检测内核的堆栈溢出【转】

最新推荐文章于 2024-01-13 11:27:47 发布
最新推荐文章于 2024-01-13 11:27:47 发布
阅读量113 收藏
点赞数
文章标签: 嵌入式
原文链接:http://www.cnblogs.com/sky-heaven/p/8566154.html
版权

转自:http://bbs.chinaunix.net/thread-4117342-1-1.html

检测内核的堆栈溢出
http://www.alivepea.me/kernel/kernel-overflow/

“如果建筑工人盖房子的方式跟程序员写程序一样,那第一只飞来的啄木鸟就将毁掉人 类文明。” – Gerald Weinberg

内核堆栈溢出通常有两种情况。一种是函数调用栈超出了内核栈THREAD_SIZE的大小, 这是栈底越界,另一种是栈上缓冲越界访问,这是栈顶越界。

检测栈底越界
以arm平台为例,内核栈THREAD_SIZE为8K,当调用栈层次过多或某调用栈上分配过大的 空间,就会导致它越界。越界后struct thread_info结构可能被破坏,轻则内核 panic,重则内核数据被覆盖仍继续运行。

检测这类栈溢出较通用的办法是在每次中断到来的时候检查当前的栈指针sp是否超过了 某个阈值STACK_WARN。以下是在arm支持上DEBUG_STACKOVERFLOW的 arm-debug_stackoverflow.patch.

--- a/arch/arm/include/asm/thread_info.h
+++ b/arch/arm/include/asm/thread_info.h
@@ -19,6 +19,9 @@
#define THREAD_SIZE            8192
#define THREAD_START_SP                (THREAD_SIZE -

+#define THREAD_MASK (THREAD_SIZE - 1UL)
+#define STACK_WARN     (THREAD_SIZE /
+
#ifndef __ASSEMBLY__

struct task_struct;
diff --git a/arch/arm/kernel/irq.c b/arch/arm/kernel/irq.c
--- a/arch/arm/kernel/irq.c
+++ b/arch/arm/kernel/irq.c
@@ -56,6 +56,24 @@ int arch_show_interrupts(struct seq_file *p, int prec)
        return 0;
}

+static inline void check_stack_overflow(void)
+{
+
+       register unsigned long sp asm ("sp";
+
+       sp &= THREAD_MASK;
+
+       /*
+        * Check for stack overflow: is there less than STACK_WARN free?
+        * STACK_WARN is defined as 1/8 of THREAD_SIZE by default.
+        */
+       if (unlikely(sp < (sizeof(struct thread_info) + STACK_WARN))) {
+               printk("do_IRQ: stack overflow: %ld\n",
+                      sp - sizeof(struct thread_info));
+               dump_stack();
+       }
+}
+
/*
  * handle_IRQ handles all hardware IRQ's.  Decoded IRQs should
  * not come via this function.  Instead, they should provide their
@@ -68,6 +86,8 @@ void handle_IRQ(unsigned int irq, struct pt_regs *regs)

        irq_enter();

+       check_stack_overflow();

        /*
         * Some hardware gives randomly wrong interrupts.  Rather
         * than crashing, do something sensible.
以上的方法基于内核的中断栈在当前的cpu线程栈上和内核栈8K对齐两个前提。 这种方法有两个缺点:

栈已经溢出了,但中断还没来得及发生。使用lkdtm验证如下:

# mount -t debugfs none /d
# echo OVERFLOW > /d//provoke-crash/DIRECT
在中断中没有得到警告信息。

arm的中断很可能只发生在某个core上,并不是均等的,这样也不能检测其它的core上 内核栈溢出。这可能也是内核没有为arm提供DEBUG_STACK_OVERFLOW的原因。

内核的STACK_TRACER是另一种检测栈底溢出更可靠的方法,选上内核配置 CONFIG_STACK_TRACER后,使用方法如下:

  # echo 10 > /sys/module/lkdtm/parameters/recur_count
  # echo 1 > /proc/sys/kernel/stack_tracer_enabled
  # cat stack_trace
打印出当前系统内核栈占用最多的函数。如果此时内核panic了,那也可以通过 Kdump得到RAMDUMP后,用crash工具查看是否由于栈底溢出导致的。

发现是由于内核栈溢出导致的问题后,不必抱怨内核栈太小。在堆上分配空间减小当前 栈空间的占用,或通过workqueue下半部的方式减小调用栈层次等可以解决这个问题。 不过内核栈真的很小,所以2.6的内核才将task_struct结构没有放置内核栈中,见 这里。

检测栈顶越界
对于栈顶越界,gcc提供了支持。打开内核配置CONFIG_CC_STACKPROTECTOR后,会打 开编译选项-fstack-protector.使用lkdtm验证如下:

  # echo CORRUPT_STACK > /d/provoke-crash/DIRECT
  [ 1320.195246] lkdtm: Performing direct entry CORRUPT_STACK
  [ 1320.195681] Kernel panic - not syncing: stack-protector: Kernel stack is corrupted in: c03383dc
内核默认抛出panic.

内核的规模已经从小湖膨胀到大海一样,让身处其中的水手们晕头转向。如果用好内核 这些配备的雷达声纳等工具,是不是觉得世界稍美好了一点呢?

~EOF~

转载于:https://www.cnblogs.com/sky-heaven/p/8566154.html

weixin_33774308
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
堆栈缓冲溢出原理
04-15
缓冲区溢出的原理和实践(Phrack)在许多C语言的实现中,有可能通过写入例程 中所声明的数组的结尾部分来破坏可执行的堆栈.所谓'践踏堆栈'使用的 代码可以造成例程的返回异常,从而跳到任意的地址.这导致了一些极为 险恶...
linux 内核栈溢出,Linux 内核栈溢出分析
weixin_39714528的博客
04-30 1155
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?由于内核栈的大小是有限的,就会有发生溢出的可能,比如调用嵌套太多、参数太多都会导致内核栈的使用超出设定的大小。本文分析内核栈溢出。Linux 系统进程运行分为 用户态 和 内核态,进入内核态之后使用的是内核栈,作为基本的安全机制,用户程序不能直接访问内核栈,所以尽管内核栈属于进程的地址空间,但与用户栈是分开的。内核栈需要...
Linux Kernel Stack Overflow/Linux 内核栈溢出
最新发布
lenky0401的专栏
01-13 1186
Linux内核会分配一页(4K stack)或两页连续(8K stack)不可交换(non-swappable)内存来作为内核栈使用。可以看到,一个地方(kernel_stack_init函数)的栈占去$0x400(有几个局部变量是直接使用的寄存器,所以才没有消耗栈),而另外一个地方(just_copy_half函数)的栈占去%rax是个不定值,这就需要继续看对应的汇编来进行分析(因为数组是动态数组),这只是个示例,如果在真实内核代码中有这样的函数,那是相当危险的。,好吧,继续8K内核栈。
检测内核堆栈溢出
qq_24521983的博客
11-29 3118
内核堆栈溢出通常有两种情况。一种是函数调用栈超出了内核栈THREAD_SIZE的大小, 这是栈底越界,另一种是栈上缓冲越界访问,这是栈顶越界。 检测栈底越界 以arm平台为例,内核栈THREAD_SIZE为8K,当调用栈层次过多或某调用栈上分配过大的 空间,就会导致它越界。越界后struct thread_info结构可能被破坏,轻则内核 panic,重则内核数据被覆盖仍继续运行。
linux内核堆栈保护浅析
whuzm08的专栏
05-25 9026
一 启用方式 打开配置CONFIG_CC_STACKPROTECTOR,重新编译内核即可。 二 工作原理 搜索配置CONFIG_CC_STACKPROTECTOR产生的影响,可得到如下结果: 1.include/linux/stackprotector.h #ifdef CONFIG_CC_STACKPROTECTOR # include #else static inl
Linux下基本栈溢出攻击
01-30
在Ubuntu和其他基于Linux内核的系统中,目前都采用内存地址随机化的机制来初始化堆栈,这将会使得猜测具体的内存地址变得十分困难。关闭内存地址随机化机制的方法是:对于Federal系统,默认会执行可执行程序的屏蔽...
C语言嵌入式Linux编程第4期:堆栈管理
06-09
1)程序运行过程中堆栈的内存分布2)栈初始化、大小、栈在函数调用和参数传递过程中的作用3)栈与作用域、栈对形参和实参的管理4)黑客栈溢出攻击原理及实践5)堆内存的维护、嵌入式裸机环境下、ucos、linux环境下堆...
LT6600内核1.0.pdf
11-07
 PIC16-like 指令集  8 层硬件堆栈 x11bit  2T 或 4T 指令周期  2Kx14b 程序存储空间(16bytes/page)  256x8b 数据 EEPROM(16bytes/page)  数据 EEPROM 在应用编程  128x8b SRAM  1 x 带 8 位预...
ARMMultiTasking:ArmThumbAArch64目标的多任务内核
05-03
AMT是在Arm平台上提供多线程的内核。... 堆栈下溢/溢出检测 建造 安装cmake,make和arm-none-eabi或aarch64-none-elf工具链。 Arm开发人员版本是获得这些功能的最佳方法。 AArch64: 手臂/拇指: 安
Linux 内核安全增强—— stack canary
weixin_71478434的博客
08-30 1390
per-cpu 变量的引入是为了实现per-task的stack canary, 每个cpu上同时只能运行一个进程/线程, per cpu变量可以随进程的切换而切换,故通过一个per-cpu变量完全可以为每个进程/线程解引用到不同的canary地址(后续称为per-cpu canary),以实现per-task的canary.默认stack canary使用全局符号(变量) __stack_chk_guard 作为原始的canary(后续称为全局canary), 在gcc/clang中均使用相同的名字...
ioctl引发内核栈溢出保护导致系统重启
Not_hesitate的专栏
04-21 2102
最近在调试一个收音机模块RDA5807M模块,在使用系统自带的驱动kernel/drivers/misc/fm580x.c时,发现一运行测试程序系统就重启: [ 267.418774] enable fm580x chip [ 267.531870] fm580x_tuner_init:RDA5807P_REG[0]=0xc4,RDA5807P_REG[1]=0x1,ID=0x5804 [ 267.539284] set fm580x stereo [ 267.589668] set fm5...
黑客与宕机
阿里云开发者
07-17 1133
简介:造成系统异常宕机(无响应、异常重启)的原因有很多种,最常见的是操作系统内部缺陷和设备驱动缺陷。本文作者将和大家分享内存储分析的底层逻辑和方法论,并通过一个线上真实案例来展示从分析到得出结论的整个过程,希望对同学们处理此类问题和对系统的理解上有所帮助。相信凡是与计算机高频亲密接触的人,都遇到过系统无响应,或突然重启的情况。这样的情况如果发生在客户端设备,如手机,或者笔记本电脑上,且不是频繁出现,基本上我们的解法就是鸵鸟算法,即默默重启设备,然后继续使用,当作什么都没发生过。但是,如果这样的问题发生在服
数据结构——堆栈的C++实现
zxr916的博客
11-02 552
数据结构——堆栈的C++实现 \qquad堆栈的创建、判断是否为空,入栈,出栈操作的C++实现。 #include<iostream> using namespace std; //1.定义 typedef struct Node* Link; struct Node { int num; Link next; }; //2.创建堆栈头结点 Link CreateStack() { Link s; s = new Node; s->next = NULL; return s
【分析笔记】全志平台 gpio_wdt 驱动应用和 stack crash 解决
DOT小文哥的博客
09-23 1010
原本打算参考 sunxi-wdt.c 的框架,利用定时器自己写一个,无意中发现内核已经有 gpio_wdt.c 驱动程序,其原理也是通过内核定时器实现喂狗。因其使用了 of_get_gpio_flags() 接口获取 GPIO 信息,和 gpio-keys.c 驱动一样,该接口存在内存越界的问题,需要略作修改才能使用。配置选项说明:linux-4.9\Documentation\devicetree\bindings\watchdog\gpio_wdt.txt。内核版本:Linux 4.9。
Android Stability []
qf0727的专栏
09-06 2119
1. APSS stability 2. MPSS stability 3. TZ stability 4. RPM stability 5. ADSP stability 6. Unknown reset
CC_STACKPROTECTOR防止内核stack溢出补丁分析
12-01 2995
CC_STACKPROTECT补丁是Tejun Heo在09年给主线kernel提交的一个用来防止内核堆栈溢出的补丁。默认的config是将这个选项关闭的,可以在编译内核的时候, 修改.config文件为CONFIG_CC_STACKPROTECTOR=y来启用。未来飞天内核可以将这个选项开启来防止利用内核stack溢出的0day攻击。 这个补丁的防溢出原理是: 在进程启动的时候, 在每个
:Linux Kernel Panic报错解决思路
weixin_30314631的博客
08-22 1654
今天数据库 rac 节点1 又 kernel panic 了 摘录篇网文 原文:http://blog.51osos.com/linux/linux-kernel-panic/ GoFace 于 2011-8-9,17:22 Linux虽然没有蓝屏现象,不过Kernel报错有时也会让人头疼。有时重启后正常,linux系统运行一段时间后又down了,总不能出现问题就reboot啊...
Ubuntu 20.0是否有自动阻止堆栈溢出的功能
06-11
但是,Ubuntu 20.04中的内核和gcc编译器都支持一些安全增强功能,如堆栈随机化和内存地址空间随机化等,可以帮助减少堆栈溢出攻击的影响。此外,如果使用像C++11和C11这样的较新的编程语言标准,也可以使用一些内存...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值