_READ)将内存保护区域设置为只读。因为与gCfgObj临近的高地址内存也同样存在内存被篡改的问题,增加保护区域后,以前对高地址的篡改就转移到了对保护区域的修改。
typedef struct
{
xxxxxxx pdtCfg;
xxxxxxx streamCfg[0][3];
xxxxxxxx *pVinCfg;
xxxxxxxxx *pChnMapInfo;
Uint8 mpAreal[4824]; // 内存保护区域
}SmartWizard_Config;
4.结果验证
使用方法2打包程序升级设备后,按照问题背景中描述的复现方法操作,产生Core文件, 分析新生成的Core文件:
(gdb) bt
#0 0x74ed22d4 in __memcpy_neon () from /home/levol/opt/arm-linux-gnueabihf-6.5/arm-linux-gnueabihf/sysroot/lib/libc.so.6
#1 0x000446cc in UpdateOsdMem (pTitle=pTitle@entry=0x6f7d95f8) at …/src/osd.c:497
#2 0x0004ae48 in videoEncSetTitle (title=0x6f7d95f8, title@entry=0x6f7d95f0) at …/src/enc.c:337
看一下代码:
Int32 UpdateOsdMem(Uint32 chId, Int32 streamId, AppTitle *pTitle)
{
OsdObj *pObj = &gOsdObj;
OsdChn *pChnObj = NULL;
Uint32 idx = pTitle->index;
pChnObj = &pObj->chnObj[chId];
Title *pVideoTitle = &pChnObj->osdTitle[streamId][idx];
OSA_memCpy(&pVideoTitle->title,pTitle); // 死机点
}
查看下pVideoTitle->title地址为0x6c31c0, 而我们添加的内存保护区域为0x6c3000 - 0x6c406f,刚好处于我们的设置的内存保护区域。进一步打印出pTitle->index为83,而正常下发的index范围应该是0-4, 最终确定为应用下发的参数错误,导致&pChnObj->osdTitle[streamId][idx]地址越界,问题交回应用排查。

Buff留给我
关注
  • 26
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
内存越界定位】mprotect
叮咚的博客
08-15 945
mprotect()函数可以修改调用进程内存页的保护属性,如果调用进程尝试以违反保护属性的方式访问该内存,则内核会发出一个SIGSEGV信号给该进程。 函数介绍 头文件:#include <sys/mman.h> 函数定义: int mprotect(void *addr, size_t len, int prot); 入参: addr:内存地址要求是一个内存页的首地址,简而言之为页大小(一般是 4KB == 4096字节)整数倍。 len:被修改保护属性区域的长度,页大小整数倍。修改
内存问题分析方法
x-2010的笔记
01-06 1586
比较麻烦的在于程序奔溃点在之后的某个时间出现。此时array为全局数组,则被踩坏的内存也属于全局数组(除非array定义在全局区域的边缘),此种情况比较容易查找,通常也是由于index越界引起,可通过被踩坏内容的特征往前推,大致推导开始踩的位置,找出对应的全局变量后检查代码逻辑,看是否存在溢出。看到func没有对参数i做范围检查,极可能传进的i超过10,甚至是负数,这就无法知道被踩坏内存位置和自己内存位置,此种问题也是最难查的,因为可能每次奔溃的情况都不一样。1.1.2. 栈溢出。
C++全局变量莫名其妙被修改?是人性的扭曲还是道德的沦丧?原来是我蒟蒻
m0_55759099的博客
03-29 751
sum[35]被挤出来了,挤给ans了,具体怎么成为1517643316的我也不知道,不过跟sum数组的最后一个数与越界数相加的值听接近的。首先这个情况跟long long没关系,因为我改成int后结果并没有发生变化。代码很长,不过不用都看,跟标题无关,都被我注释掉了。发生的,ans从0变成了1517643316。显然这个ans是在第35次循环时,求前缀和的时候。具体原因我也搞不清楚,可能跟地址分配有关?
linux编程之mprotect
云计算?
11-06 624
mprotect: 设置内存访问权限 mmap 的第三个参数指定对内存区域的保护,由标记读、写、执行权限的 PROT_READ、PROT_WRITE 和 PROT_EXEC 按位与操作获得,或者是限制没有访问权限的 PROT_NONE。如果程序尝试在不允许这些权限的本地内存上操作,它将被 SIGSEGV 信号(Segmentation fault,段错误)终止。 在内存映射完成后,这些...
Stm32 全局变量被修改
最新发布
爱吃鱼的猫博客
04-02 764
最终发现是那个厂家提供的 绘制算法有BUG (没有判断 x和y超过数组的情况)导致数组越界 贴上这组代码 挂上耻辱墙 红色部分是我后加的。检查到Keil上的 RW-DATA和ZI-Data=30812Byte=30KB左右。算上栈的1KB(0x400)和堆的512B 应该不会溢出才对(查看汇编文件可知)(占用的 flash =Code + RO-data + RW-data)然后我的全局数组又定义在它的下面 所以导致我前面的数值异常。(占用的 ram = RW-data + ZIdata)
mprotect
weixin_34315189的博客
03-07 159
mprotect- set protection on a region of memory Synopsis #include <sys/mman.h> int mprotect(const void *addr, size_t len, int prot); Description mprotect() changes protection for the ca...
单片机C语言开发,全局变量或静态变量被意外改写
weixin_44021144的博客
08-18 931
最终找到原因,工程默认的栈大小设置的不合适。具体原因是demo大量使用结构体,栈的开销巨大,某个结构体的变量地址和该静态变量地址是冲突的。当栈大小设置成较大的值后,就不会出现地址冲突的情况。最近用单片机移植一个hdmi芯片的配置程序,将demo移植到工程中后,debug发现有个静态变量的值被意外改变,偶尔会程序没有根据程序设计意图而变化的值。我用的单片机是GD32f303VET6,原STACK设置的大小是0x200,修改成0x1400后正常。
全局变量被异常修改问题解决思路
yaq_30401的博客
04-27 2285
系统函数(strcpy, strcmp...)导致越界,将这些不安全的函数暂时屏蔽或者使用带限制的函数(strncpy, strncmp...)等替换进行验证是否解决。数据/指针越界,这种时候需要查看map文件,查看被修改全局变量的附近是否有频繁修改的数据或者指针,尝试将附近的数据增大,查看是否解决问题。栈溢出,通过将栈空间增大或者将原来由栈分配的大数据改为全局数据,这样进行验证是否解决。中断中修改,操作时可通过开关中断来进行临界保护,验证是否能解决。多线程抢占,可通过加锁来验证是否为此原因导致。
定位多线程内存越界问题实践总结
02-05
这个问题的一个特点是,被篡改的指针总是有一半被设置为0,另一半看起来正常。 为了复现问题,开发者注意到增加客户端并发数、减少服务器线程数会影响问题出现的概率,而且每次出错都涉及到动态数组field_columns的...
mprotect/mlock使用demo
tugouxp的专栏
10-14 194
mlock起作用的过程分为两步,第一步,对于已经存在的VMA,将会调用mm_populate将其手动建立物理页面的映射。而对于未来分配的物理页面,则将会调用apply_mlockall_flags设置VM_LOCKED标志,设置此标志后,将来的MMAP函数将会调用__mm_populate分配页面。这样,在加入LRU的逻辑中,判断PageMlocked为真,将会把页面加入LRU_UNEVICTABLE list.所以,最终MLOCKD的效果显示在/proc/meminfo的unenvicible字段。
Cache一致性导致的踩内存问题
sunshineywz的博客
06-09 1796
本文主要分享一个Cache一致性踩内存问题的定位过程,涉及到的知识点包括:backtrace、内存分析、efence、wrap系统函数、硬件watchpoint、DMA、Cache一致性等。 1 背景 设备上跑的是嵌入式实时操作系统(RTOS,具体为商业闭源的ThreadX),非Linux平台,导致一些常见的问题排查方法无法使用。 问题描述: 重启压力测试时,发现设备启动过程中偶尔会死机,概率较低。稍微修改程序后,问题可能就不再出现了,所以版本回退、代码屏蔽等方法不太适用。 2 基于backtrace分析
全局变量被修改的bug与原因
我要出家当道士
04-14 2429
全局变量值被无故修改的原因
mprotect()
刘松华-林散
05-15 1152
mprotect: 设置内存访问权限 mmap 的第三个参数指定对内存区域的保护,由标记读、写、执行权限的 PROT_READ、PROT_WRITE 和 PROT_EXEC 按位与操作获得,或者是限制没有访问权限的 PROT_NONE。如果程序尝试在不允许这些权限的本地内存上操作,它将被 SIGSEGV 信号(Segmentation fault,段错误)终止。 在内存映射完成后,这些权限仍可以被
Linux中mprotect()函数详解
热门推荐
qq_15762939的博客
01-29 1万+
测试源码 //mmp.c #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/mman.h> int *g_ps32Result; void add(int a, int b) { *g_ps32Result = a + b; } void s...
vx系统下查找内存篡改的一种方法
江淮猫
01-22 1069
之前,在交换机(vxworks系统)测试的时候报了一个很诡异的问题:运行ospf路由协议的时候造成设备重启,而打印的break信息是在ripng模块死机。经过了多天的跟踪测试,终于发现是由于ospf任务中存在大量终端导致栈空间溢出进而修改了ripng模块的全局变量,后来把栈空间改大点就没问题了。但是这个问题是怎么发现的呢?在任务切换(vxworks是基于任务的)时加钩子函数,判断那个全局变量是否已
关于一次调试中全局变量莫名修改导致逻辑判断不正常的事 ......
qq_44627590的博客
03-17 483
在一次调试代码中又双叒叕遇到奇怪问题了,全局变量莫名改变的原因可能有: 1. 自己意想不到的修改;2. 错误使用指针; 3. 多个函数操作这个变量,中断和主程序常常会遇到等。这里是定时中断函数中不恰当的全局变量修改导致了概率性的bug。 关于一次调试中全局变量莫名修改导致逻辑判断不正常的事
mprotect,ret2libc
2301_79879963的博客
01-27 781
果然是进入了mprotect函数,再ni就ni不动了,因为我们还没有填入返回地址,接下来再将返回地址修改为bss,但是到这我们只是修改了bss的权限,以及返回到bss并没有获取权限的操作,那么接下来需要再使用。然后来讲讲mprotect函数的使用规则:mprotect(起始地址(要把后三位地址换成000),长度,0-7(取决于你想把目标地址权限改成什么样儿,一般改成7:可读可写可执行))看到gets函数,那么就存在栈溢出了,shift+f12看了一下也是没有后门函数什么的。
mprotect()函数 Unix/Linux
hellochenlu的博客
05-28 2702
mprotect - 控制允许访问的内存区域 内容简介 #include int mprotect(const void *addr, size_t len, int prot); 描述 The function mprotect() specifies the desired protection for the memory page(s) containing
mprotect产生core
01-05
mprotect()是一个用于保护内存区域权限的系统调用函数。它可以用于更改内存区域的保护属性,如可读、可写、可执行等。当mprotect()函数被错误地使用时,可能会导致产生core文件。 在使用mprotect()函数时,可能会...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值