在內(nèi)核窺視用戶態(tài)

zyr-linux

在內(nèi)核窺視用戶態(tài)

首先，環(huán)境：VMware Server上運(yùn)行的ubuntu10.4，arch為x86_64。


先看下面這個(gè)程序：

1. #include <stdio.h>
   
2. #include <stdlib.h>
   
3. #include <string.h>
   
4. 
   
5. 
   
6. int dataA;
   
7. char bufA[1000];
   
8. 
   
9. int main()
   
10. {
    
11.         int dataB;
    
12. 
    
13.         int i_GetChar;
    
14. 
    
15.         char * bufB = NULL;
    
16. 
    
17.         bufB = malloc(1500);
    
18. 
    
19.         if (NULL == bufB)
    
20.         {
    
21.                 printf("malloc failed\n");
    
22. 
    
23.                 return 0;
    
24.         }
    
25. 
    
26.         dataA = 0X55aa;
    
27. 
    
28.         dataB = 0Xaa55;
    
29. 
    
30.         memcpy(bufA, "bufA org data", strlen("bufA org data"));
    
31. 
    
32.         memcpy(bufB, "bufB org data", strlen("bufB org data"));
    
33. 
    
34.         printf("bufA = %p, bufB = %p, &dataA = %p, &dataB = %p\n", bufA, bufB, &dataA, &dataB);
    
35.        
    
36. 
    
37.         for ( ; ; )
    
38.         {
    
39.                 printf("get char(p:print; e:exit):");
    
40.                
    
41.                 i_GetChar = getchar();
    
42. 
    
43.                 if ('p' == i_GetChar)
    
44.                 {
    
45.                         printf("bufA: %s\n", bufA);
    
46.                         printf("bufA: %s\n", bufB);
    
47.                         printf("dataA: 0x%x\n", dataA);
    
48.                         printf("dataA: 0x%x\n", dataB);
    
49.                 }
    
50.                 else if ('e' == i_GetChar)
    
51.                 {
    
52.                         break;
    
53.                 }
    
54.         }
    
55. 
    
56.         free(bufB);
    
57.        
    
58.         return 0;
    
59. }

復(fù)制代碼

這個(gè)程序中有：
一個(gè)int型的全局變量dataA；
一個(gè)int型的局部變量dataB；
一個(gè)char型的全局?jǐn)?shù)組bufA；
一段malloc的空間bufB。

程序先輸出以上變量的地址，然后按"p"輸出一次內(nèi)容，按"e"退出程序。



接下來，簡單的分析一下：
bufA = 0x601080, bufB = 0x6a0010, &dataA = 0x601468, &dataB = 0x7fff337284ac
僅從地址上看，他們就在不同的內(nèi)存區(qū)域。
bufA和dataA是全局變量，在數(shù)據(jù)區(qū)；
bufB是malloc來的，在堆中；
dataB是局部變量，在進(jìn)程的運(yùn)行棧中。

抄一段linux自帶的關(guān)于x86_64下地址空間的說明：

0000000000000000 - 00007fffffffffff (=47 bits) user space, different per mm
hole caused by [48:63] sign extension
ffff800000000000 - ffff80ffffffffff (=40 bits) guard hole
ffff880000000000 - ffffc7ffffffffff (=64 TB) direct mapping of all phys. memory
ffffc80000000000 - ffffc8ffffffffff (=40 bits) hole
ffffc90000000000 - ffffe8ffffffffff (=45 bits) vmalloc/ioremap space
ffffe90000000000 - ffffe9ffffffffff (=40 bits) hole
ffffea0000000000 - ffffeaffffffffff (=40 bits) virtual memory map (1TB)
... unused hole ...
ffffffff80000000 - ffffffffa0000000 (=512 MB)  kernel text mapping, from phys 0
ffffffffa0000000 - fffffffffff00000 (=1536 MB) module mapping space

可見，這些變量的地址都在user space中。

對各個(gè)用戶態(tài)進(jìn)程來說，地址空間都是0000000000000000 - 00007fffffffffff，而不會(huì)沖突；
因?yàn)檫@只是虛擬地址，每個(gè)用戶態(tài)進(jìn)程都擁有自身的頁表，相同的虛擬地址地址經(jīng)過不同的頁表轉(zhuǎn)換為不同的物理地址；
而內(nèi)核的頁表并不映射user space，這些后面會(huì)用到。

zyr-linux

內(nèi)核中，每個(gè)進(jìn)程有個(gè)結(jié)構(gòu)體存放相關(guān)信息：struct task_struct；
struct task_struct內(nèi)容很多，現(xiàn)在只找和內(nèi)存資源相關(guān)的struct mm_struct *mm；

struct mm_struct中內(nèi)容很多也很多，目前關(guān)心的是下面幾個(gè)：
1，保存了進(jìn)程使用的各個(gè)地址區(qū)域（vma）的struct vm_area_struct * mmap;；
2，保存了進(jìn)程頁表的位置的pgd_t * pgd；
3，保存進(jìn)程堆/棧/數(shù)據(jù)區(qū)/代碼區(qū)地址的一大堆東東
        unsigned long total_vm, locked_vm, shared_vm, exec_vm;
        unsigned long stack_vm, reserved_vm, def_flags, nr_ptes;
        unsigned long start_code, end_code, start_data, end_data;
        unsigned long start_brk, brk, start_stack;
        unsigned long arg_start, arg_end, env_start, env_end;

把他們?nèi)�部打出來看看好了�?br />


bufA和dataA在數(shù)據(jù)區(qū)；bufB是malloc來的，在堆之中；dataB是局部變量，在棧之中。
和理論分析一致！
更重要的是，用戶態(tài)下輸出的地址和內(nèi)核態(tài)下得到的地址范圍對的上，那么，這些地址就是虛擬地址。

把頁表的第四級打出來，看看。
說明一下，下面兩張圖是補(bǔ)截的，地址和其他圖不能完全對上。




再和內(nèi)核的頁表第四級對比，可以看出什么？

zyr-linux

現(xiàn)在，我們知道了這些變量的虛擬地址，是不是就能直接在內(nèi)核態(tài)下操作了呢？
實(shí)踐的結(jié)果是————OOPS……
因?yàn)椋�用戶態(tài)進(jìn)程的虛擬地址，其轉(zhuǎn)換是通過該進(jìn)程的頁表進(jìn)行，內(nèi)核的頁表沒有這些地址的信息。

不過已經(jīng)知道了頁表的位置，自己轉(zhuǎn)一遍：




得到了物理地址，再加上PAGE_OFFSET獲得內(nèi)核態(tài)下能夠操作的虛擬地址，把內(nèi)容打出來驗(yàn)證：



最后，嘗試修改：



每改一次，在用戶態(tài)程序上驗(yàn)證一次，結(jié)果符合預(yù)期：



以上只是一個(gè)簡單的嘗試，因?yàn)樵谝婚_始就獲得了用戶態(tài)進(jìn)程中各個(gè)變量的地址；
獲得了一個(gè)用戶態(tài)進(jìn)程的堆、棧、數(shù)據(jù)段、代碼段的地址，并能轉(zhuǎn)換為可在內(nèi)核態(tài)下操作的地址；
那么，理論上，可以對該用戶態(tài)進(jìn)程做任何事。
但要想實(shí)用，還需要進(jìn)一步的研究，比如通過反編譯，objdump之類的手段獲得用戶態(tài)程序中的地址。

chong232

呵呵，大贊！

jinxinxin163

好東東哦

superlzdcn

樓主關(guān)鍵地方代碼也貼出來給我們學(xué)習(xí)學(xué)習(xí)阿

毛xx總理

是的不錯(cuò)的。

rick_cheung

回復(fù) 1# zyr-linux


    能否把程序代碼發(fā)到我的郵箱？rickcheung@foxmail.com
    多謝啦！

ww2000e

:wink: 看得不太懂

zyr-linux

查找頁表，轉(zhuǎn)換地址的代碼，linux源代碼中有現(xiàn)成的，不過我習(xí)慣了自己寫。

1. //進(jìn)行轉(zhuǎn)換是傳遞信息的結(jié)構(gòu)體
   
2. struct PGT_TansInfo
   
3. {
   
4.         //地址信息
   
5.         unsigned long ul_Vaddr;    //虛擬地址
   
6.         unsigned long ul_Paddr;    //物理地址
   
7. 
   
8.         //頁表信息       
   
9.         pgd_t * pst_Level4Table;         //頁表位置
   
10.         unsigned long ul_PageSize;       //頁大小
    
11.         struct PGT_Level_Info astLevel[PGT_LEVEL_BULL];
    
12. 
    
13. };
    
14. 
    
15. /******************************************************************************
    
16. 
    
17. 函數(shù): int PgtOp_VaddrTrans(struct PGT_TansInfo * vpst_TansInfo)
    
18. 
    
19. 功能: 地址轉(zhuǎn)換函數(shù)
    
20. 
    
21. 輸入: 1) struct PGT_TansInfo * vpst_TansInfo: 轉(zhuǎn)換信息結(jié)構(gòu)體指針
    
22.              
    
23. 輸出: 成功返回0，失敗返回非0
    
24. 
    
25. 備注: 轉(zhuǎn)換虛擬地址為物理地址，并紀(jì)錄轉(zhuǎn)換中信息
    
26.              可用于檢查虛擬地址是否正確
    
27. 
    
28. ******************************************************************************/
    
29. int MemTool_VaddrTrans(struct PGT_TansInfo * vpst_TansInfo)
    
30. {
    
31.         unsigned long ul_Index;
    
32.        
    
33.         unsigned long * aul_Talbe = NULL;
    
34. 
    
35.         //參數(shù)檢查并賦值
    
36.         if ((NULL == vpst_TansInfo) || (NULL == vpst_TansInfo->pst_Level4Table))
    
37.         {
    
38.                 printk("vpst_TansInfo or pst_Level4Table is NULL!\n");
    
39.                 return -1;
    
40.         }
    
41. 
    
42.         //X86_64中，虛擬地址前17bit一致
    
43.         if ((0 != (vpst_TansInfo->ul_Vaddr & MEMTOOL_ADDR_HEAD_MASK))
    
44.                  && (MEMTOOL_ADDR_HEAD_MASK != (vpst_TansInfo->ul_Vaddr & MEMTOOL_ADDR_HEAD_MASK)))
    
45.         {
    
46.                 printk("vaddr 0x%lx is error!\n", vpst_TansInfo->ul_Vaddr);
    
47.                 return -1;
    
48.         }
    
49. 
    
50.         aul_Talbe = (unsigned long *)vpst_TansInfo->pst_Level4Table;
    
51. 
    
52. 
    
53.         //查找第四級頁表
    
54. 
    
55.         ul_Index = pgd_index(vpst_TansInfo->ul_Vaddr);
    
56. 
    
57.         if (0 == vpst_TansInfo->pst_Level4Table[ul_Index].pgd)
    
58.         {
    
59.                 return -1;
    
60.         }
    
61.         else
    
62.         {
    
63.                 vpst_TansInfo->astLevel[PGT_LEVEL_LV4].ul_TableAddr = (unsigned long)aul_Talbe;       
    
64.                 vpst_TansInfo->astLevel[PGT_LEVEL_LV4].ul_Index = ul_Index;
    
65.                 vpst_TansInfo->astLevel[PGT_LEVEL_LV4].ul_Value = aul_Talbe[ul_Index];
    
66.         }
    
67. 
    
68.        
    
69.         //查找第三級頁表
    
70.         aul_Talbe = (unsigned long *)(PAGE_OFFSET + ((aul_Talbe[ul_Index] & PAGE_MASK) & MEMTOOL_ADDR_NX_MASK));
    
71. 
    
72.         ul_Index = pud_index(vpst_TansInfo->ul_Vaddr);
    
73. 
    
74.         if (0 == aul_Talbe[ul_Index])
    
75.         {
    
76.                 return -1;
    
77.         }
    
78.         else
    
79.         {
    
80.                 vpst_TansInfo->astLevel[PGT_LEVEL_PGD].ul_TableAddr = (unsigned long)aul_Talbe;       
    
81.                 vpst_TansInfo->astLevel[PGT_LEVEL_PGD].ul_Index = ul_Index;
    
82.                 vpst_TansInfo->astLevel[PGT_LEVEL_PGD].ul_Value = aul_Talbe[ul_Index];
    
83. 
    
84. 
    
85.                 //判斷是不是1GB頁
    
86.                 if (0 != (_PAGE_PAT & aul_Talbe[ul_Index]))
    
87.                 {
    
88.                         vpst_TansInfo->ul_PageSize = PGT_PAGESIZE_1G;
    
89. 
    
90.                         //取物理地址
    
91.                         vpst_TansInfo->ul_Paddr = ((aul_Talbe[ul_Index] & PUD_MASK) & MEMTOOL_ADDR_NX_MASK)
    
92.                                                   + (vpst_TansInfo->ul_Vaddr & (PUD_SIZE - 1));
    
93. 
    
94.                         return 0;
    
95.                 }
    
96.         }
    
97. 
    
98.         //查找第二級頁表
    
99.         aul_Talbe = (unsigned long *)(PAGE_OFFSET + ((aul_Talbe[ul_Index] & PAGE_MASK) & MEMTOOL_ADDR_NX_MASK));
    
100. 
     
101.         ul_Index = pmd_index(vpst_TansInfo->ul_Vaddr);
     
102. 
     
103.         if (0 == aul_Talbe[ul_Index])
     
104.         {
     
105.                 return -1;
     
106.         }
     
107.         else
     
108.         {
     
109.                 vpst_TansInfo->astLevel[PGT_LEVEL_PMD].ul_TableAddr = (unsigned long)aul_Talbe;       
     
110.                 vpst_TansInfo->astLevel[PGT_LEVEL_PMD].ul_Index = ul_Index;
     
111.                 vpst_TansInfo->astLevel[PGT_LEVEL_PMD].ul_Value = aul_Talbe[ul_Index];
     
112.         }
     
113. 
     
114.         //判斷4K頁還是2MB頁
     
115.         if (0 == (_PAGE_PAT & aul_Talbe[ul_Index]))
     
116.         {
     
117.                 //4K頁，查找第一級頁表
     
118.                
     
119.                 aul_Talbe = (unsigned long *)(PAGE_OFFSET + ((aul_Talbe[ul_Index] & PAGE_MASK) & MEMTOOL_ADDR_NX_MASK));
     
120.                
     
121.                 ul_Index = pte_index(vpst_TansInfo->ul_Vaddr);
     
122. 
     
123.                 if (0 == aul_Talbe[ul_Index])
     
124.                 {
     
125.                         return -1;
     
126.                 }
     
127.                 else
     
128.                 {
     
129.                         vpst_TansInfo->astLevel[PGT_LEVEL_PTE].ul_TableAddr = (unsigned long)aul_Talbe;       
     
130.                         vpst_TansInfo->astLevel[PGT_LEVEL_PTE].ul_Index = ul_Index;
     
131.                         vpst_TansInfo->astLevel[PGT_LEVEL_PTE].ul_Value = aul_Talbe[ul_Index];
     
132. 
     
133.                         vpst_TansInfo->ul_PageSize = PGT_PAGESIZE_4K;
     
134. 
     
135.                         //取物理地址
     
136.                         vpst_TansInfo->ul_Paddr = ((aul_Talbe[ul_Index] & PAGE_MASK) & MEMTOOL_ADDR_NX_MASK)
     
137.                                                   + (vpst_TansInfo->ul_Vaddr & (PAGE_SIZE - 1));
     
138. 
     
139.                 }
     
140.        
     
141.         }
     
142.         else
     
143.         {
     
144.                 vpst_TansInfo->ul_PageSize = PGT_PAGESIZE_2M;
     
145.                 //取物理地址
     
146.                 vpst_TansInfo->ul_Paddr = ((aul_Talbe[ul_Index] & PMD_MASK)& MEMTOOL_ADDR_NX_MASK)
     
147.                                           + (vpst_TansInfo->ul_Vaddr & (PMD_SIZE - 1));
     
148.         }
     
149. 
     
150.         return 0;
     
151. 
     
152. }

復(fù)制代碼