本文介绍了在Linux系统中如何改变任意进程内存区域的保护标志,探讨了vc++ hook在Linux环境下的局限,并提出了三种解决方案:代码注入利用ptrace系统调用,模仿内核模块中的mprotect以及使用目标进程的内存映射。文章详细阐述了每种方法的实现原理和遇到的问题,揭示了内核安全机制如seccomp的影响,并提供了实际的代码示例。
前言
最近,我们遇到一个非常具体的问题:改变任意进程的内存区域的保护标志。这项任务看似微不足道,但是我们着实遇到了一些麻烦,在此过程中也学到了关于Linux机制和内核开发相关的东西。以下是一些简要概述,其中包括了当时采取的三种方案,每次也在寻求更好解决方案。
概述
在现代操作系统中,每个进程都有自己的虚拟地址空间(从虚拟地址映射到物理地址)。此虚拟地址空间由内存页(某些固定大小的连续内存块)组成,每个页都有保护标志,用于确定允许此页面访问的类型(读取,写入和执行)。这种机制依赖于架构页表(有趣的是,在x64架构中,你不能使页面只写(write-only),就算你特意从操作系统请求,它也总是可读的)。
在Windows中,你可以使用VirtualProtect或VirtualProtectEx这两个API更改内存区域的保护。后者让我们的任务变得非常简单:它的第一个参数hProcess是“要改变内存保护的进程的句柄”(参见MSDN.aspx))。
另一方面,在Linux中,我们并不那么幸运:更改内存保护的API是系统调用mprotect或pkey_mprotect,并且两者始终在当前进程的地址空间上运行。 我们现在回顾一下在
最低0.47元/天 解锁文章
1031
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
