KASan介绍

目录

概括介绍

配置说明

单独关闭读或写检查

操作使用

影响及注意事项

结果解读

使用注意

实现原理简介

KASAN原理

malloc原理

内容参考

---

概括介绍

1. KernelAddressSANitizer （KASAN） 是一个动态内存错误检测器。它提供了一个快速而全面的解决方案，用于查找释放后使用(use-after-free)和越界等错误。
2. KASAN 使用编译插桩来检查每次内存访问，因此您需要 GCC 版本 4.9.2 或更高版本。如果希望能够对栈或者全局变量的越界访问做检测，那么需要GCC 5.0或者更高的版本。
3. 插桩主要是针对在llvm/gcc编译器级别对访问内存的操作(store，load，alloca等)，将它们进行处理。动态运行库主要提供一些运行时的复杂的功能(比如poison/unpoison shadow memory)以及将malloc,free等系统调用函数hook住。
4. 该算法的思路是：ASAN用的是shade memory直接标记内存的状态（global、stack、heap、free），每次内存读写，先检查标记再操作实际内存。

配置说明

# 启用KASan
CONFIG_MM_KASAN=y
# 全局开启KASan，可能会导致image大小暴涨，通常会翻倍
CONFIG_MM_KASAN_ALL=y

也可以对单个文件或者应用启用KASan来有效减少KASan带来的体积增加，例如，如果只想对apps/examples/hello应用程序进行检测，可以在它的Makefile(apps/examples/hello/Makefile)中添加:

CFLAGS   += -fsanitize=kernel-address
CXXFLAGS += -fsanitize=kernel-address

想对某个目录去掉kasan：
CFLAGS += -fno-sanitize=kernel-address

单独关闭读或写检查

默认Kasan对读写都做检查，会显著降低系统的性能、增大image大小。

当确定发生的问题是内存写导致的错误时，可以关闭读检查，提高系统性能和运行速度，进而间接提高问题的复现度。

关闭读检查后，flash占用空间overhead也将大幅降低，对于穿戴设备，关闭读检查后，flash空间减小约1MB。

# 开启改选项将会关闭Kasan读检查
CONFIG_MM_KASAN_DISABLE_READS_CHECK=y

# 开启该选项将关闭Kasan写检查
CONFIG_MM_KASAN_DISABLE_WRITES_CHECK=y

操作使用

void __asan_handle_no_return(void)；

void __asan_report_load_n_noabort(FAR void *addr, size_t size)；

void __asan_report_store_n_noabort(FAR void *addr, size_t size)；

void __asan_report_load16_noabort(FAR void *addr)；

void __asan_report_store16_noabort(FAR void *addr)；

void __asan_report_load8_noabort(FAR void *addr)；

void __asan_report_store8_noabort(FAR void *addr)；

void __asan_report_load4_noabort(FAR void *addr)；

void __asan_report_store4_noabort(FAR void *addr)；

void __asan_report_load2_noabort(FAR void *addr)；

void __asan_report_store2_noabort(FAR void *addr)；

void __asan_report_load1_noabort(FAR void *addr)；

void __asan_report_store1_noabort(FAR void *addr)；

void __asan_loadN_noabort(FAR void *addr, size_t size)；

void __asan_storeN_noabort(FAR void * addr, size_t size)；

void __asan_load16_noabort(FAR void *addr)；

void __asan_store16_noabort(FAR void *addr)；

void __asan_load8_noabort(FAR void *addr)；

void __asan_store8_noabort(FAR void *addr)；

void __asan_load4_noabort(FAR void *addr)；

void __asan_store4_noabort(FAR void *addr)；

void __asan_load2_noabort(FAR void *addr)；

void __asan_store2_noabort(FAR void *addr)；

void __asan_load1_noabort(FAR void *addr)；

void __asan_store1_noabort(FAR void *addr)；

void __asan_loadN(FAR void *addr, size_t size)；

void __asan_storeN(FAR void *addr, size_t size)；

void __asan_load16(FAR void *addr)；

void __asan_store16(FAR void *addr)；

void __asan_load8(FAR void *addr)；

void __asan_store8(FAR void *addr)；

void __asan_load4(FAR void *addr)；

void __asan_store4(FAR void *addr)；

void __asan_load2(FAR void *addr)；

void __asan_store2(FAR void *addr)；

void __asan_load1(FAR void *addr)；

void __asan_store1(FAR void *addr)；

影响及注意事项

使能KASAN后，会让程序明显变慢，如果这时使能了看门狗，很可能导致看门狗复位，实际使用中建议同时关闭看门狗。

使用ASAN会增加额外1/8的内存消耗用于shadow memory。

ASAN通过每8字节对应1字节的映射的方式建立影子内存区。

相同功能下，开启asan后，代码rom大小多了约20%-30%（每个对内存访问的指令前都会增加一个跳转指令），data没有变化，因为heap大小是自适应的，实际应该多消耗1/32的heap空间。如果以后功能增强，资源占用会变化。

结果解读

测试演示：

如下所示，测试代码第一条printf未越界，第二条pritnf越界立即上报并打印PANIC信息，通过backtrace信息可以直接定位到越界访问处。

int main(int argc, FAR char *argv[])
{
  char *p = malloc(1024);
  printf("Hello, World!!,%d\n", p[1023]);
  printf("Hello, World!!,%d\n", p[1024]);
  return 0;
}

利用printf()分别访问已申请的p[1023]和未申请的空间p[1024]

使用注意

1. M55核心，memset 使用 v8.1m 里的 vstrb 指令，不是传统意义的 LDR 或 STR，因此 asan 检查无法插入，故不会针对 memset 的越界进行报错提醒。 
2. asan 以内存管理分配器实际 alloc 的内存大小作为是否越界判断，故实际分配 size 可能大于申请 size，因此 asan 检测可能出现延迟触发报错提醒的情况。（例如申请大小为10，实际可能在写超到 index 24才报错）

实现原理简介

KASAN原理

进程的虚拟内存空间被ASAN划分为2个独立的部分：

1. 主应用内存区 (Mem): 专门提供给普通APP代码内存使用区。

2. 影子内存区 (Shadow): 该内存区仅ASAN感知，影子顾名思义是指该内存区与主应用内存区存在一种类似“影子”的对应关系。ASAN在将主内存区的一个字节标记为“中毒”状态时，也会在对应的影子内存区写一个特殊值，该值称为“影子值”。

这两个内存区需要精心划分，确保可以快速从主应用内存区映射到影子内存区(MemToShadow)。

主应用内存与影子内存Shadow bytes映射

KASAN将8字节的主应用区内存映射为1bit影子区内存。

针对任何8字节对齐的主应用区内存，总共有1种不同的影子内存值：

8字节中的有一个字节未“中毒”(可访问的)，影子值是1。

8字节中的全部字节都“中毒”(不可访问的)，影子值是0。

malloc原理

#include "mm_heap/mm.h"
struct mm_freenode_s
{
#if CONFIG_MM_BACKTRACE >= 0
  pid_t pid;                                /* The pid for caller */
#  if CONFIG_MM_BACKTRACE > 0
  FAR void *backtrace[CONFIG_MM_BACKTRACE]; /* The backtrace buffer for caller */
#  endif
#endif
  mmsize_t size;                            /* Size of this chunk */
  mmsize_t preceding;                       /* Size of the preceding chunk */
  FAR struct mm_freenode_s *flink;          /* Supports a doubly linked list */
  FAR struct mm_freenode_s *blink;
};

malloc()有两种申请内存的方式。

brk()

小于128KB的内存，往往是通过brk()申请，malloc 通过 brk() 方式申请的内存，free 释放内存的时候，并不会把内存归还给操作系统，而是缓存在 malloc 的内存池中，待下次使用；

mmap()

大于128KB的内存，一般是通过mmap()申请，malloc 通过 mmap() 方式申请的内存，free 释放内存的时候，会把内存归还给操作系统，内存得到真正的释放。

定义于 mm_hap/mm.h的相关宏

内容参考

利用ASAN在单片机上查找内存错误（英文）

tinyK22_FreeRTOS_ASAN

KASAN实现原理

kasan部分源码

Armv8.1-M architecture: PACBTI extensions - Architectures and Processors blog - Arm Community blogs - Arm Community