检测内核的堆栈溢出【转】

最新推荐文章于 2024-01-10 10:56:54 发布
最新推荐文章于 2024-01-10 10:56:54 发布
阅读量828 收藏 4
点赞数
文章标签: 嵌入式

转自:http://bbs.chinaunix.net/thread-4117342-1-1.html

检测内核的堆栈溢出
http://www.alivepea.me/kernel/kernel-overflow/

“如果建筑工人盖房子的方式跟程序员写程序一样,那第一只飞来的啄木鸟就将毁掉人 类文明。” – Gerald Weinberg

内核堆栈溢出通常有两种情况。一种是函数调用栈超出了内核栈THREAD_SIZE的大小, 这是栈底越界,另一种是栈上缓冲越界访问,这是栈顶越界。

检测栈底越界
以arm平台为例,内核栈THREAD_SIZE为8K,当调用栈层次过多或某调用栈上分配过大的 空间,就会导致它越界。越界后struct thread_info结构可能被破坏,轻则内核 panic,重则内核数据被覆盖仍继续运行。

检测这类栈溢出较通用的办法是在每次中断到来的时候检查当前的栈指针sp是否超过了 某个阈值STACK_WARN。以下是在arm支持上DEBUG_STACKOVERFLOW的 arm-debug_stackoverflow.patch.

--- a/arch/arm/include/asm/thread_info.h
+++ b/arch/arm/include/asm/thread_info.h
@@ -19,6 +19,9 @@
#define THREAD_SIZE            8192
#define THREAD_START_SP                (THREAD_SIZE -

+#define THREAD_MASK (THREAD_SIZE - 1UL)
+#define STACK_WARN     (THREAD_SIZE /
+
#ifndef __ASSEMBLY__

struct task_struct;
diff --git a/arch/arm/kernel/irq.c b/arch/arm/kernel/irq.c
--- a/arch/arm/kernel/irq.c
+++ b/arch/arm/kernel/irq.c
@@ -56,6 +56,24 @@ int arch_show_interrupts(struct seq_file *p, int prec)
        return 0;
}

+static inline void check_stack_overflow(void)
+{
+
+       register unsigned long sp asm ("sp";
+
+       sp &= THREAD_MASK;
+
+       /*
+        * Check for stack overflow: is there less than STACK_WARN free?
+        * STACK_WARN is defined as 1/8 of THREAD_SIZE by default.
+        */
+       if (unlikely(sp < (sizeof(struct thread_info) + STACK_WARN))) {
+               printk("do_IRQ: stack overflow: %ld\n",
+                      sp - sizeof(struct thread_info));
+               dump_stack();
+       }
+}
+
/*
  * handle_IRQ handles all hardware IRQ's.  Decoded IRQs should
  * not come via this function.  Instead, they should provide their
@@ -68,6 +86,8 @@ void handle_IRQ(unsigned int irq, struct pt_regs *regs)

        irq_enter();

+       check_stack_overflow();

        /*
         * Some hardware gives randomly wrong interrupts.  Rather
         * than crashing, do something sensible.
以上的方法基于内核的中断栈在当前的cpu线程栈上和内核栈8K对齐两个前提。 这种方法有两个缺点:

栈已经溢出了,但中断还没来得及发生。使用lkdtm验证如下:

# mount -t debugfs none /d
# echo OVERFLOW > /d//provoke-crash/DIRECT
在中断中没有得到警告信息。

arm的中断很可能只发生在某个core上,并不是均等的,这样也不能检测其它的core上 内核栈溢出。这可能也是内核没有为arm提供DEBUG_STACK_OVERFLOW的原因。

内核的STACK_TRACER是另一种检测栈底溢出更可靠的方法,选上内核配置 CONFIG_STACK_TRACER后,使用方法如下:

  # echo 10 > /sys/module/lkdtm/parameters/recur_count
  # echo 1 > /proc/sys/kernel/stack_tracer_enabled
  # cat stack_trace
打印出当前系统内核栈占用最多的函数。如果此时内核panic了,那也可以通过 Kdump得到RAMDUMP后,用crash工具查看是否由于栈底溢出导致的。

发现是由于内核栈溢出导致的问题后,不必抱怨内核栈太小。在堆上分配空间减小当前 栈空间的占用,或通过workqueue下半部的方式减小调用栈层次等可以解决这个问题。 不过内核栈真的很小,所以2.6的内核才将task_struct结构没有放置内核栈中,见 这里。

检测栈顶越界
对于栈顶越界,gcc提供了支持。打开内核配置CONFIG_CC_STACKPROTECTOR后,会打 开编译选项-fstack-protector.使用lkdtm验证如下:

  # echo CORRUPT_STACK > /d/provoke-crash/DIRECT
  [ 1320.195246] lkdtm: Performing direct entry CORRUPT_STACK
  [ 1320.195681] Kernel panic - not syncing: stack-protector: Kernel stack is corrupted in: c03383dc
内核默认抛出panic.

内核的规模已经从小湖膨胀到大海一样,让身处其中的水手们晕头转向。如果用好内核 这些配备的雷达声纳等工具,是不是觉得世界稍美好了一点呢?

~EOF~

Linux内核安全系列(1) - 内核栈溢出之牛刀小试
weixin_44856655的博客
07-16 198
背景 五年前写清华大学出版社找我写本linux内核安全的书, 到现在只写了两章,希望能在w3上坚持写下去。 本次讲解linux内核栈溢出的攻击原理与实现,手把手教你写内核exploit。 溢出原理 我们先写一个简单的内核模块, 它在32位系统下hook了第59号系统调用, 这个系统调用被故意设置了一个堆栈溢出的bug。 void buffer_overflow_test(char *buf, int len) { char test[256] = {0}; memcpy(test, b
嵌入式编程中的堆栈溢出检测
smallerxuan的博客
07-09 1万+
嵌入式编程中,栈是一个很重要的概念,不管是裸机编程还是基于RTOS编程。函数形参、局部变量、函数调用现场的保护及返回地址、中断函数执行前线程保护及中断嵌套的现场的保护都依赖于栈空间。栈空间不足,程序执行过程中栈溢出,极大可能的影响程序、系统的稳定,严重时会造成程序、系统的崩溃,所以堆栈溢出检测十分重要且必要。 什么是堆,什么是栈 堆和栈都是指预先分配的空间,有大小限制,两者通常是相邻的两个内存区域(RTOS中任务的堆和栈可能不相邻),供程序使用,堆和栈的最大差异是,堆空间通过xxmal...
uCOS-III任务堆栈溢出检测及统计任务堆栈使用量的方法
USB_ABC的博客
11-15 902
从结果中我们看到SystemDataBroadcast任务的100字节的任务栈只用了58字节,使用率为58%,还有近一半的富余,100字节其实是合适了的,而 58X1.5 = 87,58X2.0 = 116, [87,116]之间取一个数,就取100吧,嘿嘿!注意的是,程序需用运行很长的时间以让堆栈达到其需要的最大值。但是请遵循一个原则:必须让系统运行足够久,比如尽量让系统处于不同的运行状态下,然后观察任务堆栈使用的变化,找到堆栈的最高使用率,然后根据上文所说的原则按需重新分配新的任务堆栈大小。
Windows系统弹出:“系统在此应用程序检测到基于堆栈的缓冲区溢出,如何解决?“解决办法
最新发布
daijingxin的博客
01-10 2万+
按 “Windows 徽标键+R”,输入 “msconfig”,回车启动系统配置页面。点击 “服务”>“隐藏所有 Microsoft 服务”,点击 “全部禁用”。鼠标右击任务栏,启动任务管理器。点击 “启动” 选项卡,将所有的启动项全部禁用。通过开始菜单重启设备 (请选择重启设备,不要选择关机后再开机)。执行完毕后重启设备,查看问题是否解决。
linux 堆栈溢出的问题
08-16
unix linux 堆栈 溢出 的 问题
检测内核堆栈溢出
qq_24521983的博客
11-29 3985
内核堆栈溢出通常有两种情况。一种是函数调用栈超出了内核栈THREAD_SIZE的大小, 这是栈底越界,另一种是栈上缓冲越界访问,这是栈顶越界。 检测栈底越界 以arm平台为例,内核栈THREAD_SIZE为8K,当调用栈层次过多或某调用栈上分配过大的 空间,就会导致它越界。越界后struct thread_info结构可能被破坏,轻则内核 panic,重则内核数据被覆盖仍继续运行。
linux 内核栈溢出,Linux 内核栈溢出分析
weixin_39714528的博客
04-30 1288
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?由于内核栈的大小是有限的,就会有发生溢出的可能,比如调用嵌套太多、参数太多都会导致内核栈的使用超出设定的大小。本文分析内核栈溢出。Linux 系统进程运行分为 用户态 和 内核态,进入内核态之后使用的是内核栈,作为基本的安全机制,用户程序不能直接访问内核栈,所以尽管内核栈属于进程的地址空间,但与用户栈是分开的。内核栈需要...
堆栈溢出一般是由什么原因导致的?
fightingtingting的博客
06-22 2630
堆栈是一个特定的存储区或寄存器,它的一端是固定的,另一端是浮动的 ,也就是所有操作均在堆栈顶端进行,遵循“先进后出”的特征。·栈顶的地址和栈的最大容量是由系统预先规定的,只要栈的剩余空间大于所申请空间,系统将为程序提供内存,否则将报异常来提示栈发生溢出。·堆区是由程序员自己申请,指明大小,程序最后进行释放,若程序员不释放,程序结束时可能由操作系统回收(注意,如果是C/C++语言,程序不进行对空间回收,而Java语言中有专门的垃圾回收器进行回收)。 堆栈溢出是说堆区和栈区的溢出,二者同属于缓冲区
STM32 堆栈检测示例
07-21
4. **RTOS集成的堆栈监测**:如果使用实时操作系统(RTOS),如FreeRTOS,它通常包含内置的堆栈溢出检测机制。每个任务都有一个分配的堆栈大小,RTOS会监控每个任务的堆栈使用情况,并在溢出时发出警告或采取措施。 ...
Linux内核模块的堆栈溢出攻击防范与处理策略探索
Linux内核模块漏洞与堆栈溢出攻击概述 ### 1.1 Linux内核模块的特点与重要性 在Linux系统中,内核模块是一种动态加载到内核中并扩展其功能的代码段。内核模块可以在运行时被加载和卸载,帮助用户在不重启系统的...
CC_STACKPROTECTOR防止内核stack溢出补丁分析
12-01 3233
CC_STACKPROTECT补丁是Tejun Heo在09年给主线kernel提交的一个用来防止内核堆栈溢出的补丁。默认的config是将这个选项关闭的,可以在编译内核的时候, 修改.config文件为CONFIG_CC_STACKPROTECTOR=y来启用。未来飞天内核可以将这个选项开启来防止利用内核stack溢出的0day攻击。 这个补丁的防溢出原理是: 在进程启动的时候, 在每个
ioctl引发内核栈溢出保护导致系统重启
Not_hesitate的专栏
04-21 2400
最近在调试一个收音机模块RDA5807M模块,在使用系统自带的驱动kernel/drivers/misc/fm580x.c时,发现一运行测试程序系统就重启: [ 267.418774] enable fm580x chip [ 267.531870] fm580x_tuner_init:RDA5807P_REG[0]=0xc4,RDA5807P_REG[1]=0x1,ID=0x5804 [ 267.539284] set fm580x stereo [ 267.589668] set fm5...
Linux kernel panic解决方法
JackieGemini
01-31 7891
kernel panic错误表现 kernel panic 主要有以下几个出错提示: Kernel panic-not syncing fatal exception in interrupt kernel panic - not syncing: Attempted to kill the idle task! kernel panic - not syncing: killing in
imx6ull spi-imx.c 驱动接收导致内存问题
小小的生活,大大的世界
03-17 1011
如果上一次SPI发送还有要接收的数据,接下一次spi发送中如果上次的接收缓存用的是临时变量,这次保存数据时原来的空间已经被释放,而spi_imx->rx_buf只有在本次接收中spi_imx_pio_transfer,被重置
linux C错误汇集
weixin_34343689的博客
07-24 276
问题一: 22.c: In function ‘main’:22.c:8:9: error: empty character constant  解决方法:少了空格     问题2.  没有连接到math函数库   gcc 12.c -o 12 -lm     问题3.segment fault 1.内存访问越界  a) 由于使用错误的下标,导致数组访问越界  b) 搜索字符...
解决kernel panic - not syncing
热门推荐
sailershen的专栏
12-28 2万+
kernel panic 出错会在屏幕上显示,看了下message文件、并没有相关记录。 kernel panic 主要有以下几个出错提示: kernel panic - not syncing: Attempted to kill the idle task! kernel panic - not syncing: killing interrupt handler! Kerne
移植linux内核到s3c6410(根文件系统加载失败问题解决:Kernel panic - not syncing: VFS: Unable to mount root fs)
roadtoforest的专栏
08-05 1万+
异常打印:  List of all partitions: No filesystem could mount root, tried:  ext2 Kernel panic - not syncing: VFS: Unable to mount root fs on u
中断
10-20 253
中断初始化   void__init early_trap_init(void) {        //CONFIG_VECTORS_BASE是make menuconfig的时候配置的物理地址         unsigned long vectors = CONFIG_VECTORS_BASE;         extern char __stubs_start[],__stubs
Ram的M0内核堆栈大小设置0X400
05-16
Ram的M0内核堆栈大小设置为0X400,意味着在RAM中为M0内核分配了1024个字节的堆栈空间。这是一种常见的设置,可以保证M0内核在执行程序时有足够的堆栈空间,尤其是在处理中断时。当M0内核需要调用子函数时,会将当前...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值