Linux內核態缺頁會發生什麼 - 玩轉Exception fixup表

原創 linux内存和进程 2020-05-26 08:03

近日,我在寫內核模塊的時候犯了一個低級錯誤:

  • 直接access用戶態的內存而沒有使用copy_to_user/copy_from_user!

在內核看來,用戶態提供的虛擬地址是不可信的,所以在一旦在內核態訪問用戶態內存發生缺頁中斷,處理起來是非常棘手的。

Linux內核的做法是提供了一張 異常處理表 ,使用專有的函數來訪問用戶態內存。類似 try-catch塊一般。具體詳情可參見copy_to_user/copy_from_user的實現以及內核文檔Documentation/x86/exception-tables.txt的描述。

本來簡單看下這個異常處理表能怎麼玩。

首先,我們可以寫一片代碼,將內核的異常處理表dump下來:

// show_extable.c
#include <linux/module.h>
#include <linux/kallsyms.h>


int (*_lookup_symbol_name)(unsigned long, char *);
unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);
unsigned long start_ex, end_ex;


int init_module(void)
{
  unsigned long i;
  unsigned long orig, fixup, originsn, fixinsn, offset, size;
  char name[128], fixname[128];


  _lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name");
  _get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos");
  start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table");
  end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table");


  // 按照exception_table_entry的sizeof從start遍歷到end。
  for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) {
    orig = i; // 取出exception_table_entry的insn字段地址。
    fixup = i + sizeof(unsigned int); // 取出fixup字段地址。


    originsn = orig + *(unsigned int *)orig; // 根據相對偏移字段求出絕對地址
    originsn |= 0xffffffff00000000;
    fixinsn = fixup + *(unsigned int *)fixup;
    fixinsn |= 0xffffffff00000000;
    _get_symbol_pos(originsn, &size, &offset);
    _lookup_symbol_name(originsn, name);
    _lookup_symbol_name(fixinsn, fixname);
    printk("[%lx]%s+0x%lx/0x%lx [%lx]%s\n",
        originsn,
        name,
        offset,
        size,
        fixinsn,
        fixname);
  }


  return -1;
}
MODULE_LICENSE("GPL");

我們看下輸出:

# ___sys_recvmsg+0x253位置發生異常,跳轉到ffffffff81649396處理異常。
[ 7655.267616] [ffffffff8150d7a3]___sys_recvmsg+0x253/0x2b0 [ffffffff81649396]bad_to_user
...
# create_elf_tables+0x3cf位置處如果發生異常,跳轉到ffffffff81648a07地址執行異常處理。
[ 7655.267727] [ffffffff8163250e]create_elf_tables+0x3cf/0x509 [ffffffff81648a1b]bad_gs

一般而言,類似bad_to_user,bad_from_user之類的異常處理函數都是直接返回用戶一個錯誤碼,比如Bad address之類,並不是直接用戶程序直接段錯誤,這一點和用戶態訪問非法地址直接發送SIGSEGV有所不同。比如:

#include <fcntl.h>
int main(int argc, char **argv)
{
  int fd;
  int ret;
  char *buf = (char *)0x56; // 顯然是一個非法地址。


  fd = open("/proc/sys/net/nf_conntrack_max", O_RDWR | O_CREAT, S_IRWXU);
  perror("open");
  ret = read(fd, buf, 100);
  perror("read");
}

執行之:

[root@localhost test]# ./a.out
open: Success
read: Bad address # 沒有段錯誤,只是一個普通錯誤。

我們能不能將其行爲修改成和用戶態訪問非法地址一致呢?簡單,替換掉bad_to_user即可,代碼如下:

// fix_ex.c
#include <linux/module.h>
#include <linux/sched.h>
#include <linux/kallsyms.h>


int (*_lookup_symbol_name)(unsigned long, char *);
unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);
unsigned long start_ex, end_ex;
void *_bad_from_user, *_bad_to_user;


void kill_user_from(void)
{
  printk("經理!rush tighten beat electric discourse!\n");
  force_sig(SIGSEGV, current);
}


void kill_user_to(void)
{
  printk("經理!rush tighten beat electric discourse! SB 皮鞋\n");
  force_sig(SIGSEGV, current);
}


unsigned int old, new;


int (*_lookup_symbol_name)(unsigned long, char *);
unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);


int hook_fixup(void *origfunc1, void *origfunc2, void *newfunc1, void *newfunc2)
{
  unsigned long i;
  unsigned long fixup, fixinsn;
  char fixname[128];




  for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) {
    fixup = i + sizeof(unsigned int);
    fixinsn = fixup + *(unsigned int *)fixup;
    fixinsn |= 0xffffffff00000000;
    _lookup_symbol_name(fixinsn, fixname);
    if (!strcmp(fixname, origfunc1) ||
      !strcmp(fixname, origfunc2)) {
      unsigned long new;
      unsigned int newfix;


      if (!strcmp(fixname, origfunc1)) {
        new = (unsigned long)newfunc1;
      } else {
        new = (unsigned long)newfunc2;
      }
      new -= fixup;
      newfix = (unsigned int)new;
      *(unsigned int *)fixup = newfix;
    }
  }


  return 0;
}


int init_module(void)
{
  _lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name");
  _get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos");
  _bad_from_user = (void *)kallsyms_lookup_name("bad_from_user");
  _bad_to_user = (void *)kallsyms_lookup_name("bad_to_user");
  start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table");
  end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table");


  hook_fixup("bad_from_user", "bad_to_user", kill_user_from, kill_user_to);
  return 0;
}
void cleanup_module(void)
{
  hook_fixup("kill_user_from", "kill_user_to", _bad_from_user, _bad_to_user);
}


MODULE_LICENSE("GPL");

編譯,加載,重新執行我們的a.out:

[root@localhost test]# insmod ./fix_ex.ko
[root@localhost test]# ./a.out
open: Success
段錯誤
[root@localhost test]# dmesg
[ 8686.091738] 經理!rush tighten beat electric discourse! SB 皮鞋
[root@localhost test]#

發生了段錯誤,並且打印出了讓經理趕緊打電話的句子。

其實,我的目的並不是這樣的,我真正的意思是,Linux的異常處理鏈表,又是一個藏污納垢的好地方,我們可以在上面的hook函數中藏一些代碼,比如說inline hook之類的,然後呢?然後靜悄悄地等待用戶態進程的bug導致異常處理被執行。將代碼注入的時間線拉長,從而更難讓運維和經理注意到。

讓代碼注入的時間點和模塊插入的時間點分開,讓事情更加混亂。不過,注意好隱藏模塊或者oneshot哦。

浙江溫州皮鞋溼,下雨進水不會胖。

————————————————

版權聲明:本文爲CSDN博主「dog250」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。

原文鏈接:

https://blog.csdn.net/dog250/article/details/106105523

(END)

Linux閱碼場原創精華文章彙總

更多精彩,盡在"Linux閱碼場",掃描下方二維碼關注

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

C#開源的兩款功能強大的錄屏神器

ScreenToGif ScreenToGif是一款由C#語言開發且開源的操作簡單、免費的屏幕錄製和GIF動畫製作神器。它可以幫助用戶捕捉計算機屏幕上的實時動畫,並將其保存爲高質量的 GIF 圖像格式。該工具不僅適用於技術支持、軟件演示和教

追逐時光 2024-05-03 14:28:27

前端 Vue yarn.lock文件:詳解和使用指南

yarn.lock文件:詳解和使用指南 https://www.python100.com/html/38KF796X6BHM.html 一、什麼是yarn.lock文件 yarn.lock文件是一個產生於Yarn 0.22及以後版

emanlee 2024-05-03 14:15:26

前端 Vue webpack配置之 webpack.config.js 文件配置

  Webpack 在執行的時候,除了在命令行傳入參數,還可以通過指定的配置文件來執行。默認情況下,會搜索當前目錄的 webpack.config.js 文件,這個文件是一個 node.js 模塊,返回一個 json 格式的配置信息對象,或

emanlee 2024-05-03 14:15:26

Vue package-lock.json的作用

package-lock.json的作用   "node_modules/@aashutoshrathi/word-wrap": { "version": "1.2.6", "resolved": "h

emanlee 2024-05-03 14:15:26

前端 Vue-cli中 vue.config.js 的配置詳解

Vue-cli 3 / Vue-cli 4   目錄結構 ├── README.md # 說明 |-- dist # 打包後文件夾 ├── babel.config.js

emanlee 2024-05-03 14:15:26

druid數據源 xml配置

https://blog.csdn.net/h273979586/article/details/87932220 pom依賴 <dependency> <groupId>com.alibaba</groupId>

tono 2024-05-03 14:14:55

Windows中Redis怎麼設置密碼

Windows中Redis怎麼設置密碼

久曲健 2024-05-03 14:11:15

JDK8和JDK17共存以及切換的方法

1、先安裝"jdk-8u381-windows-x64.exe",再安裝"jdk-17_windows-x64_bin.exe" 2、"系統屬性"-"高級"-"環境變量"-"系統變量"-"Path"-"編輯",刪除以下2條 C:\Progr

久曲健 2024-05-03 14:11:15

centos7修改redis密碼

檢查Redis配置文件 首先,我們需要確保Redis的配置文件中包含了設置密碼的選項。打開Redis的配置文件/etc/redis.conf,查找以下行並確保取消註釋(去掉行首的#): requirepass your_password 啓

久曲健 2024-05-03 14:11:15

基於SSM的在線外賣訂餐系統畢業設計論文【範文】

摘要 隨着互聯網技術的迅猛發展和人們生活節奏的加快,在線外賣訂餐系統因其便捷性和高效率而受到廣泛歡迎。本文圍繞《基於SSM框架的在線外賣訂餐系統》這一課題展開研究,旨在設計並實現一個功能全面、操作簡便且安全可靠的在線外賣訂餐平臺。 首先,文

Lucky帥小武 2024-05-03 14:08:24

基於CodeMirror開發在線編輯器時遇到的問題及解決方案

需求:實現json在線編輯並支持校驗,基於此使用了 CodeMirror在線編輯,jsonlint校驗輸入數據 // package.json: "dependencies": { "codemirror": "^5.53.2"

致愛麗絲 2024-05-03 14:04:44

《軟件性能測試、分析與調優實踐之路》(第2版) PPT課件流出

掃描圖書前言中的如下圖所示的二維碼,即可進入到下載頁面。  如下圖所示即爲課件的下載頁面,免費提供下載      

張永清 2024-05-03 14:01:24

2024年感想

  看了一眼之前到博客,最近的一次博客還在一年之前,時間如白駒過隙,飛快流逝。這兩年生活和工作都經歷裏很多,想想是應該在這裏好好梳理總結下。我總是感慨,自己從二十六七歲到現在三十多的年紀,好像經歷別人的半輩子,感悟衆多。   我以前是個朋友

兜兜有糖的博客 2024-05-03 13:57:53

AWS S3 Lambda Python腳本函數實現圖片自動轉換爲webp並上傳至s3

Amazon S3 自動轉換圖片格式  Amazon S3 存儲桶 新增文件自動觸發 AWS Lambda。Lambda 取 S3 文件做轉換並存回去 S3 同一個目錄下,並增加相應的後綴名。 並且支持通過API Gateway的方式觸發對

翎野 2024-05-03 13:51:42

Eclipse Memory Analyzer (MAT)的安裝後提示JDK版本不對要升級到jdk_17

背景 在啓動MAT分析內存時報錯:Version1.8.0 of the jvm is not suitable for this product,Version17 or greater isrequired。 問題原因很明顯,我電腦的J

翎野 2024-05-03 13:51:42