近日,我在写内核模块的时候犯了一个低级错误:
在内核看来,用户态提供的虚拟地址是不可信的,所以在一旦在内核态访问用户态内存发生缺页中断,处理起来是非常棘手的。
Linux内核的做法是提供了一张 异常处理表 ,使用专有的函数来访问用户态内存。类似 try-catch块一般。具体详情可参见copy_to_user/copy_from_user的实现以及内核文档Documentation/x86/exception-tables.txt的描述。
本来简单看下这个异常处理表能怎么玩。
首先,我们可以写一片代码,将内核的异常处理表dump下来:
// show_extable.c
#include <linux/module.h>
#include <linux/kallsyms.h>
int (*_lookup_symbol_name)(unsigned long, char *);
unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);
unsigned long start_ex, end_ex;
int init_module(void)
{
unsigned long i;
unsigned long orig, fixup, originsn, fixinsn, offset, size;
char name[128], fixname[128];
_lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name");
_get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos");
start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table");
end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table");
// 按照exception_table_entry的sizeof从start遍历到end。
for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) {
orig = i; // 取出exception_table_entry的insn字段地址。
fixup = i + sizeof(unsigned int); // 取出fixup字段地址。
originsn = orig + *(unsigned int *)orig; // 根据相对偏移字段求出绝对地址
originsn |= 0xffffffff00000000;
fixinsn = fixup + *(unsigned int *)fixup;
fixinsn |= 0xffffffff00000000;
_get_symbol_pos(originsn, &size, &offset);
_lookup_symbol_name(originsn, name);
_lookup_symbol_name(fixinsn, fixname);
printk("[%lx]%s+0x%lx/0x%lx [%lx]%s\n",
originsn,
name,
offset,
size,
fixinsn,
fixname);
}
return -1;
}
MODULE_LICENSE("GPL");我们看下输出:
# ___sys_recvmsg+0x253位置发生异常,跳转到ffffffff81649396处理异常。
[ 7655.267616] [ffffffff8150d7a3]___sys_recvmsg+0x253/0x2b0 [ffffffff81649396]bad_to_user
...
# create_elf_tables+0x3cf位置处如果发生异常,跳转到ffffffff81648a07地址执行异常处理。
[ 7655.267727] [ffffffff8163250e]create_elf_tables+0x3cf/0x509 [ffffffff81648a1b]bad_gs一般而言,类似bad_to_user,bad_from_user之类的异常处理函数都是直接返回用户一个错误码,比如Bad address之类,并不是直接用户程序直接段错误,这一点和用户态访问非法地址直接发送SIGSEGV有所不同。比如:
#include <fcntl.h>
int main(int argc, char **argv)
{
int fd;
int ret;
char *buf = (char *)0x56; // 显然是一个非法地址。
fd = open("/proc/sys/net/nf_conntrack_max", O_RDWR | O_CREAT, S_IRWXU);
perror("open");
ret = read(fd, buf, 100);
perror("read");
}
执行之:
[root@localhost test]# ./a.out
open: Success
read: Bad address # 没有段错误,只是一个普通错误。我们能不能将其行为修改成和用户态访问非法地址一致呢?简单,替换掉bad_to_user即可,代码如下:
// fix_ex.c
#include <linux/module.h>
#include <linux/sched.h>
#include <linux/kallsyms.h>
int (*_lookup_symbol_name)(unsigned long, char *);
unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);
unsigned long start_ex, end_ex;
void *_bad_from_user, *_bad_to_user;
void kill_user_from(void)
{
printk("经理!rush tighten beat electric discourse!\n");
force_sig(SIGSEGV, current);
}
void kill_user_to(void)
{
printk("经理!rush tighten beat electric discourse! SB 皮鞋\n");
force_sig(SIGSEGV, current);
}
unsigned int old, new;
int (*_lookup_symbol_name)(unsigned long, char *);
unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);
int hook_fixup(void *origfunc1, void *origfunc2, void *newfunc1, void *newfunc2)
{
unsigned long i;
unsigned long fixup, fixinsn;
char fixname[128];
for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) {
fixup = i + sizeof(unsigned int);
fixinsn = fixup + *(unsigned int *)fixup;
fixinsn |= 0xffffffff00000000;
_lookup_symbol_name(fixinsn, fixname);
if (!strcmp(fixname, origfunc1) ||
!strcmp(fixname, origfunc2)) {
unsigned long new;
unsigned int newfix;
if (!strcmp(fixname, origfunc1)) {
new = (unsigned long)newfunc1;
} else {
new = (unsigned long)newfunc2;
}
new -= fixup;
newfix = (unsigned int)new;
*(unsigned int *)fixup = newfix;
}
}
return 0;
}
int init_module(void)
{
_lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name");
_get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos");
_bad_from_user = (void *)kallsyms_lookup_name("bad_from_user");
_bad_to_user = (void *)kallsyms_lookup_name("bad_to_user");
start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table");
end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table");
hook_fixup("bad_from_user", "bad_to_user", kill_user_from, kill_user_to);
return 0;
}
void cleanup_module(void)
{
hook_fixup("kill_user_from", "kill_user_to", _bad_from_user, _bad_to_user);
}
MODULE_LICENSE("GPL");编译,加载,重新执行我们的a.out:
[root@localhost test]# insmod ./fix_ex.ko
[root@localhost test]# ./a.out
open: Success
段错误
[root@localhost test]# dmesg
[ 8686.091738] 经理!rush tighten beat electric discourse! SB 皮鞋
[root@localhost test]#
发生了段错误,并且打印出了让经理赶紧打电话的句子。
其实,我的目的并不是这样的,我真正的意思是,Linux的异常处理链表,又是一个藏污纳垢的好地方,我们可以在上面的hook函数中藏一些代码,比如说inline hook之类的,然后呢?然后静悄悄地等待用户态进程的bug导致异常处理被执行。将代码注入的时间线拉长,从而更难让运维和经理注意到。
让代码注入的时间点和模块插入的时间点分开,让事情更加混乱。不过,注意好隐藏模块或者oneshot哦。
————————————————
版权声明:本文为CSDN博主「dog250」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:
https://blog.csdn.net/dog250/article/details/106105523
京东创始人刘强东和其妻子章泽天最近成为了互联网舆论关注的焦点。有关他们“移民美国”和在美国购买豪宅的传言在互联网上广泛传播。然而,京东官方通过微博发言人发布的消息澄清了这些传言,称这些言论纯属虚假信息和蓄意捏造。
日前,据博主“@超能数码君老周”爆料,国内三大运营商中国移动、中国电信和中国联通预计将集体采购百万台规模的华为Mate60系列手机。
据报道,荷兰半导体设备公司ASML正看到美国对华遏制政策的负面影响。阿斯麦(ASML)CEO彼得·温宁克在一档电视节目中分享了他对中国大陆问题以及该公司面临的出口管制和保护主义的看法。彼得曾在多个场合表达了他对出口管制以及中荷经济关系的担忧。
今年早些时候,抖音悄然上线了一款名为“青桃”的 App,Slogan 为“看见你的热爱”,根据应用介绍可知,“青桃”是一个属于年轻人的兴趣知识视频平台,由抖音官方出品的中长视频关联版本,整体风格有些类似B站。
日前,威马汽车首席数据官梅松林转发了一份“世界各国地区拥车率排行榜”,同时,他发文表示:中国汽车普及率低于非洲国家尼日利亚,每百户家庭仅17户有车。意大利世界排名第一,每十户中九户有车。
近日,一项新的研究发现,维生素 C 和 E 等抗氧化剂会激活一种机制,刺激癌症肿瘤中新血管的生长,帮助它们生长和扩散。
据媒体援引消息人士报道,苹果公司正在测试使用3D打印技术来生产其智能手表的钢质底盘。消息传出后,3D系统一度大涨超10%,不过截至周三收盘,该股涨幅回落至2%以内。
9月2日,坐拥千万粉丝的网红主播“秀才”账号被封禁,在社交媒体平台上引发热议。平台相关负责人表示,“秀才”账号违反平台相关规定,已封禁。据知情人士透露,秀才近期被举报存在违法行为,这可能是他被封禁的部分原因。据悉,“秀才”年龄39岁,是安徽省亳州市蒙城县人,抖音网红,粉丝数量超1200万。他曾被称为“中老年...
9月3日消息,亚马逊的一些股东,包括持有该公司股票的一家养老基金,日前对亚马逊、其创始人贝索斯和其董事会提起诉讼,指控他们在为 Project Kuiper 卫星星座项目购买发射服务时“违反了信义义务”。
据消息,为推广自家应用,苹果现推出了一个名为“Apps by Apple”的网站,展示了苹果为旗下产品(如 iPhone、iPad、Apple Watch、Mac 和 Apple TV)开发的各种应用程序。
特斯拉本周在美国大幅下调Model S和X售价,引发了该公司一些最坚定支持者的不满。知名特斯拉多头、未来基金(Future Fund)管理合伙人加里·布莱克发帖称,降价是一种“短期麻醉剂”,会让潜在客户等待进一步降价。
据外媒9月2日报道,荷兰半导体设备制造商阿斯麦称,尽管荷兰政府颁布的半导体设备出口管制新规9月正式生效,但该公司已获得在2023年底以前向中国运送受限制芯片制造机器的许可。
近日,根据美国证券交易委员会的文件显示,苹果卫星服务提供商 Globalstar 近期向马斯克旗下的 SpaceX 支付 6400 万美元(约 4.65 亿元人民币)。用于在 2023-2025 年期间,发射卫星,进一步扩展苹果 iPhone 系列的 SOS 卫星服务。
据报道,马斯克旗下社交平台𝕏(推特)日前调整了隐私政策,允许 𝕏 使用用户发布的信息来训练其人工智能(AI)模型。新的隐私政策将于 9 月 29 日生效。新政策规定,𝕏可能会使用所收集到的平台信息和公开可用的信息,来帮助训练 𝕏 的机器学习或人工智能模型。
9月2日,荣耀CEO赵明在采访中谈及华为手机回归时表示,替老同事们高兴,觉得手机行业,由于华为的回归,让竞争充满了更多的可能性和更多的魅力,对行业来说也是件好事。
《自然》30日发表的一篇论文报道了一个名为Swift的人工智能(AI)系统,该系统驾驶无人机的能力可在真实世界中一对一冠军赛里战胜人类对手。
近日,非营利组织纽约真菌学会(NYMS)发出警告,表示亚马逊为代表的电商平台上,充斥着各种AI生成的蘑菇觅食科普书籍,其中存在诸多错误。
社交媒体平台𝕏(原推特)新隐私政策提到:“在您同意的情况下,我们可能出于安全、安保和身份识别目的收集和使用您的生物识别信息。”
2023年德国柏林消费电子展上,各大企业都带来了最新的理念和产品,而高端化、本土化的中国产品正在不断吸引欧洲等国际市场的目光。
罗永浩日前在直播中吐槽苹果即将推出的 iPhone 新品,具体内容为:“以我对我‘子公司’的了解,我认为 iPhone 15 跟 iPhone 14 不会有什么区别的,除了序(列)号变了,这个‘不要脸’的东西,这个‘臭厨子’。
