Linux內(nèi)核私闖進(jìn)程地址空間并修改進(jìn)程內(nèi)存的示例分析

這篇文章主要介紹Linux內(nèi)核私闖進(jìn)程地址空間并修改進(jìn)程內(nèi)存的示例分析，文中介紹的非常詳細(xì)，具有一定的參考價(jià)值，感興趣的小伙伴們一定要看完！

進(jìn)程地址空間的隔離 是現(xiàn)代操作系統(tǒng)的一個(gè)顯著特征。這也是區(qū)別于 “古代”操作系統(tǒng) 的顯著特征。

進(jìn)程地址空間隔離意味著進(jìn)程P1無法以隨意的方式訪問進(jìn)程P2的內(nèi)存，除非這塊內(nèi)存被聲明是共享的。

這非常容易理解，我舉個(gè)例子。

我們知道，在原始野人社會(huì)，是沒有家庭的觀念的，所有的資源都是部落內(nèi)共享的，所有的野人都可以以任意的方式在任意時(shí)間和任何其他野人交互。類似Dos這樣的操作系統(tǒng)就是這樣的，內(nèi)存地址空間并沒有隔離。進(jìn)程可以隨意訪問其它進(jìn)程的內(nèi)存。

后來有了家庭的觀念，家庭的資源被隔離，人們便不能私闖民宅了，人們無法以隨意的方式進(jìn)入別人的家用別人的東西，除非這是主人允許的。操作系統(tǒng)進(jìn)入現(xiàn)代模式后，進(jìn)程也有了類似家庭的概念。

但家庭的概念是虛擬的，人們只是遵守約定而不去破壞別人的家庭。房子作為一個(gè)物理基礎(chǔ)設(shè)施，保護(hù)著家庭。在操作系統(tǒng)中，家庭類似于虛擬地址空間，而房子就是頁表。

鄰居不能闖入你的房子，但警察可以，政府公務(wù)人員以合理的理由也可以。所謂的特權(quán)管理機(jī)構(gòu)只要理由充分，就可以進(jìn)入普通人家的房子，touch這家人的東西。對于操作系統(tǒng)而言，這就是內(nèi)核可以做的事，內(nèi)核可以訪問任意進(jìn)程的地址空間。

當(dāng)然了，內(nèi)核并不會(huì)無故私闖民宅，就像警察不會(huì)隨意闖入別人家里一樣。

但是，你可以讓內(nèi)核故意這么做，做點(diǎn)無賴的事情。

我們來試一下，先看一個(gè)程序：

// test.c
// gcc test.c -o test
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/mman.h>

int main()
{
  char* addr = mmap(NULL, 1024, PROT_READ | PROT_WRITE, MAP_PRIVATE | MAP_ANONYMOUS, -1, 0);
  strcpy(addr, "Zhejiang wenzhou pixie shi");

  printf("addr: %lu  pid:%d\n", addr, getpid());

  printf("before:%s \n", addr);

 getchar();

  printf("after:%s\n", addr);

  return 0;
}

這個(gè)程序的輸出非常簡單，before和after都會(huì)輸出 “Zhejiang wenzhou pixie shi”，但是我們想把這句話給改了，怎么辦呢？顯然，test進(jìn)程如果自己不改它，那就沒轍…但是可以讓內(nèi)核強(qiáng)制改啊，讓內(nèi)核私闖民宅就是了。

接下來我寫一個(gè)內(nèi)核模塊：

// test.c
// make -C /lib/modules/`uname -r`/build SUBDIRS=`pwd` modules
#include <linux/mm.h>
#include <linux/sched.h>
#include <linux/module.h>

static int pid = 1;
module_param(pid, int, 0644);

static unsigned long addr = 0;
module_param(addr, long, 0644);

// 根據(jù)一個(gè)進(jìn)程的虛擬地址找到它的頁表，相當(dāng)于找到這家人的房子地址，然后闖入！
static pte_t* get_pte(struct task_struct *task, unsigned long address)
{
 pgd_t* pgd;
 pud_t* pud;
 pmd_t* pmd;
 pte_t* pte;
 struct mm_struct *mm = task->mm;

 pgd = pgd_offset(mm, address);
 if(pgd_none(*pgd) || pgd_bad(*pgd))
 return NULL;

 pud = pud_offset(pgd, address);
 if(pud_none(*pud) || pud_bad(*pud))
 return NULL;

 pmd = pmd_offset(pud, address);
 if(pmd_none(*pmd) || pmd_bad(*pmd))
 return NULL;

 pte = pte_offset_kernel(pmd, address);
 if(pte_none(*pte))
 return NULL;

 return pte;
}

static int test_init(void)
{
 struct task_struct *task;
 pte_t* pte;
 struct page* page;

 // 找到這家人
 task = pid_task(find_pid_ns(pid, &init_pid_ns), PIDTYPE_PID);
 // 找到這家人住在哪里
 if(!(pte = get_pte(task, addr)))
 return -1;

 page = pte_page(*pte);
 // 強(qiáng)行闖入
 addr = page_address(page);
 // sdajgdoiewhgikwnsviwgvwgvw
 strcpy(addr, (char *)"rain flooding water will not get fat!");
 // 事了拂衣去，深藏功與名
 return 0;
}

static void test_exit(void)
{
}

module_init(test_init);
module_exit(test_exit);
MODULE_LICENSE("GPL");

來來來，我們來試一下：

[root@10 page_replace]# ./test
addr: 140338535763968  pid:9912
before:Zhejiang wenzhou pixie shi

此時(shí)，我們加載內(nèi)核模塊test.ko

[root@10 test]# insmod test.ko pid=9912 addr=140338535763968
[root@10 test]#

在test進(jìn)程拍入回車：

[root@10 page_replace]# ./test
addr: 140338535763968  pid:9912
before:Zhejiang wenzhou pixie shi

after:rain flooding water will not get fat!
[root@10 page_replace]#

顯然，“浙江溫州皮鞋濕”被改成了“下雨進(jìn)水不會(huì)胖”。

仔細(xì)看上面那個(gè)內(nèi)核模塊的 get_pte 函數(shù)，這個(gè)函數(shù)要想寫對，你必須對你想蹂躪的進(jìn)程所在的機(jī)器的MMU有一定的了解，比如是32位系統(tǒng)還是64位系統(tǒng)，是3級(jí)頁表還是4級(jí)頁表或者5級(jí)？這…

Linux的可玩性在于你可以自己動(dòng)手，又可以讓人代勞。比如，獲取一個(gè)進(jìn)程的虛擬地址的頁表項(xiàng)指示的物理頁面，就可以直接得到。

有這樣的API嗎？有啊，別忘了一切皆文件，恰好在proc文件系統(tǒng)中，就有這么一個(gè)文件：

/proc/$pid/pagemap

讀取這個(gè)文件，得到的就是進(jìn)程虛擬地址的頁表項(xiàng)，下圖截自內(nèi)核Doc：

Documentation/vm/pagemap.txt

虛擬地址空間是每進(jìn)程的，而物理地址空間則是所有進(jìn)程共享的。換句話說，物理地址是全局的。

現(xiàn)在，根據(jù)Documentation/vm/pagemap.txt的解釋，寫一個(gè)程序，獲取任意進(jìn)程任意虛擬地址的全局物理地址：

// getphys.c
// gcc getphys -o getphys
#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>

int main(int argc, char **argv)
{
 int fd;
 int pid;
 unsigned long pte;
 unsigned long addr;
 unsigned long phy_addr;
 char procbuf[64] = {0};

 pid = atoi(argv[1]);
 addr = atol(argv[2]);

 sprintf(procbuf, "/proc/%d/pagemap", pid);

 fd = open(procbuf, O_RDONLY);
 size_t offset = (addr/4096) * sizeof(unsigned long);
 lseek(fd, offset, SEEK_SET);

 read(fd, &pte, sizeof(unsigned long));

 phy_addr = (pte & ((((unsigned long)1) << 55) - 1))*4096 + addr%4096;
 printf("phy addr:%lu\n", phy_addr);

 return 0;
}

隨后，我們修改內(nèi)核模塊：

#include <linux/module.h>

static unsigned long addr = 0;
module_param(addr, long, 0644);

static int test_init(void)
{
 strcpy(phys_to_virt(addr), (char *)"rain flooding water will not get fat!");
 return 0;
}

static void test_exit(void)
{
}

module_init(test_init);
module_exit(test_exit);

MODULE_LICENSE("GPL");

先運(yùn)行test，然后根據(jù)test的輸出作為getphys的輸入，再根據(jù)getphys的輸出作為內(nèi)核模塊test.ko的輸入，就成了。還記得嗎？這不就是管道連接多個(gè)程序的風(fēng)格嗎？

輸入一個(gè)物理地址，然后把它改了，僅此而已。通過虛擬地址獲取頁表的操作已經(jīng)由用戶態(tài)的pagemap文件的讀取并解析代勞了。

以上是“Linux內(nèi)核私闖進(jìn)程地址空間并修改進(jìn)程內(nèi)存的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！希望分享的內(nèi)容對大家有幫助，更多相關(guān)知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道！