linux内核进程管理模块,[原创]开源一个Linux内核里进程内存管理模块源码

最新推荐文章于 2023-06-02 19:03:43 发布
最新推荐文章于 2023-06-02 19:03:43 发布
阅读量430 收藏
点赞数
文章标签: linux内核进程管理模块

Linux它是一款开源的内核系统。本人也非常喜欢嵌入式Linux系统,特别是它的内核源码,书写的风格,都非常讨我心欢。这个驱动是之前业余的时候写的对于新手来说,还是有学习价值的。

fced3dfaae257839ca114d8ad0b9cdae.png

5df4896fca11e451697d1b0d6f198b30.png

下面将对源码进行简单的讲解。

首先是隐藏内核驱动模块。

list_del_init是将自身驱动模块从驱动列表(lsmod)中抹掉

kobject_del是将自己从/sys/class/xxxxxx中抹掉

接下来是打开进程接口。

在Linux内核里,不区分进程与线程。统一按照线程来看待。那么每个线程都有一个对应的pid_t、pid、task_struct。

他们之间的关系是这样的:

pid_t struct pid

nr为进程pid数值

看完以上的逻辑。大家是不是柳暗花明又一村,心里开朗了许多,他们之间是可以相互转换的。通过进程pid_t可以拿到pid,通过pid可以拿到task_struct。又可以反过来通过task_struct拿到进程pid。

然后是关闭进程接口

驱动源码是使用put_pid将进程pid*的使用次数减去1

在Linux内核源码/kernel/pid.c下可以看到

读进程内存、写进程内存接口

这里采用读、写物理内存的思路,因为这样简洁明了,不需要理会其他反调试干扰。

首先根据pid*用get_pid_task取出task_struct。再用get_task_mm取出mm_struct结构。因为这个结构包含了进程的内存信息。首先检查内存是否可读if (vma->vm_flags & VM_READ)

如果可读。那么开始计算物理内存地址位置。由于Linux内核默认开启MMU机制,所以只能以页为单位计算物理内存地址。计算物理内存地址的方法有很多,这里提供三种思路:

第一种是使用get_user_pages,

第二种是直接使用pagemap文件,

第三种是纯手写算法(将pgd、pud、pmd和pte拼接在一起)

我个人推荐使用第三种方法,也是我正在使用的方法,速度极快而且不触碰任何的进程文件,被调试进程无任何感知。

不推荐使用第一种get_user_pages方法,因为此方法会触发反调试机制,导致调试失败。

知道了物理内存地址后,读、写物理内存地址,其实Linux内核里面也有演示,即drivers/char/mem.c。写的非常详细。最后还要注意MMU机制的离散内存,即buffer不连续问题,通俗的说就是不要一下子读太多,读到另一页去了,要分开页来读

获取进程内存块列表

这个接口就很简单了,通过task_struct取出mm_struct,接下来在mm_struct中遍历取出vma。详情可以参考代码fs\proc\task_mmu.c

获取进程命令行

mm_struct结构体里面有个arg_start变量,储存的地址值即是进程命令行。

但这里有个要注意的地方,经过我多台设备测试发现,并不是每个Linux内核系统的arg_start变量偏移值是一样的,这样子就会非常危险,一旦读错就会死机,而且原因还不好查找。

这里我使用了一些玄学的技巧,驱动可以自适应地在不同的Linux内核中自行修正arg_start变量的偏移值,从而读取到正确的值,不会死机。

获取进程PID列表

驱动里写入了两种方法,第一种是遍历/proc/pid目录,第二种是遍历task_struct结构体。这里有个要注意的地方,经过我多台设备测试发现,并不是每个Linux内核系统的task_struct结构体里的tasks变量偏移值是一样的,但具体玄学修正方法我还没时间进行编写,待有空再补充。

获取进程物理内存大小

读取task_struct结构体里的mm_struct,再读取rss_stat就会有进程的物理内存占用大小,这个来源与/proc/pid/status里的源码编写。这里同样需要玄学技巧修正变量的偏移值,具体方法我已编写在内。

获取进程权限、设置进程权限为ROOT

在取得task_struct进程结构后,观察头文件可以发现里面有两个变量值,一个是real_cred,另一个是cred,其实很简单,将两个cred里面的uid、gid、euid、egid、fsuid、fsgid修改成0即可

real_cred指向主体和真实客体证书,cred指向有效客体证书。通常情况下,cred和real_cred指向相同的证书,但是cred可以被临时改变

同样需要注意,每个Linux内核的cred结构变量偏移值并不是一样的,读错会死机,同理,我也使用了玄学的技巧,驱动能智能修正Linux内核变量的偏移值,能准确的识别出每个Linux内核版本里real_cred与cred的正确偏移位置

892833_JF2VGK6DEF2SPKZ.png

892833_U7RAEH3G4RK62D9.png

开源地址(含使用demo)

总结:

首先,编译此源码需要一定的技巧,再者,手机厂商本身已设置多重障碍用来阻止第三方驱动的加载,如果您需要加载此驱动,则需要将内核中的一些限制给去除。(其实这些验证都可以用IDA暴力Patch之~)。

提醒:

本源码不针对任何程序,仅供交流、学习、调试Linux内核程序的用途,禁止用于任何非法用途,调试器是一把双刃剑,希望大家能营造一个良好的Linux内核Rootkit技术的交流环境。

后续:

后面即将开源:

“不需要源码,强制暴力修改手机Linux内核、去除加载内核驱动的所有验证”

“不需要源码,强制加载启动ko驱动文件、跨Linux内核版本、跨设备启动ko驱动模块文件”

“不需要源码,Linux内核进程万能调试器-可过所有的反调试机制-含硬件断点:Linux天下调,让天下没有难调试的Linux进程!”

“不需要源码,突破Linux内核Elf结构限制、将ollvm混淆加入到ko驱动文件中,增加驱动逆向难度”

最后于 2021-4-3 01:42

被abcz316编辑

,原因: 补充图片

巫-挖泥巴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux内核源码分析方法
03-02
如果想透析Linux,深入操作系统的本质,阅读内核源码是最有效的途径。我们都知道,想成为优秀的程序员,需要大量的实践和代码的编写。编程固然重要,但是往往只编程的人很容易把自己局限在自己的知识领域内。如果要...
Linux文件系统与持久性内存介绍:块设备、闪存(NAND/NOR)、NVDIMM(非易失性内存)、PMEM(PMDK)- ndctl
RToax
11-20 4599
《持久内存开发套件(Persistent Memory Development Kit-PMDK) - pmem.io: PMDK》 《PMDK介绍》 《PMDK(NVML)事务实现机制源码分析》 目录 1、Linux 虚拟文件系统介绍 1.1、硬件层面 1.2、内核空间层面 2、下一代存储技术NVDIMM 2.1、种类 NVDIMM-N NVDIMM-F NVDIMM-P 2.2、硬件支持 写的原子性 高效的缓存刷新(flushing) 提交至持久性内存(Committing
kali Linux笔记
世界那么大,我要学编程看看!
06-02 994
kali linux安全渗透技术简介
Linux内核之内存描述符mm_struct
m0_74282605的博客
02-04 216
无论是内核线程还是用户进程,对于内核来说,无非都是task_struct这个数据结构的一个实例而已,task_struct被称为进程描述符(process descriptor),因为它记录了这个进程所有的context。其中有一个被称为'内存描述符‘(memory descriptor)的数据结构mm_struct,抽象并描述了Linux视角下管理进程地址空间的所有信息。Linux对于内存的管理涉及到非常多的方面,这篇文章首先从对进程虚拟地址空间的管理说起。(所依据的代码是2.6.32.60)
Linux 进程内存管理
一蓑烟雨任平生
10-09 1368
摘要 - 内存管理信息在 task_struct 的 mm_struct 中 - task_size 指定用户态虚拟地址大小 - 32 位系统:3G 用户态, 1G 内核态 - 64 位系统(只利用 48 bit 地址): 128T 用户态; 128T 内核态 - 用户态地址空间布局和管理 - mm_struct 中有映射页的统计信息(总页数, 锁定页数, 数据/代码/栈映射页数等)以及各区域地址 - 有 vm_area_struct 描述各个区域(代码/数据/栈...
深入理解 Linux 内核---程序的执行
新博客:https://aping-dev.com/
02-09 699
尽管把一组指令装入内存并让 CPU 执行看起来不是大问题,但内核还必须灵活处理以下几方面的问题: 不同的可执行文件格式。Linux 可在 64 位版本的机器上执行 32 位可执行代码。 共享库。很多可执行文件并不包含执行程序所需的所有代码,而是期望内核在运行时从共享库中加载函数。 执行上下文的其它信息。这包括命令行参数与环境变量。 程序是以可执行文件的形式存放在磁盘上的,可执行文件既包括被执行...
linux 0.11 内核源码 - 免费下载
06-24
内核的源代码包括文件系统、进程管理内存管理和网络协议等多个子系统。它采用模块化的设计理念,允许开发者扩展和替换不同的部分。Linux 0.11内核具有高度的可移植性和可扩展性,可以在多个硬件平台上运行,并且...
基于SpringBoot 2的国内首个开源管理后台系统设计源码
最新发布
04-04
本设计源码提供了一个基于SpringBoot 2的国内首个开源管理后台系统。项目包含485个文件,主要使用Java、JavaScript、HTML和CSS编程语言。文件类型包括180个Java源代码文件、79个GIF图片文件、77个JavaScript脚本文件...
Linux-0.11内核源码
06-20
Linux 0.11 内核源码包含了操作系统内核的核心代码和一些驱动程序。该内核的开发和维护过程采用开源开发模式,因此它的源代码被广泛地研究和修改。Linux 0.11 内核被广泛地应用于嵌入式设备、服务器和个人计算机等...
linux内核进程变量命令行修改,开源一个Linux内核进程内存管理模块源码
weixin_39583013的博客
04-28 520
本帖最后由 Victory.ms 于 2021-3-26 00:24 编辑Linux它是一款开源内核系统。本人也非常喜欢嵌入式Linux系统,特别是它的内核源码,书写的风格,都非常讨我心欢。这个驱动是之前业余的时候写的,不过对于新手来说,至少还是有学习价值的。QQ截图20210218213825.png (229.4 KB, 下载次数: 0)2021-2-18 22:52 上传QQ截图20210...
task_struct 结构剖析
胡小哲的博客
02-20 315
在之前我们提到的,每个进程都有一个特殊的数据结构 PCB(进程控制块)来对进程进行管理。 在 linux 中,task_struct 就是我们所说的 PCB。 PCB 是控制进程的唯一手段。 task_struct 内容大致可分为 - 标示符 :描述被进程的唯一标识符,用来区别其他进程。 - 状态 :任务状态,退出代码,退出信号等。 - 优先级 :相对于其他进程的优先级。 - 程序...
git获取linux内核源码_开源一个Linux进程内存内核管理模块源码
weixin_39624733的博客
11-12 155
本文为看雪论坛优秀文章看雪论坛作者ID:abcz316Linux它是一款开源内核系统。本人也非常喜欢嵌入式Linux系统,特别是它的内核源码,书写的风格,都非常讨我心欢。这个驱动是之前业余的时候写的用于嵌入式开发版,点亮LED灯时候留下的,现在代码已删除ioremap。不过对于新手来说,至少还是有学习价值的。源码仅供交流学习之用,不得用于非法用途。同时为了避免不法分子将此驱动用在非法的用途,我...
linux文件系统proc文件夹下makefile的学习
qq_40168019的博客
11-26 445
linux文件系统proc文件夹下makefile的学习 工作所需,学习下如何看makefile。对应的makefile内容如下: # # Makefile for the Linux proc filesystem routines. # obj-y += proc.o proc-y := nommu.o task_nommu.o proc-$(CONFIG_MMU) := task_mmu.o proc-y += inode.o root.o base.o generic.o
C/C++获取struct结构体成员的偏移值
七妹的博客
06-27 1279
可以使用结构体成员的地址减去结构体对象的地址。 二、没有结构体对象 2.1 使用 0 地址 将0强制转换为结构体类型的指针,获取每个成员的地址值,该地址值就是成员的偏移值。,编译器会将当作是一个结构体对象的地址,所以很容易推出成员的偏移值。这种方式在GDB调试core文件时,获取某个结构体成员的偏移值会很方便。 2.2 使用offsetof函数 标准库中定义了函数offsetof(type,member),该函数是一个宏定义,第一个参数是结构体的类型,第二个参数是所求的成员名。...
对 IDA 结构体操作的一些理解
沐一 · 林 的博客
05-20 446
对 IDA 结构体操作的一些理解 前言: 刚学逆向时把 IDA pro 权威指南过了一遍,但读得并不是很细,满足日常使用还是没问题的,但是对于一些细节的操作或提高效率的方法倒是没能掌握。 比如 IDA 对结构体和数组的操作,看过,但是不记得了,就算记得也不会用,或者根本不知道什么时候用,在哪用。 虽然凭借着最基本的操作依旧能分析得出来,但是效率却大打折扣。 有一天从 水番正文 的视频中得到启发,发现应用 IDA 结构体后能使代码可读性大大提高,便回去精读了 数据类型和数据结构 这一章,并整理出自己的 IDA
任意地址读写驱动提权(cred、VDSO、modprobe_path、core_pattern、修改内核指针提权)
YJM_____的博客
02-17 699
驱动提权实战 题目网址:https://github.com/bsauce/kernel_exploit_series 业务流程 ioctl 先分析下驱动程序 static long do_ioctl(struct file *filp, unsigned int cmd, unsigned long args) { int ret; unsigned long *p_arg = (unsigned long *)args; ret = 0; switch(cmd) { ... case
c#结构
记录点滴
09-23 448
结构可以帮助我们一次性声明多个不同类型的变量 语法: [ public ] struct 结构名 { _成员; // 通常称为字段 ··· ··· } 定义的位置: 与枚举类型enum一样,通常定义在命名空间下方,类的上方: 如: 下边小练习中,把结构与枚举相结合,在结构中,通过枚举来定义性别: namespace day_1 { //定义枚举 public enum Sex { fameil, meil } //.
GNU链接脚本(11) - 构建可运行程序
task_struct的博客
02-03 384
原文:https://github.com/iDalink/ld-linker-script/tree/master/11%20%E6%9E%84%E5%BB%BA%E5%8F%AF%E8%BF%90%E8%A1%8C%E7%A8%8B%E5%BA%8F 1、目标 你可能已经注意到,我们前面自定义linker script编译的可执行均无法正常运行。其原因是现代系统有无数的细节需要小心处理。一方面是,printf是系统libc提供的函数,为了保证编译通过我们只是简单得把printf函数屏...
Linux内核源码 内存管理优化进程
06-09
Linux 内核内存管理优化是一个持续不断的过程,需要不断地改进和优化。这个过程中涉及到很多的内核开发者和贡献者,下面简单介绍一些内存管理优化的进程: 1. Linux 内核社区:Linux 内核社区是 Linux 内核开发的主要场所,它包括了很多的内核开发者和贡献者。在 Linux 内核社区中,内存管理优化是一个重要的议题,社区中的开发者和贡献者会就内存管理的问题进行讨论和交流,并提出改进和优化的建议。 2. 内存管理子系统维护者:在 Linux 内核中,内存管理一个独立的子系统。这个子系统有专门的维护者,他们负责内存管理的开发、维护和优化工作。内存管理子系统维护者会根据社区的反馈和需求,不断地改进和优化内存管理的代码,提高内核的性能和稳定性。 3. Linux 内核开发者:除了内存管理子系统维护者之外,Linux 内核开发者也会参与到内存管理优化的工作中来。他们会在内核的不同模块中,对内存管理进行改进和优化,例如在文件系统中对内存进行缓存、在网络协议栈中对内存进行管理等。 4. 厂商和社区用户:Linux 内核不仅是开源软件,也是很多商业厂商采用的操作系统内核。因此,厂商和社区用户也会参与到内存管理优化的工作中来。他们会根据自己的需求和场景,提出内存管理的改进方案并提交到社区中,从而促进内存管理的优化。 总之,Linux 内核内存管理优化是一个社区化的进程,需要内核开发者、维护者、厂商和社区用户共同参与和推动。只有这样,才能不断地提高 Linux 内核内存管理性能和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值