热门标签 | HotTags
当前位置:  开发笔记 > 运维 > 正文

Linux内核私闯进程地址空间并修改进程内存的方法

这篇文章主要介绍了Linux内核私闯进程地址空间并修改进程内存的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

进程地址空间的隔离 是现代操作系统的一个显著特征。这也是区别于 “古代”操作系统 的显著特征。

进程地址空间隔离意味着进程P1无法以随意的方式访问进程P2的内存,除非这块内存被声明是共享的。

这非常容易理解,我举个例子。

我们知道,在原始野人社会,是没有家庭的观念的,所有的资源都是部落内共享的,所有的野人都可以以任意的方式在任意时间和任何其他野人交互。类似Dos这样的操作系统就是这样的,内存地址空间并没有隔离。进程可以随意访问其它进程的内存。

后来有了家庭的观念,家庭的资源被隔离,人们便不能私闯民宅了,人们无法以随意的方式进入别人的家用别人的东西,除非这是主人允许的。操作系统进入现代模式后,进程也有了类似家庭的概念。

但家庭的概念是虚拟的,人们只是遵守约定而不去破坏别人的家庭。房子作为一个物理基础设施,保护着家庭。在操作系统中,家庭类似于虚拟地址空间,而房子就是页表。

邻居不能闯入你的房子,但警察可以,政府公务人员以合理的理由也可以。所谓的特权管理机构只要理由充分,就可以进入普通人家的房子,touch这家人的东西。对于操作系统而言,这就是内核可以做的事,内核可以访问任意进程的地址空间。

当然了,内核并不会无故私闯民宅,就像警察不会随意闯入别人家里一样。

但是,你可以让内核故意这么做,做点无赖的事情。

我们来试一下,先看一个程序:

// test.c
// gcc test.c -o test
#include 
#include 
#include 
#include 
#include 

int main()
{
  char* addr = mmap(NULL, 1024, PROT_READ | PROT_WRITE, MAP_PRIVATE | MAP_ANONYMOUS, -1, 0);
  strcpy(addr, "Zhejiang wenzhou pixie shi");

  printf("addr: %lu  pid:%d\n", addr, getpid());

  printf("before:%s \n", addr);

 getchar();

  printf("after:%s\n", addr);

  return 0;
}

这个程序的输出非常简单,before和after都会输出 “Zhejiang wenzhou pixie shi”,但是我们想把这句话给改了,怎么办呢?显然,test进程如果自己不改它,那就没辙…但是可以让内核强制改啊,让内核私闯民宅就是了。

接下来我写一个内核模块:

// test.c
// make -C /lib/modules/`uname -r`/build SUBDIRS=`pwd` modules
#include 
#include 
#include 

static int pid = 1;
module_param(pid, int, 0644);

static unsigned long addr = 0;
module_param(addr, long, 0644);

// 根据一个进程的虚拟地址找到它的页表,相当于找到这家人的房子地址,然后闯入!
static pte_t* get_pte(struct task_struct *task, unsigned long address)
{
 pgd_t* pgd;
 pud_t* pud;
 pmd_t* pmd;
 pte_t* pte;
 struct mm_struct *mm = task->mm;

 pgd = pgd_offset(mm, address);
 if(pgd_none(*pgd) || pgd_bad(*pgd))
 return NULL;

 pud = pud_offset(pgd, address);
 if(pud_none(*pud) || pud_bad(*pud))
 return NULL;

 pmd = pmd_offset(pud, address);
 if(pmd_none(*pmd) || pmd_bad(*pmd))
 return NULL;

 pte = pte_offset_kernel(pmd, address);
 if(pte_none(*pte))
 return NULL;

 return pte;
}

static int test_init(void)
{
 struct task_struct *task;
 pte_t* pte;
 struct page* page;

 // 找到这家人
 task = pid_task(find_pid_ns(pid, &init_pid_ns), PIDTYPE_PID);
 // 找到这家人住在哪里
 if(!(pte = get_pte(task, addr)))
 return -1;

 page = pte_page(*pte);
 // 强行闯入
 addr = page_address(page);
 // sdajgdoiewhgikwnsviwgvwgvw
 strcpy(addr, (char *)"rain flooding water will not get fat!");
 // 事了拂衣去,深藏功与名
 return 0;
}

static void test_exit(void)
{
}

module_init(test_init);
module_exit(test_exit);
MODULE_LICENSE("GPL");

来来来,我们来试一下:

[root@10 page_replace]# ./test
addr: 140338535763968  pid:9912
before:Zhejiang wenzhou pixie shi

此时,我们加载内核模块test.ko

[root@10 test]# insmod test.ko pid=9912 addr=140338535763968
[root@10 test]#

在test进程拍入回车:

[root@10 page_replace]# ./test
addr: 140338535763968  pid:9912
before:Zhejiang wenzhou pixie shi

after:rain flooding water will not get fat!
[root@10 page_replace]#

显然,“浙江温州皮鞋湿”被改成了“下雨进水不会胖”。

仔细看上面那个内核模块的 get_pte 函数,这个函数要想写对,你必须对你想蹂躏的进程所在的机器的MMU有一定的了解,比如是32位系统还是64位系统,是3级页表还是4级页表或者5级?这…

Linux的可玩性在于你可以自己动手,又可以让人代劳。比如,获取一个进程的虚拟地址的页表项指示的物理页面,就可以直接得到。

有这样的API吗?有啊,别忘了一切皆文件,恰好在proc文件系统中,就有这么一个文件:

/proc/$pid/pagemap

读取这个文件,得到的就是进程虚拟地址的页表项,下图截自内核Doc:

Documentation/vm/pagemap.txt

 

虚拟地址空间是每进程的,而物理地址空间则是所有进程共享的。换句话说,物理地址是全局的。

现在,根据Documentation/vm/pagemap.txt的解释,写一个程序,获取任意进程任意虚拟地址的全局物理地址:

// getphys.c
// gcc getphys -o getphys
#include 
#include 
#include 

int main(int argc, char **argv)
{
 int fd;
 int pid;
 unsigned long pte;
 unsigned long addr;
 unsigned long phy_addr;
 char procbuf[64] = {0};

 pid = atoi(argv[1]);
 addr = atol(argv[2]);

 sprintf(procbuf, "/proc/%d/pagemap", pid);

 fd = open(procbuf, O_RDONLY);
 size_t offset = (addr/4096) * sizeof(unsigned long);
 lseek(fd, offset, SEEK_SET);

 read(fd, &pte, sizeof(unsigned long));

 phy_addr = (pte & ((((unsigned long)1) <<55) - 1))*4096 + addr%4096;
 printf("phy addr:%lu\n", phy_addr);

 return 0;
}

随后,我们修改内核模块:

#include 

static unsigned long addr = 0;
module_param(addr, long, 0644);

static int test_init(void)
{
 strcpy(phys_to_virt(addr), (char *)"rain flooding water will not get fat!");
 return 0;
}

static void test_exit(void)
{
}

module_init(test_init);
module_exit(test_exit);

MODULE_LICENSE("GPL");

先运行test,然后根据test的输出作为getphys的输入,再根据getphys的输出作为内核模块test.ko的输入,就成了。还记得吗?这不就是管道连接多个程序的风格吗?

输入一个物理地址,然后把它改了,仅此而已。通过虚拟地址获取页表的操作已经由用户态的pagemap文件的读取并解析代劳了。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。


推荐阅读
  • Kubernetes与Docker之间的关系解析
    本文探讨了Kubernetes(简称k8s)与Docker之间的关系,旨在帮助读者理解这两种技术如何协同工作,以提高应用程序的部署效率和可扩展性。文章首先介绍了两者的基本概念,然后从虚拟化和部署的角度深入分析。 ... [详细]
  • 本文详细介绍了Linux环境下的两个实用命令——seq和sed。seq命令主要用于生成一系列按指定步长递增或递减的数字序列,支持自定义数字格式、宽度及分隔符。sed命令则是强大的文本处理工具,适用于文件内容的增加、删除、修改和查询等操作。 ... [详细]
  • 本文探讨了在Linux系统中尝试访问远程MySQL数据库时遇到的权限拒绝错误,特别是当使用非root用户进行连接时出现的'Access denied for user'错误。 ... [详细]
  • VSCode中实现大型项目函数跳转的方法
    在处理大型代码项目时,简单的C/C++插件往往无法满足需求。本文介绍如何通过配置GNU Global等工具,在VSCode中实现高效的函数跳转。 ... [详细]
  • 本文探讨了Flutter和Angular这两个流行框架的主要区别,包括它们的设计理念、适用场景及技术实现。 ... [详细]
  • 2020年腾讯PCG后端开发实习生面试经历分享
    本文详细记录了2020年腾讯平台与内容事业群(PCG)后端开发实习生岗位的面试过程,包括初试和复试的主要内容和技术考察点。 ... [详细]
  • Unix与Linux的起源与发展
    本文详细探讨了Unix与Linux的操作系统起源,从自由软件运动的兴起,到Linux内核的诞生,全面解析了这两款操作系统的发展历程及其对现代计算技术的影响。 ... [详细]
  • 本文详细介绍了将本地计算机和服务器从CentOS 7.2或7.3版本升级到7.4的过程,包括必要的准备步骤、执行升级的具体命令以及验证升级是否成功的检查方法。 ... [详细]
  • 本文探讨了为何在Linux系统上进行项目开发的重要性,并详细介绍了如何在Ubuntu系统上安装PyCharm这一流行的Python集成开发环境(IDE)。通过本文,您将了解在Linux环境下进行Python开发的优势及具体安装步骤。 ... [详细]
  • 成为一名高效的Java架构师不仅需要掌握高级Java编程技巧,还需深入理解JVM的工作原理及其优化方法。此外,对池技术(包括对象池、连接池和线程池)的应用、多线程处理、集合对象的内部机制、以及常用的数据结构和算法的精通也是必不可少的。同时,熟悉Linux操作系统、TCP/IP协议栈、HTTP协议等基础知识,对于构建高效稳定的系统同样重要。 ... [详细]
  • 本文介绍了如何在ARM架构的裸机环境中通过C语言编程点亮LED灯。主要包括初始化栈指针、关闭看门狗以及编写控制LED灯状态的C代码等关键步骤。 ... [详细]
  • 本文介绍了在Linux系统中如何使用不同的命令和工具来查看和检查端口状态,包括有权限和无权限情况下的操作方法。 ... [详细]
  • 本文介绍如何通过配置Linux服务器作为路由器来实现两个不同网段(192.168.1.0/24 和 192.168.2.0/24)之间的互联互通。 ... [详细]
  • Minetest 0.4.9 开源游戏在 Ubuntu 下通过 PPA 安装指南
    本文介绍了如何在 Ubuntu 系统上安装最新版本的 Minetest 0.4.9,包括添加 PPA、更新软件包列表以及安装过程,适合所有 Ubuntu 及其衍生系统的用户。 ... [详细]
  • 四月个人任务:Linux基础操作与网络管理
    本文介绍了两项主要任务:编写一个脚本来检测192.168.1.0/24子网中当前在线的IP地址,以及如何在Linux系统中挂载Windows网络共享目录。通过具体步骤和代码示例,帮助读者理解和掌握相关技能。 ... [详细]
author-avatar
烟为你吸_811
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有