這篇文章將為大家詳細(xì)講解有關(guān)Linux內(nèi)核中如何添加新功能隱藏進(jìn)程地址空間內(nèi)存不被竊取����,文章內(nèi)容質(zhì)量較高���,因此小編分享給大家做個(gè)參考��,希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解�。
創(chuàng)新互聯(lián)堅(jiān)持“要么做到,要么別承諾”的工作理念����,服務(wù)領(lǐng)域包括:成都網(wǎng)站制作、網(wǎng)站建設(shè)��、企業(yè)官網(wǎng)���、英文網(wǎng)站����、手機(jī)端網(wǎng)站�����、網(wǎng)站推廣等服務(wù)�����,滿足客戶于互聯(lián)網(wǎng)時(shí)代的仁和網(wǎng)站設(shè)計(jì)���、移動(dòng)媒體設(shè)計(jì)的需求�����,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案�����。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴��!
首先看怎樣能獲取其它進(jìn)程地址空間的內(nèi)存���,答案是ptrace毫無(wú)疑問(wèn)了,其它比如使用crash工具,利用系統(tǒng)漏洞�����,插入模塊等邪門(mén)方法不在本篇討論范圍之內(nèi)��。
上例子:test.c
#define handle_error(msg) \ do { perror(msg); exit(EXIT_FAILURE); } while (0) int main(void) { char *p; char const str[] = "Jeff Xie\n"; p = malloc(sizeof(str)); if (!p) handle_error("malloc"); printf("p:0x%llx\n", p); memcpy(p, str, sizeof(str)); printf("str:%s\n", p); sleep(10000); return 0; }地址: https://github.com/x-lugoo/hide-memory
上面例子test.c中只是非常單純的malloc了一塊區(qū)域(堆區(qū))�,然后保存了一個(gè)字符串.
terminal 1:
#gcc test.c #./a.out p:0xd3d260 str:Jeff Xie
terminal 2:
#ps -C a.out PID TTY TIME CMD 19145 pts/4 00:00:00 a.out #cat /proc/19145/maps 00400000-00401000 r-xp /home/jeff/a.out 00600000-00601000 r--p /home/jeff/a.out 00601000-00602000 rw-p /home/jeff/a.out 00d3d000-00d5e000 rw-p [heap]
可以看到0xd3d260 在heap區(qū)域范圍內(nèi),使用readmem就可以簡(jiǎn)單粗暴的讀出了進(jìn)程19145(a.out)的0xd3d260 向后十個(gè)字節(jié)的內(nèi)容.
terminal 2:
#readmem 19145 0xd3d260 10 Jeff Xie
程序readmem使用ptrace功能實(shí)現(xiàn)��,代碼見(jiàn):
https://github.com/x-lugoo/hide-memory/tree/main/ptrace
如果進(jìn)程19145保存的不是一個(gè)普通的字符串�,而是某位皇帝留下的千年寶藏的地址,或者里面的信息關(guān)系到整個(gè)公司的命脈�����,如果被nice值不高的人獲取了,后果可想而知����。
最近有人(前輩)在linux內(nèi)核社區(qū)提交了一個(gè)patch,解決了這個(gè)問(wèn)題����,我把整個(gè)patch簡(jiǎn)化了一些。
原始patch:
https://lore.kernel.org/linux-fsdevel/20201203062949.5484-1-rppt@kernel.org/T/#t
被我簡(jiǎn)化后:
https://github.com/x-lugoo/hide-memory/blob/main/hidemem/0001-hidemem-Initialization-version.patc
此patch實(shí)現(xiàn)的原理:
新增一個(gè)系統(tǒng)調(diào)用memfd_hide, 當(dāng)用戶使用這個(gè)系統(tǒng)調(diào)用時(shí)�,會(huì)返回一個(gè)fd, 進(jìn)而使用mmap(...fd...),map一段內(nèi)存,此段內(nèi)存將是安全的�����,其它人不能通過(guò)ptrace獲取�。
--- a/arch/x86/entry/syscalls/syscall_64.tbl +++ b/arch/x86/entry/syscalls/syscall_64.tbl @@ -362,6 +362,7 @@ 438 common pidfd_getfd sys_pidfd_getfd 439 common faccessat2 sys_faccessat2 440 common process_madvise sys_process_madvise +441 common memfd_hide sys_memfd_hide SYSCALL_DEFINE1(memfd_hide, unsigned long, flags) { struct file *file; int fd, err; fd = get_unused_fd_flags(flags & O_CLOEXEC); file = hidemem_file_create(flags); fd_install(fd, file); return fd; }當(dāng)用戶調(diào)用441號(hào)系統(tǒng)調(diào)用時(shí),系統(tǒng)會(huì)返回一個(gè)fd,例如用戶層這樣調(diào)用:
#define __NR_memfd_hide 441 static int memfd_secret(unsigned long flags) { return syscall(__NR_memfd_hide, flags); } fd = memfd_secret(0);fd_install 做了以下操作,把fd和當(dāng)前進(jìn)程關(guān)聯(lián)起來(lái).
struct fdtable *fdt; struct task_struct { ... struct files_struct *files; } fdt = current->files->fdt; fdt->fd[fd] = file;hidemem_file_create 最終是返回了一個(gè)struct file, 但是做的一個(gè)很重要的動(dòng)作是初始化一系列回調(diào)函數(shù),讓用戶調(diào)用mmap和memcpy時(shí)�����,在發(fā)生page fault時(shí)進(jìn)行合適的動(dòng)作����,比如調(diào)用alloc_page(gfp)申請(qǐng)一塊內(nèi)存.
fd = memfd_secret(0); p = mmap(NULL, 4096, prot, mode, fd, 0); memcpy(p, str, sizeof(str));
追隨以下綠色標(biāo)記 可以很好理清函數(shù)調(diào)用關(guān)系:
static struct file *hidemem_file_create(unsigned long flags) { struct file *file = ERR_PTR(-ENOMEM); struct inode *inode; inode = alloc_anon_inode(hidemem_mnt->mnt_sb); file = alloc_file_pseudo(inode, hidemem_mnt, "hidemem", O_RDWR, &hidemem_fops); inode->i_mapping->a_ops = &hidemem_aops; static const struct file_operations hidemem_fops = { .release = hidemem_release, .mmap = hidemem_mmap, }; static int hidemem_mmap(struct file *file, struct vm_area_struct *vma) { vma->vm_ops = &hidemem_vm_ops; vma->vm_flags |= VM_LOCKED; } static const struct vm_operations_struct hidemem_vm_ops = { .fault = hidemem_fault, }; static vm_fault_t hidemem_fault(struct vm_fault *vmf) { struct address_space *mapping = vmf->vma->vm_file->f_mapping; vm_fault_t ret = 0; struct page *page; int err; page = find_get_page(mapping, offset); if (!page) { page = hidemem_alloc_page(vmf->gfp_mask); err = add_to_page_cache(page, mapping, offset, vmf->gfp_mask); } vmf->page = page; }static struct page *hidemem_alloc_page(gfp_t gfp) { return alloc_page(gfp); }回到怎樣隱藏進(jìn)程空間的問(wèn)題上:
當(dāng)其它進(jìn)程使用ptrace功能獲取指定進(jìn)程地址空間內(nèi)容時(shí),會(huì)調(diào)用到check_vma_flags(), 此時(shí)加上一個(gè)條件判斷����,如果此段vma(/proc/pid/maps中的每一列地址范圍屬于一個(gè)vma)屬于hidemem, 直接返回錯(cuò)誤.
static int check_vma_flags(struct vm_area_struct *vma, unsigned long gup_flags) { vm_flags_t vm_flags = vma->vm_flags; @@ -923,6 +925,9 @@ static int check_vma_flags(struct vm_area_struct *vma, unsigned long gup_flags) if (gup_flags & FOLL_ANON && !vma_is_anonymous(vma)) return -EFAULT; + if (vma_is_hidemem(vma)) + return -EFAULT; + if (write) { if (!(vm_flags & VM_WRITE)) { if (!(gup_flags & FOLL_FORCE))static const struct vm_operations_struct hidemem_vm_ops = { .fault = hidemem_fault, }; bool vma_is_hidemem(struct vm_area_struct *vma) { return vma->vm_ops == &hidemem_vm_ops; }加上vma_is_hidemem(vma)判斷之后���,此時(shí)如果使用readmem利用ptrace獲取指定進(jìn)程內(nèi)存段的時(shí)候��,會(huì)直接報(bào)錯(cuò)���,以達(dá)到隱藏vma背后page內(nèi)容的目的���。
以上patch和測(cè)試代碼都在:
https://github.com/x-lugoo/hide-memory
原始patch:
https://lore.kernel.org/linux-fsdevel/20201203062949.5484-1-rppt@kernel.org/T/#t
關(guān)于Linux內(nèi)核中如何添加新功能隱藏進(jìn)程地址空間內(nèi)存不被竊取就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助���,可以學(xué)到更多知識(shí)���。如果覺(jué)得文章不錯(cuò),可以把它分享出去讓更多的人看到�����。
新聞名稱:Linux內(nèi)核中如何添加新功能隱藏進(jìn)程地址空間內(nèi)存不被竊取
文章鏈接:
http://weahome.cn/article/jsohid.html
重慶分公司
重慶分公司
