关于Linux内核code段被改写的原因分析

已于 2024-04-09 22:17:34 修改
阅读量782 收藏 24
点赞数 7
文章标签: linux 运维 服务器
于 2024-04-09 22:15:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42296411/article/details/137569213
版权

本文基于Linux-4.19.125, ARM V7,dual core。

1 code 段

Linux的code段(或者说text段)自_stext开始,到_etext结束,这段内容一般情况下是只读的,在理论上来说,这段数据在设备上应该和kernel image中的内容完全一致。

symbol___|type_______|address____________|
_stext       |(char [0])    | P:C0008240
_etext       | (char [0])  | P:C02CA9A0

但在实测中发现,从设备中dump出来的这段数据,与kernel image中的数据存在多处不一致的情况:

2 数据对比

随机取几个差异点:

序号虚拟地址vmlinux内容板端内容
10xc0017f700x40010x4000
20xc00d21540x43010x4300
30xc00e895e0x40010x4000
40xc02852ca0x41010x4100

 通过trace32对比设备侧与vmlinux中的数据差异:

3. 数据何时被修改的

41 load boot image阶段

为方便调试,修改Linux内核源码arch/arm/kernel/head.S文件如下,让CPU停在SPL跳转到内核的第一条指令:

上电,CPU停止在0x40008000地址:

 

此时dump, 将_stext和_etext转换成物理地址分别是0x40008240和:0x402CA9A0

执行d.save.Binary text_dump_start.bin eaxi:0x40008240--eaxi:0x402CA9A0得到 text_dump_start.bin

对比text_dump_start.bin和text_vmlinux.bin文件发现二者完全一致,说明SPL加载boot image到内核过程中并没有修改code段内容。

3.2 __mmap_switched 阶段

__mmap_switched是开启mmu后的第一条语句,经过验证发现,进入到__mmap_switched时,监控的上述4个随机抽样点的数据已经被修改了,这说明修改动作发生在__mmap_switched之前。 

3.3 __fixup_pv_table阶段

经过调试发现,上述监控的4个随机抽样点的数据在__fixup_pv_table中被修改了。

__fixup_pv_table是在CONFIG_ARM_PATCH_PHYS_VIRT内核配置项打开的情况下才支持的,关于CONFIG_ARM_PATCH_PHYS_VIRT的作用,概括来说就是:
开发人员需要让内核在不重新编译的情况下,在不同内存配置的系统中能够正常运行。
内核可能被编译成在特定的虚拟地址(如 0xC0000000 )处执行,但实际可能被加载到 物理地址0x10000000、0x40000000或其他地址。
CONFIG_ARM_PATCH_PHYS_VIRT的作用就是实现同一kernel image被加载到不同物理地址后仍然能够正常运行这一目的的。
__fixup_pv_table的实现很复杂,其核心思想:
每当在内核中调用 __virt_to_phys() 或 __phys_to_virt() 时,被替换成一段内联汇编代码(位于arch/arm/include/asm/memory.h)
然后连接器就会将section 切换到一个名为 .pv_table 的section 上,然后在该section 中添加一个指针,指向刚刚添加的汇编指令的位置
这就是说,.pv_table 接会扩展成一个指针的表格,指向所有这些内联汇编代码所在的位置。
在__fixup_pv_table过程中,会遍历整个pv_table 表格,取出每一个指针,检查指针所指位置的指令,然后利用物理和虚拟内存之间的偏移量对这些指令打补丁。 

Patching phys to virt

4 检验

根据我们前面随机取的几4个取样点:

序号虚拟地址vmlinux内容板端内容
10xc0017f700x40010x4000
20xc00d21540x43010x4300
30xc00e895e0x40010x4000
40xc02852ca0x41010x4100

 0xc0017f70

 对应代码:

0xc00d2154

对应代码:

0xc00e895e

0xc02852ca

以上4个随机取样点,均验证被修改的代码确实都与pv_table有关,可以证实这些被修改的内容是在__fixup_pv_table过程中修改的。 

5 参考文档

  1. How the ARM32 kernel starts — linusw
  2. 万字长文揭秘 ARM 32 内核是如何启动的!
Leenux0810
关注
Linux内存管理(八十一):内存检测工具 kfence(1)
私房菜
10-24 685
本文 kfence 之外的代码版本是基于 Linux5.10,最近需要将 kfence 移植到 Linux5.10 中,本文借此机会将 kfence 机制详细地记录一下。kfence,全称为,是 Linux5.12 版本新引入的内存使用错误检测机制。kfence 基本原理非常简单,它创建了自己的专有检测内存池 kfence_pool。然后在 data page 的两边加上 fence page 电子栅栏,利用 MMU 的特性把 fence page 设置为不可访问。
一文学完Linux常用命令
Code_ForYou的博客
05-23 205
一、Linux 终端命令格式 完整版参考链接:Linux常用命令完整版 1.终端命令格式 command [-options] [parameter] 说明: command : 命令名,相应功能的英文单词或单词的缩写 [-options] : 选项,可用来对命令进行控制,也可以省略 parameter : 传给命令的参数,可以是 零个、一个 或者 多个 1.1 常用 Linux 命令的基本使用 序号 命令 对应英文 作用 01 ls list 查看当前目录下的内容 02
linux平台下code,linux系统安装VScode的多种方式
weixin_36102930的博客
05-15 1996
1.直接在Ubantu系统自带的ubantu software下载(不是很推荐,因为这个版本的vscode没办法输入中文)2.从官网直接下载可以下载多种格式的安装包如果是ubantu系统可以选择下载.deb格式的安装包,之后执行sudo dpkg -i .. .deb.. .deb代表你下载的安装包名字如果是centos系统可以选择下载.rpm的安装包,之后执行yum install .. ....
ARM 32 内核启动流程
lx123010的专栏
09-09 894
“ARM32”的正式名称为Aarch32,在ARM架构中,从ARMv4到ARMv7这几个版本实现了该架构。 本文我将讨论在经过解压缩和引导、加载到物理内存后,内核如何自我引导,直到在虚拟内存中执行由C编写的通用内核代码的过程。 一切的开端 在经过解压、增强,并收到了设备树块(DTB)之后,程序计数器(pc)被置于符号stext()的物理地址(即文本的开始处),从而调用ARM32内核。这代码可以参考arch/arm/kernel/head.S。 宏 __HEAD 会将这里的代码放到一个名为 .he
Linux 内核启动过程--head.S(arch/xxx/kernel下的)
linchuanzhi_886的专栏
04-04 3200
由上篇的分析可以知道,uImage是zImage加上64字节的头信息得到的,而zImage又是compressed下的vmlinux经过objcopy得到的,compressed下的vmlinux是由vmlinux.lds、 head.S 和 piggy.gzip.S misc.c编译而成的,其实就是在piggy.gzip中添加了解压代码。piggy.gzip是Image经过gzip -n -f -
Linuxcode配置c语言环境
最新发布
m0_65473174的博客
01-10 863
注:sudo apt-get install build-essential 可以一次性下载完gcc g++ gdb环境。注:这个必须授权,否则code中直接创建文件会报错,不让创建。4、GBK to UTF8 (GBK编码文件转换为UTF-8)不存在的话使用 sudo apt install g++不存在的话使用 sudo apt install gdb。1、下载chinese插件(中文插件)3、C/C++ (提供C/C++支持)2、g++ -v查看g++版本。3、gdb -v查看gdb版本。
linux--安装code(Visual StudioCode
m0_69724592的博客
03-26 1188
安装vs code,大大方便了linux代码
一篇长文叙述Linux内核虚拟地址空间的基本概括
m0_74282605的博客
11-12 1626
这里的内存模型,是指Linux内核用怎么样的方式去管理物理内存,一个物理内存页(4k),内核会用一个page(64Byte)(类似物理页的meta)去记录Physics Page Number相关信息,下面几种内存模型是讲如何存储这个物理机的meta信息(page),保证内核能快速根据PFN/PPN找到Page,也可以根据Page快速算出PFN。Linux内存模型发展经历了三个模式,分别为FLATMEM、DISCONTIGMEM、SPARSEMEM。PS:这里说下PFN和PPN是一个东西。
漫谈 | 从52个思考题来看《Linux内核设计的艺术》
机器学习
01-14 4179
1.为什么开始启动计算机的时候,执行的是BIOS代码而不是操作系统自身的代码?(P1) 答:加电的一瞬间,计算机内存中,准确的说是RAM中,中空空如也,什么程序也没有。软盘里虽然有操作系统程序,但CPU的逻辑电路被设计为只能运行内存中的程序,没有能力直接从软盘运行操作系统。这就需要硬件主动加载0xffff0处的BIOS程序,由BIOS准备好中断向量表、中断服务程序,接着通过中断“int 0x19...
linux内核UAF漏洞分析之CVE-2018-17182
yiduoxiaoxx的博客
02-26 2187
1.漏洞原理分析 1.1 vma缓存机制 vma就是虚拟地址域(virtual memory area),内核用vma来管理进程分配的虚拟内存地址。vma在内核中用结构体struct vm_ares_struct 表示,定义如下: struct vm_area_struct { unsigned long vm_start; // 起始虚拟地址 unsig...
ctf中linux 内核态的漏洞挖掘与利用系列
Moyun_vackbot的博客
03-29 980
本篇文章主要针对内核栈溢出以及堆越界访问漏洞进行分析以及利用。
linuxcode source
12-03
linux1.0 code source linux0.11 code source linux1.0 code source linux0.11 code source linux0.11 code source
LINUXcode1
Dasoni的博客
12-08 218
g++编译单文件 1、为了统一管理,我们在/home/carl下创建一个c++的文件夹 命令:mkdir -p /home/carl/c++ (加上-p防止上一级路径不存在) 2、新建一个main.cpp源代码文件,文件内容使用c++打印出自己的学号 提示:编辑文档可使用vim或者gedit 3、使用g++编译并链接main.cpp文件 只编译 g++ -o main.o -c main.cpp (-o:指定生成可执行文件的名称 -c:只编译不链接,只...
达梦数据库运行日志中 code 含义(linux 错误码)
El Shaddai.plus
02-01 977
达梦数据库运行日志中经常会出现core XX的信息、告警或者错误。这种以code 前缀开头带数字的信息,实际上是数据库捕获到的操作系统返回信息,例如以下消息代表pseg活动和已提交事务收集结束,code 0 执行成功。更多code值含义请查考Linux错误代码
ARM架构与编程——7.代码重定位
lixiaotouDku的博客
07-27 530
数据重定位和代码重定位的实现
BSS/DATA/CODE
wolenski的专栏
08-31 2130
转自http://blog.csdn.net/ljzcom/article/details/7254872 BSS:BSS(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存域。                  BSS是英文Block Started by Symbol的简称。BSS属于静态内存分配。   数据:数据(data segm
Linux常用指令大全【详解】
qq_46416934的博客
02-28 4265
本文将给大家详细介绍Linux常用的指令、演示以及一些基础知识的讲解 目录 ls指令 file指令 pwd命令 whoami指令 cd指令 相对路径和绝对路径 which指令 touch指令 mkdir指令 添加用户信任关系 rmdir指令 rm指令 man指令? cp指令 mv指令 ? cat指令 echo指令 重定向 more指令 less指令 head 指令 tail指令 管道操作 date指令 cal指令 find指令 grep指令 zip指令/unzip指令 tar指令 bc指令 uname?指
内核符号表中地址都为0??
Android学习专栏
07-15 3009
通过cat /proc/kallsyms得到的内核符号表中地址都为0: 00000000 T stext 00000000 T _sinittext 00000000 T _stext 00000000 T __init_begin 00000000 t __create_page_tables 00000000 t __enable_mmu_loc 00000000 t __f
linux启动流程导读(arm为例)<一>
gdt-A20的专栏
01-30 4203
============================================== 本文系本站原创,欢迎转载!转载请注明出处: http://blog.csdn.net/gdt_a20/article/details/7220389 ============================================== 以arm为例,分析一下kernel的启动过程;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值