AIOT人人都是极客

文章数:891 被阅读:908332

账号入驻

Linux内核如何私闯进程地址空间并修改进程内存

最新更新时间:2021-09-01 06:24
    阅读数:

进程地址空间的隔离 是现代操作系统的一个显著特征。这也是区别于 “古代”操作系统 的显著特征。

进程地址空间隔离意味着进程P1无法以随意的方式访问进程P2的内存,除非这块内存被声明是共享的。

这非常容易理解,我举个例子。
我们知道,在原始野人社会,是没有家庭的观念的,所有的资源都是部落内共享的,所有的野人都可以以任意的方式在任意时间和任何其他野人交互。类似Dos这样的操作系统就是这样的,内存地址空间并没有隔离。进程可以随意访问其它进程的内存。
后来有了家庭的观念,家庭的资源被隔离,人们便不能私闯民宅了,人们无法以随意的方式进入别人的家用别人的东西,除非这是主人允许的。操作系统进入现代模式后,进程也有了类似家庭的概念。
但家庭的概念是虚拟的,人们只是遵守约定而不去破坏别人的家庭。房子作为一个物理基础设施,保护着家庭。在操作系统中,家庭类似于虚拟地址空间,而房子就是页表。
邻居不能闯入你的房子,但特权管理机构只要理由充分,就可以进入普通人家的房子,touch这家人的东西。对于操作系统而言,这就是内核可以做的事,内核可以访问任意进程的地址空间。
当然了,内核并不会无故私闯民宅,就像警察不会随意闯入别人家里一样。
但是,你可以让内核故意这么做,做点无赖的事情。
我们来试一下,先看一个程序:
  1. // test.c

  2. // gcc test.c -o test

  3. #include

  4. #include

  5. #include

  6. #include

  7. #include


  8. int main()

  9. {

  10. char* addr = mmap(NULL, 1024, PROT_READ | PROT_WRITE, MAP_PRIVATE | MAP_ANONYMOUS, -1, 0);

  11. strcpy(addr, "Zhejiang wenzhou pixie shi");


  12. printf("addr: %lu pid:%d\n", addr, getpid());


  13. printf("before:%s \n", addr);


  14. getchar();


  15. printf("after:%s\n", addr);


  16. return0;

  17. }

这个程序的输出非常简单,before和after都会输出 “Zhejiang wenzhou pixie shi”,但是我们想把这句话给改了,怎么办呢?显然,test进程如果自己不改它,那就没辙...但是可以让内核强制改啊,让内核私闯民宅就是了。
接下来我写一个内核模块:
  1. // test.c

  2. // make -C /lib/modules/`uname -r`/build SUBDIRS=`pwd` modules

  3. #include

  4. #include

  5. #include


  6. staticint pid = 1;

  7. module_param(pid, int, 0644);


  8. staticunsignedlong addr = 0;

  9. module_param(addr, long, 0644);


  10. // 根据一个进程的虚拟地址找到它的页表,相当于找到这家人的房子地址,然后闯入!

  11. staticpte_t* get_pte(struct task_struct *task, unsignedlong address)

  12. {

  13. pgd_t* pgd;

  14. pud_t* pud;

  15. pmd_t* pmd;

  16. pte_t* pte;

  17. struct mm_struct *mm = task->mm;


  18. pgd = pgd_offset(mm, address);

  19. if(pgd_none(*pgd) || pgd_bad(*pgd))

  20. return NULL;


  21. pud = pud_offset(pgd, address);

  22. if(pud_none(*pud) || pud_bad(*pud))

  23. return NULL;


  24. pmd = pmd_offset(pud, address);

  25. if(pmd_none(*pmd) || pmd_bad(*pmd))

  26. return NULL;


  27. pte = pte_offset_kernel(pmd, address);

  28. if(pte_none(*pte))

  29. return NULL;


  30. return pte;

  31. }


  32. staticint test_init(void)

  33. {

  34. struct task_struct *task;

  35. pte_t* pte;

  36. struct page* page;


  37. // 找到这家人

  38. task = pid_task(find_pid_ns(pid, &init_pid_ns), PIDTYPE_PID);

  39. // 找到这家人住在哪里

  40. if(!(pte = get_pte(task, addr)))

  41. return-1;


  42. page = pte_page(*pte);

  43. // 强行闯入

  44. addr = page_address(page);

  45. // sdajgdoiewhgikwnsviwgvwgvw

  46. strcpy(addr, (char*)"rain flooding water will not get fat!");

  47. // 事了拂衣去,深藏功与名

  48. return0;

  49. }


  50. staticvoid test_exit(void)

  51. {

  52. }


  53. module_init(test_init);

  54. module_exit(test_exit);

  55. MODULE_LICENSE("GPL");

来来来,我们来试一下:
  1. [root@10 page_replace]# ./test

  2. addr: 140338535763968 pid:9912

  3. before:Zhejiang wenzhou pixie shi

此时,我们加载内核模块test.ko
  1. [root@10 test]# insmod test.ko pid=9912 addr=140338535763968

  2. [root@10 test]#

在test进程拍入回车:
  1. [root@10 page_replace]# ./test

  2. addr: 140338535763968 pid:9912

  3. before:Zhejiang wenzhou pixie shi


  4. after:rain flooding water will not get fat!

  5. [root@10 page_replace]#


仔细看上面那个内核模块的 get_pte 函数,这个函数要想写对,你必须对你想蹂躏的进程所在的机器的MMU有一定的了解,比如是32位系统还是64位系统,是3级页表还是4级页表或者5级?这...
Linux的可玩性在于你可以自己动手,又可以让人代劳。比如,获取一个进程的虚拟地址的页表项指示的物理页面,就可以直接得到。
有这样的API吗?有啊,别忘了一切皆文件,恰好在proc文件系统中,就有这么一个文件:
  • /proc/$pid/pagemap
读取这个文件,得到的就是进程虚拟地址的页表项,下图截自内核Doc:Documentation/vm/pagemap.txt

虚拟地址空间是每进程的,而物理地址空间则是所有进程共享的。换句话说,物理地址是全局的。
现在,根据Documentation/vm/pagemap.txt的解释,写一个程序,获取任意进程任意虚拟地址的全局物理地址:
  1. // getphys.c

  2. // gcc getphys -o getphys

  3. #include

  4. #include

  5. #include


  6. int main(int argc, char**argv)

  7. {

  8. int fd;

  9. int pid;

  10. unsignedlong pte;

  11. unsignedlong addr;

  12. unsignedlong phy_addr;

  13. char procbuf[64] = {0};


  14. pid = atoi(argv[1]);

  15. addr = atol(argv[2]);


  16. sprintf(procbuf, "/proc/%d/pagemap", pid);


  17. fd = open(procbuf, O_RDONLY);

  18. size_t offset = (addr/4096) * sizeof(unsignedlong);

  19. lseek(fd, offset, SEEK_SET);


  20. read(fd, &pte, sizeof(unsignedlong));


  21. phy_addr = (pte & ((((unsignedlong)1) << 55) - 1))*4096+ addr%4096;

  22. printf("phy addr:%lu\n", phy_addr);


  23. return0;

  24. }

随后,我们修改内核模块:
  1. #include


  2. staticunsignedlong addr = 0;

  3. module_param(addr, long, 0644);


  4. staticint test_init(void)

  5. {

  6. strcpy(phys_to_virt(addr), (char*)"rain flooding water will not get fat!");

  7. return0;

  8. }


  9. staticvoid test_exit(void)

  10. {

  11. }


  12. module_init(test_init);

  13. module_exit(test_exit);


  14. MODULE_LICENSE("GPL");

先运行test,然后根据test的输出作为getphys的输入,再根据getphys的输出作为内核模块test.ko的输入,就成了。还记得吗?这不就是管道连接多个程序的风格吗?
输入一个物理地址,然后把它改了,仅此而已。通过虚拟地址获取页表的操作已经由用户态的pagemap文件的读取并解析代劳了。

推荐帖子

SDIO设备驱动的疑问:
各位高手好呀,帮我分析一下我的SDIO接口的WIFI驱动加载失败了是什么回事呀?谢谢了哦,打印信息如下我使用的是MARVELL8686的WIFI驱动: LoadOk!Jumpto0x20500000=0xEA00WindowsCEKernelforARM(ThumbEnabled)BuiltonAug42008at18:38:38 ProcessorType=0926Revision=5 sp_abt=ffff5000sp_irq=ffff2800sp_u
jhon 嵌入式系统
MLCC噪声啸叫及对策
本帖最后由Jacktang于2020-7-2121:10编辑 MLCC——多层片式陶瓷电容器,简称贴片电容,会引起噪声啸叫问题…… 声音源于物体振动,振动频率为20Hz~20kHz的声波能被人耳识别。 MLCC发出啸叫声音,即是说,MLCC在电压作用下发生幅度较大的振动(微观的较大,小于1nm)。 MLCC为什么会振动?我们要先了解一种自然现象——电致伸缩。在外电场作用下,所有的物质都会
Jacktang 模拟与混合信号
千兆以太网课件.zip
千兆以太网课件.zip 千兆以太网课件.zip
zxopenljx EE_FPGA学习乐园
电子硬件来说要接触很多电路架构、这些可以说是构成一个部件的单元,所有的电路都...
电子硬件来说要接触很多电路架构、这些可以说是构成一个部件的单元,所有的电路都是基于这些单元 比如模拟乘法器,混频器,鉴频器,锁相环,锁存器,触发器,缓冲器,限幅器,频率合成器,检波器,滤波器,鉴相器,选频器,振荡器,放大器,比较器(欢迎补充) 除了对比较器、放大器、滤波器、检波器、振荡器有接触或者了解,对于他的那些电路构成如何理解它们,比如它们的作用,应用的场合,以及必须用到的地方 电子硬件来说要接触很多电路架构、这些可以说是构成一个部件的单元,所有的电路都...
QWE4562009 模拟电子
导航角是怎么定义的
请问哪位大虾讲一下飞控里面导航角是怎么定义的,尽量详细点,多谢!详细来说就是要确定一个物体在空间的姿态,设它的局部坐标系为abc,全局坐标系为xyz,坐标原点O点重合。现在已经有了两个约束条件,一是a与xoy面的夹角,二是b与xoy面的夹角,但是在这两个条件下,这个物体还可以绕z轴转动,现在想限制它剩下的这个自由度。也就需要再给定一个角,现在想给定导航角,但是对导航角的概念不太清楚,希望哪位大虾帮忙解释一下,最好就用上面这种xyz和abc的描述,多谢!导航角是怎么定义的
rabbit_007 嵌入式系统
Beetle ESP32-C3测试(四) IDF方式提供AP连接
使用IDF方式可以连接wifi,也可以作为AP提供wifi服务,虽然ESP32-C3的服务能力有限,但是可以使用这种方式让客户端连接到设备上,然后进行初始化配置。样例examples\wifi\getting_started\softAP就是这样的例子,编译后将程序烧写到开发板。重新上电,可以看到在wifi列表中出现了,myssid这样的服务实例,这服务的密码是mypassword,通过wifi连接到板子发现可以取得IP,使用ping命令接通开发板。该样例的代码很是简洁,下面来分析一下代码
bigbat RF/无线

最新有关AIOT人人都是极客的文章

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: TI培训

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2021 EEWORLD.com.cn, Inc. All rights reserved