進程地址空間的隔離 是現代操作系統的一個顯著特征。這也是區別于 “古代”操作系統 的顯著特征。
進程地址空間隔離意味著進程P1無法以隨意的方式訪問進程P2的內存,除非這塊內存被聲明是共享的。
這非常容易理解,我舉個例子。
我們知道,在原始野人社會,是沒有家庭的觀念的,所有的資源都是部落內共享的,所有的野人都可以以任意的方式在任意時間和任何其他野人交互。類似Dos這樣的操作系統就是這樣的,內存地址空間并沒有隔離。進程可以隨意訪問其它進程的內存。
后來有了家庭的觀念,家庭的資源被隔離,人們便不能私闖民宅了,人們無法以隨意的方式進入別人的家用別人的東西,除非這是主人允許的。操作系統進入現代模式后,進程也有了類似家庭的概念。
但家庭的概念是虛擬的,人們只是遵守約定而不去破壞別人的家庭。房子作為一個物理基礎設施,保護著家庭。在操作系統中,家庭類似于虛擬地址空間,而房子就是頁表。
鄰居不能闖入你的房子,但警察可以,政府公務人員以合理的理由也可以。所謂的特權管理機構只要理由充分,就可以進入普通人家的房子,touch這家人的東西。對于操作系統而言,這就是內核可以做的事,內核可以訪問任意進程的地址空間。
當然了,內核并不會無故私闖民宅,就像警察不會隨意闖入別人家里一樣。
但是,你可以讓內核故意這么做,做點無賴的事情。
我們來試一下,先看一個程序:
// test.c
// gcc test.c -o test
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/mman.h>
int main()
{
char* addr = mmap(NULL, 1024, PROT_READ | PROT_WRITE, MAP_PRIVATE | MAP_ANONYMOUS, -1, 0);
strcpy(addr, "Zhejiang wenzhou pixie shi");
printf("addr: %lu pid:%d\n", addr, getpid());
printf("before:%s \n", addr);
getchar();
printf("after:%s\n", addr);
return 0;
}
這個程序的輸出非常簡單,before和after都會輸出 “Zhejiang wenzhou pixie shi”,但是我們想把這句話給改了,怎么辦呢?顯然,test進程如果自己不改它,那就沒轍…但是可以讓內核強制改啊,讓內核私闖民宅就是了。
接下來我寫一個內核模塊:
// test.c
// make -C /lib/modules/`uname -r`/build SUBDIRS=`pwd` modules
#include <linux/mm.h>
#include <linux/sched.h>
#include <linux/module.h>
static int pid = 1;
module_param(pid, int, 0644);
static unsigned long addr = 0;
module_param(addr, long, 0644);
// 根據一個進程的虛擬地址找到它的頁表,相當于找到這家人的房子地址,然后闖入!
static pte_t* get_pte(struct task_struct *task, unsigned long address)
{
pgd_t* pgd;
pud_t* pud;
pmd_t* pmd;
pte_t* pte;
struct mm_struct *mm = task->mm;
pgd = pgd_offset(mm, address);
if(pgd_none(*pgd) || pgd_bad(*pgd))
return NULL;
pud = pud_offset(pgd, address);
if(pud_none(*pud) || pud_bad(*pud))
return NULL;
pmd = pmd_offset(pud, address);
if(pmd_none(*pmd) || pmd_bad(*pmd))
return NULL;
pte = pte_offset_kernel(pmd, address);
if(pte_none(*pte))
return NULL;
return pte;
}
static int test_init(void)
{
struct task_struct *task;
pte_t* pte;
struct page* page;
// 找到這家人
task = pid_task(find_pid_ns(pid, &init_pid_ns), PIDTYPE_PID);
// 找到這家人住在哪里
if(!(pte = get_pte(task, addr)))
return -1;
page = pte_page(*pte);
// 強行闖入
addr = page_address(page);
// sdajgdoiewhgikwnsviwgvwgvw
strcpy(addr, (char *)"rain flooding water will not get fat!");
// 事了拂衣去,深藏功與名
return 0;
}
static void test_exit(void)
{
}
module_init(test_init);
module_exit(test_exit);
MODULE_LICENSE("GPL");
來來來,我們來試一下:
[root@10 page_replace]# ./test
addr: 140338535763968 pid:9912
before:Zhejiang wenzhou pixie shi
此時,我們加載內核模塊test.ko
[root@10 test]# insmod test.ko pid=9912 addr=140338535763968
[root@10 test]#
在test進程拍入回車:
[root@10 page_replace]# ./test
addr: 140338535763968 pid:9912
before:Zhejiang wenzhou pixie shi
after:rain flooding water will not get fat!
[root@10 page_replace]#
顯然,“浙江溫州皮鞋濕”被改成了“下雨進水不會胖”。
仔細看上面那個內核模塊的 get_pte 函數,這個函數要想寫對,你必須對你想蹂躪的進程所在的機器的MMU有一定的了解,比如是32位系統還是64位系統,是3級頁表還是4級頁表或者5級?這…
Linux的可玩性在于你可以自己動手,又可以讓人代勞。比如,獲取一個進程的虛擬地址的頁表項指示的物理頁面,就可以直接得到。
有這樣的API嗎?有啊,別忘了一切皆文件,恰好在proc文件系統中,就有這么一個文件:
/proc/$pid/pagemap
讀取這個文件,得到的就是進程虛擬地址的頁表項,下圖截自內核Doc:
Documentation/vm/pagemap.txt
虛擬地址空間是每進程的,而物理地址空間則是所有進程共享的。換句話說,物理地址是全局的。
現在,根據Documentation/vm/pagemap.txt的解釋,寫一個程序,獲取任意進程任意虛擬地址的全局物理地址:
// getphys.c
// gcc getphys -o getphys
#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>
int main(int argc, char **argv)
{
int fd;
int pid;
unsigned long pte;
unsigned long addr;
unsigned long phy_addr;
char procbuf[64] = {0};
pid = atoi(argv[1]);
addr = atol(argv[2]);
sprintf(procbuf, "/proc/%d/pagemap", pid);
fd = open(procbuf, O_RDONLY);
size_t offset = (addr/4096) * sizeof(unsigned long);
lseek(fd, offset, SEEK_SET);
read(fd, &pte, sizeof(unsigned long));
phy_addr = (pte & ((((unsigned long)1) << 55) - 1))*4096 + addr%4096;
printf("phy addr:%lu\n", phy_addr);
return 0;
}
隨后,我們修改內核模塊:
#include <linux/module.h>
static unsigned long addr = 0;
module_param(addr, long, 0644);
static int test_init(void)
{
strcpy(phys_to_virt(addr), (char *)"rain flooding water will not get fat!");
return 0;
}
static void test_exit(void)
{
}
module_init(test_init);
module_exit(test_exit);
MODULE_LICENSE("GPL");
先運行test,然后根據test的輸出作為getphys的輸入,再根據getphys的輸出作為內核模塊test.ko的輸入,就成了。還記得嗎?這不就是管道連接多個程序的風格嗎?
輸入一個物理地址,然后把它改了,僅此而已。通過虛擬地址獲取頁表的操作已經由用戶態的pagemap文件的讀取并解析代勞了。
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持腳本之家。
