近日，我在寫內(nèi)核模塊的時候犯了一個低級錯誤：

直接access用戶態(tài)的內(nèi)存而沒有使用copy_to_user/copy_from_user！

在內(nèi)核看來，用戶態(tài)提供的虛擬地址是不可信的，所以在一旦在內(nèi)核態(tài)訪問用戶態(tài)內(nèi)存發(fā)生缺頁中斷，處理起來是非常棘手的。

Linux內(nèi)核的做法是提供了一張 異常處理表 ，使用專有的函數(shù)來訪問用戶態(tài)內(nèi)存。類似 try-catch塊一般。具體詳情可參見copy_to_user/copy_from_user的實現(xiàn)以及內(nèi)核文檔Documentation/x86/exception-tables.txt的描述。

本來簡單看下這個異常處理表能怎么玩。

首先，我們可以寫一片代碼，將內(nèi)核的異常處理表dump下來：

// show_extable.c#include #include int (*_lookup_symbol_name)(unsigned long, char *);unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);unsigned long start_ex, end_ex; int init_module(void){ unsigned long i; unsigned long orig, fixup, originsn, fixinsn, offset, size; char name[128], fixname[128]; _lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name"); _get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos"); start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table"); end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table"); // 按照exception_table_entry的sizeof從start遍歷到end。 for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) { orig = i; // 取出exception_table_entry的insn字段地址。 fixup = i + sizeof(unsigned int); // 取出fixup字段地址。 originsn = orig + *(unsigned int *)orig; // 根據(jù)相對偏移字段求出絕對地址 originsn |= 0xffffffff00000000; fixinsn = fixup + *(unsigned int *)fixup; fixinsn |= 0xffffffff00000000; _get_symbol_pos(originsn, &size, &offset); _lookup_symbol_name(originsn, name); _lookup_symbol_name(fixinsn, fixname); printk("[%lx]%s+0x%lx/0x%lx [%lx]%s ", originsn, name, offset, size, fixinsn, fixname); } return -1;}MODULE_LICENSE("GPL");

我們看下輸出：

# ___sys_recvmsg+0x253位置發(fā)生異常，跳轉到ffffffff81649396處理異常。[ 7655.267616] [ffffffff8150d7a3]___sys_recvmsg+0x253/0x2b0 [ffffffff81649396]bad_to_user...# create_elf_tables+0x3cf位置處如果發(fā)生異常，跳轉到ffffffff81648a07地址執(zhí)行異常處理。[ 7655.267727] [ffffffff8163250e]create_elf_tables+0x3cf/0x509 [ffffffff81648a1b]bad_gs

一般而言，類似bad_to_user，bad_from_user之類的異常處理函數(shù)都是直接返回用戶一個錯誤碼，比如Bad address之類，并不是直接用戶程序直接段錯誤，這一點和用戶態(tài)訪問非法地址直接發(fā)送SIGSEGV有所不同。比如：

#include int main(int argc, char **argv){ int fd; int ret; char *buf = (char *)0x56; // 顯然是一個非法地址。 fd = open("/proc/sys/net/nf_conntrack_max", O_RDWR | O_CREAT, S_IRWXU); perror("open"); ret = read(fd, buf, 100); perror("read");}

執(zhí)行之：

[root@localhost test]# ./a.outopen: Successread: Bad address # 沒有段錯誤，只是一個普通錯誤。

我們能不能將其行為修改成和用戶態(tài)訪問非法地址一致呢？簡單，替換掉bad_to_user即可，代碼如下：

// fix_ex.c#include #include #include int (*_lookup_symbol_name)(unsigned long, char *);unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);unsigned long start_ex, end_ex;void *_bad_from_user, *_bad_to_user; void kill_user_from(void){ printk("經(jīng)理！rush tighten beat electric discourse! "); force_sig(SIGSEGV, current);} void kill_user_to(void){ printk("經(jīng)理！rush tighten beat electric discourse! SB 皮鞋 "); force_sig(SIGSEGV, current);} unsigned int old, new; int (*_lookup_symbol_name)(unsigned long, char *);unsigned long (*_get_symbol_pos)(unsigned long, void *, void *); int hook_fixup(void *origfunc1, void *origfunc2, void *newfunc1, void *newfunc2){ unsigned long i; unsigned long fixup, fixinsn; char fixname[128]; for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) { fixup = i + sizeof(unsigned int); fixinsn = fixup + *(unsigned int *)fixup; fixinsn |= 0xffffffff00000000; _lookup_symbol_name(fixinsn, fixname); if (!strcmp(fixname, origfunc1) || !strcmp(fixname, origfunc2)) { unsigned long new; unsigned int newfix; if (!strcmp(fixname, origfunc1)) { new = (unsigned long)newfunc1; } else { new = (unsigned long)newfunc2; } new -= fixup; newfix = (unsigned int)new; *(unsigned int *)fixup = newfix; } } return 0;} int init_module(void){ _lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name"); _get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos"); _bad_from_user = (void *)kallsyms_lookup_name("bad_from_user"); _bad_to_user = (void *)kallsyms_lookup_name("bad_to_user"); start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table"); end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table"); hook_fixup("bad_from_user", "bad_to_user", kill_user_from, kill_user_to); return 0;}void cleanup_module(void){ hook_fixup("kill_user_from", "kill_user_to", _bad_from_user, _bad_to_user);} MODULE_LICENSE("GPL");

編譯，加載，重新執(zhí)行我們的a.out：

[root@localhost test]# insmod ./fix_ex.ko[root@localhost test]# ./a.outopen: Success段錯誤[root@localhost test]# dmesg[ 8686.091738] 經(jīng)理！rush tighten beat electric discourse! SB 皮鞋[root@localhost test]#

發(fā)生了段錯誤，并且打印出了讓經(jīng)理趕緊打電話的句子。

其實，我的目的并不是這樣的，我真正的意思是，Linux的異常處理鏈表，又是一個藏污納垢的好地方，我們可以在上面的hook函數(shù)中藏一些代碼，比如說inline hook之類的，然后呢？然后靜悄悄地等待用戶態(tài)進程的bug導致異常處理被執(zhí)行。將代碼注入的時間線拉長，從而更難讓運維和經(jīng)理注意到。

讓代碼注入的時間點和模塊插入的時間點分開，讓事情更加混亂。不過，注意好隱藏模塊或者oneshot哦。