Linux内核如何私闯进程地址空间并修改进程内存

进程地址空间的隔离 是现代操作系统的一个显著特征。这也是区别于 “古代”操作系统 的显著特征。

进程地址空间隔离意味着进程P1无法以随意的方式访问进程P2的内存，除非这块内存被声明是共享的。

这非常容易理解，我举个例子。

我们知道，在原始野人社会，是没有家庭的观念的，所有的资源都是部落内共享的，所有的野人都可以以任意的方式在任意时间和任何其他野人交互。类似Dos这样的操作系统就是这样的，内存地址空间并没有隔离。进程可以随意访问其它进程的内存。

后来有了家庭的观念，家庭的资源被隔离，人们便不能私闯民宅了，人们无法以随意的方式进入别人的家用别人的东西，除非这是主人允许的。操作系统进入现代模式后，进程也有了类似家庭的概念。

但家庭的概念是虚拟的，人们只是遵守约定而不去破坏别人的家庭。房子作为一个物理基础设施，保护着家庭。在操作系统中，家庭类似于虚拟地址空间，而房子就是页表。

邻居不能闯入你的房子，但特权管理机构只要理由充分，就可以进入普通人家的房子，touch这家人的东西。对于操作系统而言，这就是内核可以做的事，内核可以访问任意进程的地址空间。

当然了，内核并不会无故私闯民宅，就像警察不会随意闯入别人家里一样。

但是，你可以让内核故意这么做，做点无赖的事情。

我们来试一下，先看一个程序：

1. // test.c

2. // gcc test.c -o test

3. #include <stdio.h>

4. #include <stdlib.h>

5. #include <string.h>

6. #include <unistd.h>

7. #include <sys/mman.h>

8. 
   

9. int main()

10. {

11. char* addr = mmap(NULL, 1024, PROT_READ | PROT_WRITE, MAP_PRIVATE | MAP_ANONYMOUS, -1, 0);

12. strcpy(addr, "Zhejiang wenzhou pixie shi");

13. 
    

14. printf("addr: %lu pid:%d\n", addr, getpid());

15. 
    

16. printf("before:%s \n", addr);

17. 
    

18. getchar();

19. 
    

20. printf("after:%s\n", addr);

21. 
    

22. return 0;

23. }

这个程序的输出非常简单，before和after都会输出 “Zhejiang wenzhou pixie shi”，但是我们想把这句话给改了，怎么办呢？显然，test进程如果自己不改它，那就没辙...但是可以让内核强制改啊，让内核私闯民宅就是了。

接下来我写一个内核模块：

1. // test.c

2. // make -C /lib/modules/`uname -r`/build SUBDIRS=`pwd` modules

3. #include <linux/mm.h>

4. #include <linux/sched.h>

5. #include <linux/module.h>

6. 
   

7. static int pid = 1;

8. module_param(pid, int, 0644);

9. 
   

10. static unsigned long addr = 0;

11. module_param(addr, long, 0644);

12. 
    

13. // 根据一个进程的虚拟地址找到它的页表，相当于找到这家人的房子地址，然后闯入！

14. static pte_t* get_pte(struct task_struct *task, unsigned long address)

15. {

16. pgd_t* pgd;

17. pud_t* pud;

18. pmd_t* pmd;

19. pte_t* pte;

20. struct mm_struct *mm = task->mm;

21. 
    

22. pgd = pgd_offset(mm, address);

23. if(pgd_none(*pgd) || pgd_bad(*pgd))

24. return NULL;

25. 
    

26. pud = pud_offset(pgd, address);

27. if(pud_none(*pud) || pud_bad(*pud))

28. return NULL;

29. 
    

30. pmd = pmd_offset(pud, address);

31. if(pmd_none(*pmd) || pmd_bad(*pmd))

32. return NULL;

33. 
    

34. pte = pte_offset_kernel(pmd, address);

35. if(pte_none(*pte))

36. return NULL;

37. 
    

38. return pte;

39. }

40. 
    

41. static int test_init(void)

42. {

43. struct task_struct *task;

44. pte_t* pte;

45. struct page* page;

46. 
    

47. // 找到这家人

48. task = pid_task(find_pid_ns(pid, &init_pid_ns), PIDTYPE_PID);

49. // 找到这家人住在哪里

50. if(!(pte = get_pte(task, addr)))

51. return -1;

52. 
    

53. page = pte_page(*pte);

54. // 强行闯入

55. addr = page_address(page);

56. // sdajgdoiewhgikwnsviwgvwgvw

57. strcpy(addr, (char *)"rain flooding water will not get fat!");

58. // 事了拂衣去，深藏功与名

59. return 0;

60. }

61. 
    

62. static void test_exit(void)

63. {

64. }

65. 
    

66. module_init(test_init);

67. module_exit(test_exit);

68. MODULE_LICENSE("GPL");

来来来，我们来试一下：

1. [root@10 page_replace]# ./test

2. addr: 140338535763968 pid:9912

3. before:Zhejiang wenzhou pixie shi

此时，我们加载内核模块test.ko

1. [root@10 test]# insmod test.ko pid=9912 addr=140338535763968

2. [root@10 test]#

在test进程拍入回车：

1. [root@10 page_replace]# ./test

2. addr: 140338535763968 pid:9912

3. before:Zhejiang wenzhou pixie shi

4. 
   

5. after:rain flooding water will not get fat!

6. [root@10 page_replace]#

显然，“浙江温州皮鞋湿”被改成了“下雨进水不会胖”。

仔细看上面那个内核模块的 get_pte 函数，这个函数要想写对，你必须对你想蹂躏的进程所在的机器的MMU有一定的了解，比如是32位系统还是64位系统，是3级页表还是4级页表或者5级？这...

Linux的可玩性在于你可以自己动手，又可以让人代劳。比如，获取一个进程的虚拟地址的页表项指示的物理页面，就可以直接得到。

有这样的API吗？有啊，别忘了一切皆文件，恰好在proc文件系统中，就有这么一个文件：

• /proc/$pid/pagemap

读取这个文件，得到的就是进程虚拟地址的页表项，下图截自内核Doc：Documentation/vm/pagemap.txt

虚拟地址空间是每进程的，而物理地址空间则是所有进程共享的。换句话说，物理地址是全局的。

现在，根据Documentation/vm/pagemap.txt的解释，写一个程序，获取任意进程任意虚拟地址的全局物理地址：

1. // getphys.c

2. // gcc getphys -o getphys

3. #include <fcntl.h>

4. #include <stdio.h>

5. #include <stdlib.h>

6. 
   

7. int main(int argc, char **argv)

8. {

9. int fd;

10. int pid;

11. unsigned long pte;

12. unsigned long addr;

13. unsigned long phy_addr;

14. char procbuf[64] = {0};

15. 
    

16. pid = atoi(argv[1]);

17. addr = atol(argv[2]);

18. 
    

19. sprintf(procbuf, "/proc/%d/pagemap", pid);

20. 
    

21. fd = open(procbuf, O_RDONLY);

22. size_t offset = (addr/4096) * sizeof(unsigned long);

23. lseek(fd, offset, SEEK_SET);

24. 
    

25. read(fd, &pte, sizeof(unsigned long));

26. 
    

27. phy_addr = (pte & ((((unsigned long)1) << 55) - 1))*4096 + addr%4096;

28. printf("phy addr:%lu\n", phy_addr);

29. 
    

30. return 0;

31. }

随后，我们修改内核模块：

1. #include <linux/module.h>

2. 
   

3. static unsigned long addr = 0;

4. module_param(addr, long, 0644);

5. 
   

6. static int test_init(void)

7. {

8. strcpy(phys_to_virt(addr), (char *)"rain flooding water will not get fat!");

9. return 0;

10. }

11. 
    

12. static void test_exit(void)

13. {

14. }

15. 
    

16. module_init(test_init);

17. module_exit(test_exit);

18. 
    

19. MODULE_LICENSE("GPL");

先运行test，然后根据test的输出作为getphys的输入，再根据getphys的输出作为内核模块test.ko的输入，就成了。还记得吗？这不就是管道连接多个程序的风格吗？

输入一个物理地址，然后把它改了，仅此而已。通过虚拟地址获取页表的操作已经由用户态的pagemap文件的读取并解析代劳了。

浙江温州皮鞋湿，下雨进水不会胖。

（完）

      Linux阅码场原创精华文章汇总

更多精彩，尽在"Linux阅码场"，扫描下方二维码关注

你的随手转发或点个在看是对我们最大的支持！