近日,我在写内核模块的时候犯了一个低级错误:

* 直接access用户态的内存而没有使用copy_to_user/copy_from_user!
在内核看来,用户态提供的虚拟地址是不可信的,所以在一旦在内核态访问用户态内存发生缺页中断,处理起来是非常棘手的。

Linux内核的做法是提供了一张 异常处理表 ,使用专有的函数来访问用户态内存。类似
try-catch块一般。具体详情可参见copy_to_user/copy_from_user的实现以及内核文档Documentation/x86/exception-tables.txt的描述。

本来简单看下这个异常处理表能怎么玩。

首先,我们可以写一片代码,将内核的异常处理表dump下来:
// show_extable.c #include <linux/module.h> #include <linux/kallsyms.h> int (*
_lookup_symbol_name)(unsigned long, char *); unsigned long (*_get_symbol_pos)(
unsigned long, void *, void *); unsigned long start_ex, end_ex; int init_module(
void) { unsigned long i; unsigned long orig, fixup, originsn, fixinsn, offset,
size; char name[128], fixname[128]; _lookup_symbol_name = (void *)
kallsyms_lookup_name("lookup_symbol_name"); _get_symbol_pos = (void *)
kallsyms_lookup_name("get_symbol_pos"); start_ex = (unsigned long)
kallsyms_lookup_name("__start___ex_table"); end_ex = (unsigned long)
kallsyms_lookup_name("__stop___ex_table"); //
按照exception_table_entry的sizeof从start遍历到end。 for(i = start_ex; i < end_ex; i += 2
*sizeof(unsigned long)) { orig = i; // 取出exception_table_entry的insn字段地址。 fixup =
i+ sizeof(unsigned int); // 取出fixup字段地址。 originsn = orig + *(unsigned int *)
orig; // 根据相对偏移字段求出绝对地址 originsn |= 0xffffffff00000000; fixinsn = fixup + *(
unsigned int *)fixup; fixinsn |= 0xffffffff00000000; _get_symbol_pos(originsn, &
size, &offset); _lookup_symbol_name(originsn, name); _lookup_symbol_name(fixinsn
, fixname); printk("[%lx]%s+0x%lx/0x%lx [%lx]%s\n", originsn, name, offset, size
, fixinsn, fixname); } return -1; } MODULE_LICENSE("GPL");
我们看下输出:
# ___sys_recvmsg+0x253位置发生异常,跳转到ffffffff81649396处理异常。 [ 7655.267616] [
ffffffff8150d7a3]___sys_recvmsg+0x253/0x2b0 [ffffffff81649396]bad_to_user ... #
create_elf_tables+0x3cf位置处如果发生异常,跳转到ffffffff81648a07地址执行异常处理。 [ 7655.267727] [
ffffffff8163250e]create_elf_tables+0x3cf/0x509 [ffffffff81648a1b]bad_gs
一般而言,类似bad_to_user,bad_from_user之类的异常处理函数都是直接返回用户一个错误码,比如Bad
address之类,并不是直接用户程序直接段错误,这一点和用户态访问非法地址直接发送SIGSEGV有所不同。比如:
#include <fcntl.h> int main(int argc, char **argv) { int fd; int ret; char *buf
= (char *)0x56; // 显然是一个非法地址。 fd = open("/proc/sys/net/nf_conntrack_max", O_RDWR
| O_CREAT, S_IRWXU); perror("open"); ret = read(fd, buf, 100); perror("read"); }
执行之:
[root@localhost test]# ./a.out open: Success read: Bad address #
没有段错误,只是一个普通错误。
我们能不能将其行为修改成和用户态访问非法地址一致呢?简单,替换掉bad_to_user即可,代码如下:
// fix_ex.c #include <linux/module.h> #include <linux/sched.h> #include
<linux/kallsyms.h> int (*_lookup_symbol_name)(unsigned long, char *); unsigned
long (*_get_symbol_pos)(unsigned long, void *, void *); unsigned long start_ex,
end_ex; void *_bad_from_user, *_bad_to_user; void kill_user_from(void) { printk(
"经理!rush tighten beat electric discourse!\n"); force_sig(SIGSEGV, current); }
void kill_user_to(void) { printk("经理!rush tighten beat electric discourse! SB
皮鞋\n"); force_sig(SIGSEGV, current); } unsigned int old, new; int (*
_lookup_symbol_name)(unsigned long, char *); unsigned long (*_get_symbol_pos)(
unsigned long, void *, void *); int hook_fixup(void *origfunc1, void *origfunc2,
void *newfunc1, void *newfunc2) { unsigned long i; unsigned long fixup, fixinsn;
char fixname[128]; for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) {
fixup= i + sizeof(unsigned int); fixinsn = fixup + *(unsigned int *)fixup;
fixinsn|= 0xffffffff00000000; _lookup_symbol_name(fixinsn, fixname); if (!strcmp
(fixname, origfunc1) || !strcmp(fixname, origfunc2)) { unsigned long new;
unsigned int newfix; if (!strcmp(fixname, origfunc1)) { new = (unsigned long)
newfunc1; } else { new = (unsigned long)newfunc2; } new -= fixup; newfix = (
unsigned int)new; *(unsigned int *)fixup = newfix; } } return 0; } int
init_module(void) { _lookup_symbol_name = (void *)kallsyms_lookup_name(
"lookup_symbol_name"); _get_symbol_pos = (void *)kallsyms_lookup_name(
"get_symbol_pos"); _bad_from_user = (void *)kallsyms_lookup_name("bad_from_user"
); _bad_to_user = (void *)kallsyms_lookup_name("bad_to_user"); start_ex = (
unsigned long)kallsyms_lookup_name("__start___ex_table"); end_ex = (unsigned
long)kallsyms_lookup_name("__stop___ex_table"); hook_fixup("bad_from_user",
"bad_to_user", kill_user_from, kill_user_to); return 0; } void cleanup_module(
void) { hook_fixup("kill_user_from", "kill_user_to", _bad_from_user,
_bad_to_user); } MODULE_LICENSE("GPL");
编译,加载,重新执行我们的a.out:
[root@localhost test]# insmod ./fix_ex.ko [root@localhost test]# ./a.out open:
Success 段错误[root@localhost test]# dmesg [ 8686.091738] 经理!rush tighten beat
electric discourse! SB 皮鞋 [root@localhost test]#
发生了段错误,并且打印出了让经理赶紧打电话的句子。

其实,我的目的并不是这样的,我真正的意思是,Linux的异常处理链表,又是一个藏污纳垢的好地方,我们可以在上面的hook函数中藏一些代码,比如说inline
hook之类的,然后呢?然后静悄悄地等待用户态进程的bug导致异常处理被执行。将代码注入的时间线拉长,从而更难让运维和经理注意到。

让代码注入的时间点和模块插入的时间点分开,让事情更加混乱。

不过,注意好隐藏模块或者oneshot哦。

浙江温州皮鞋湿,下雨进水不会胖。

技术
©2019-2020 Toolsou All rights reserved,
中国月球车“月兔二号”在月球发现一块奇怪岩石Vue常用特性(一)关于过年R语言聚类分析案例这些歌,程序员千万万万万别听!崮德好文连载 - 活该你是工程师(自序)20考研吉大计算机学院软件学院人工智能学院考研高分学长复习攻略!!!中国最长高铁正式开通!跑完全程最快30.5小时中台透彻讲解过拟合和欠拟合的形象解释