- 1上标和下标复制大全(含0~9、字母、特殊字符)_26个迷你小字母右上角
- 2一起自学SLAM算法:第3章-OpenCV图像处理_opencv slam
- 3基于文本模式的主题模式识别_根据内容 识别主题
- 4如何通过pycharm连接Windows Subsystem for Linux (WSL)_pycharm连接wsl
- 5上传文件new Blob_new blob type参数
- 6LeetCode69. x 的平方根(C++)
- 7idea ssh远程连接阿里云服务器失败(拒绝连接)的解决方法_failed to connect to ide backend: invalid credenti
- 8什么是多进程-多线程-多协程 ----进程和多进程
- 9CocosCreator Http、WebSocket、SocketIO用法_cocos creator 网络请求
- 10LeakyReLU激活函数_leakyrelu函数
linux 定位 踩内存_通过系统调用,内核断点方法定位用户进程被内核踩内存的问题...
赞
踩
请看我的上一篇博客,https://www.cnblogs.com/xingmuxin/p/11287935.html 介绍了具体的踩内存的问题。下面我来介绍下如何通过一些手段和方法,定位内核踩内存的问题。
1、系统调用拦截
系统调用拦截的两个问题,一个是找到sys_call_table地址,一个是修改内存页的属性,让其变为可写。
1)找sys_call_table地址
我们可以通过两种方法来查找sys_call_table地址:
一、使用kallsyms_lookup_name
使用kallsyms_lookup_name函数,来读取对应的sys_call_table的地址,但是kallsyms_lookup_name这个函数能否可以被我们使用,能否在我们写的内核模块中导出。这要看内核代码中是否有加入EXPORT_SYMBOL。
使用方法
第一、在模块函数定义之后使用EXPORT_SYMBOL(函数名)
第二、在掉用该函数的模块中使用extern对之声明
第三、首先加载定义该函数的模块,再加载调用该函数的模块
通过查看内核代码,我们看到,我们自己的内核中,是有对kallsyms_lookup_name这个函数导出符号的。
EXPORT_SYMBOL_GPL(kallsyms_lookup_name);
使用的是EXPORT_SYMBOL_GPL,_GPL版本的宏定义只能使符号对GPL许可的模块可用,如果你的module的协议不是GPL, 那么EXPORT_SYMBOL_GPL导出的那些符号,你就不能用。
综上,我们要查找到sys_call_table的地址,可以这样来写代码。
MODULE_LICENSE("GPL"); /* 这个必须要加,否则不可以使用EXPORT_SYMBOL_GPL导出的符号,加载模块时,会提示unknown symbol */
extern unsigned long kallsyms_lookup_name(const char *name); /* 将kallsyms_lookup_name符号导出 */
staticint a_init(void)
{
unsignedlong p = 0UL;
p= kallsyms_lookup_name("sys_call_table");if (!p) {
printk("can not find sys_call_table");return -1;
}return 0;
}
二、读取读取/proc/kallsyms,再把值作为参数传入内核模块
/proc/kallsyms是一个特殊的文件,它并不是存储在磁盘上的文件。这个文件只有被读取的时候,才会由内核产生内容。因为这些内容是内核动态生成的,所以可以保证其中读到的地址是正确的。可以在加载模块时用脚本获取符号的地址。命令:
#cat /proc/kallsyms | grep "\" | awk '{print $1}'
2)、在修改系统调用地址时,需要修改内存内的属性
为了可以对sys_call_table所在内存地址处,进行读写,需要重新设置该地址对应的页表项的属性。物理地址本来是没有什么读写属性的,内核只通过修改物理地址对应的页表项的一些属性位来设置该物理地址的读写属性而已。下面是具体修改的过程。
static void set_addr_rw(unsigned longaddr)
{
unsignedintlevel;
pte_t*pte;
pte= lookup_address(addr, &level); /* 查找虚拟地址所在的页表地址 */
pte->pte |=_PAGE_RW; /* 设置页表读写属性 */
}static void set_addr_ro(unsigned longaddr)
{
unsignedintlevel;
pte_t*pte;
pte= lookup_address(addr, &level);
pte->pte = pte->pte &~_PAGE_RW; /* 设置只读属性 */
}
下面我们来看下,如何设置系统调用,是系统调用到我们自己写的内核函数。在模块载入的时候,先保存原有的系统调用的地址,然后再修改该地址所在页表的属性,为可写的,然后再赋值为新的我们自己的系统调用地址。
static int a_init(void)
{
unsignedlong p = 0UL;
call_table_p= kallsyms_lookup_name("sys_call_table");if (!p) {
printk("can not find sys_call_table");return -1;
}/*afs_syscall 183 is not use*/syscall_p=(unsigned long*)(p + 8*183); /* 在sys_call_table中有很多系统调用是没有实现的,我们可以占用 */
save_syscall_val= *syscall_p;
set_syscall_ptr((unsignedlong)my_syscall);return 0;
}
set_syscall_ptr这个函数的具体实现为:
static unsigned long *syscall_p = 0UL;
static unsigned long save_syscall_val = 0UL;
static void set_syscall_ptr(unsigned longval)
{
unsignedlongflags;if (save_syscall_val == 0UL || call_table_p == 0UL) {return;
}
preempt_disable(); /* 关闭内核抢占*/
local_irq_save(flags); /* 对 local_irq_save的调用将把当前中断状态保存到flags中,然后禁用当前处理器上的中断发送 */
set_addr_rw((unsignedlong)call_table_p); /* 设置sys_cal_table地址所在的内存页面为可读写*/
mb();*syscall_p =val;
mb();
set_addr_ro((unsignedlong)syscall_p);/* 设置sys_cal_table地址所在的内存页面为写保护*/
local_irq_restore(flags);
preempt_enable();
printk("new syscall 183 is %lx\n", val);
}
2、hardware breakpoint
内核由于共享内存地址空间,如果没有合适的工具,很多踩内存的问题即使复现,也无法快速定位;在新的内核版本中引入了一个新工具hardware breakpoint,其能够监视对指定的地址的特定类型(读/写)的数据访问,有利于该类问题的定位;https://blog.csdn.net/phenix_lord/article/details/41415559
下面,我们再来看一下我们替换的这个my_syscall的具体实现。
static unsigned long g_pid;
static unsigned long g_addr;
struct perf_event * __percpu *sample_hbp;
static void sample_hbp_handler(struct perf_event *bp, struct perf_sample_data *data, struct pt_regs *regs)
{
printk("%lu, %016lx value is changed\n", g_pid, g_addr);
dump_stack();
}
asmlinkage long my_syscall(unsigned longaddr) /* 通过堆栈而不是通过寄存器传递参数 */
{int ret = 0;structperf_event_attr attr;
g_pid= (unsigned long)task_tgid_vnr(current);
g_addr=addr;
hw_breakpoint_init(&attr);
attr.bp_addr=addr; /* 待监视的地址 */
attr.bp_len=HW_BREAKPOINT_LEN_4;
attr.bp_type=HW_BREAKPOINT_W; /* 待监视的访问类型 */if(sample_hbp)
unregister_wide_hw_breakpoint(sample_hbp); /* 内核对断点数量有限制,为4,所以要及时释放 */
sample_hbp= register_wide_hw_breakpoint(&attr, sample_hbp_handler, NULL);if (IS_ERR((void __force *)sample_hbp)) {
ret= PTR_ERR((void __force *)sample_hbp);
sample_hbp=NULL;
printk("Breakpoint registration failed\n");returnret;
}
printk("%lu, %016lx write installed\n", g_pid, g_addr);return 0;
}
最后,在模块卸载时要做如下操作:
static void a_exit(void)
{
set_syscall_ptr(save_syscall_val);if(sample_hbp)
unregister_wide_hw_breakpoint(sample_hbp);
}
module_init(a_init);
module_exit(a_exit);
