Linux описание на системните извиквания на ядрото. Man syscalls (2): Системни повиквания на Linux
Най-често кодът за системно извикване с номер __NR_xxx, дефиниран в /usr/include/asm/unistd.h, може да се намери в програмен кодядрото на linux във функция sys_xxx(). (Таблицата за повиквания за i386 може да бъде намерена в /usr/src/linux/arch/i386/kernel/entry.S.) Има много изключения от това правило, главно поради факта, че повечето от старите системни повиквания се заменят с нови и без никаква система. На платформи със собствена емулация на OS, като parisc, sparc, sparc64 и alpha, има много допълнителни системни извиквания; mips64 също има пълен набор от 32-битови системни извиквания.
С течение на времето е имало промени в интерфейса на някои системни повиквания, ако е необходимо. Една от причините за тези промени беше необходимостта от увеличаване на размера на структурите или скаларните стойности, предавани на системно повикване. Поради тези промени на някои архитектури (а именно на стария 32-битов i386) се появиха различни групи от подобни системни извиквания (например, съкращавам(2) и truncate64(2)), които изпълняват едни и същи задачи, но се различават по размера на техните аргументи. (Както беше отбелязано, приложенията не са засегнати: обвивките на glibc вършат известна работа, за да задействат правилното системно извикване и това гарантира ABI съвместимост за по-стари двоични файлове.) Примери за системни извиквания, които имат множество версии:
*В момента има три различни версии статистика(2): sys_stat() (място __NR_oldstat), sys_newstat() (място __NR_stat) И sys_stat64() (място __NR_stat64), последното се използва в този момент. Подобна ситуация с lstat(2) и fstat(2). * Определено по подобен начин __NR_старо име, __NR_старо имеИ __NR_unameза разговори sys_старо име(), sys_uname() И sys_ново име(). * В Linux 2.0 се появи нова версия vm86(2) се наричат новата и старата версия на ядрените процедури sys_vm86old() И sys_vm86(). * Linux 2.4 има нова версия getrlimit(2) извикват се новата и старата версия на ядрените процедури sys_old_getrlimit() (място __NR_getrlimit) И sys_getrlimit() (място __NR_ugetrlimit). * В Linux 2.4 размерът на полето за идентификатор на потребител и група е увеличен от 16 на 32 бита. Няколко системни извиквания са добавени в подкрепа на тази промяна (напр. chown32(2), getuid32(2), getgroups32(2), setresuid32(2)), отхвърляйки по-ранни извиквания със същите имена, но без наставката "32". * Linux 2.4 добави поддръжка за достъп до големи файлове (чиито размери и отмествания не се побират в 32 бита) в приложения на 32-битова архитектура. Това изисква промени в системните извиквания, които работят с размери на файлове и отмествания. Добавени са следните системни повиквания: fcntl64(2), getdents64(2), статистика64(2), statfs64(2), truncate64(2) и техните двойници, които обработват файлови дескриптори или символни връзки. Тези системни повиквания премахват старите системни повиквания, които, с изключение на повикванията "stat", се наричат по същия начин, но нямат суфикс "64".
На по-новите платформи, които имат само 64-битов достъп до файлове и 32-битов UID/GID (напр. alpha, ia64, s390x, x86-64), има само една версия на системните извиквания за UID/GID и достъп до файлове. На платформи (обикновено 32-битови платформи), които имат *64 и *32 повиквания, другите версии са остарели.
* Предизвикателства rt_sig*добавен към ядрото 2.2 за поддръжка на допълнителни сигнали в реално време (вижте сигнал(7)). Тези системни извиквания отхвърлят старите системни извиквания със същото име, но без префикса "rt_". * При системни повиквания изберете(2) и mmap(2) използвани са пет или повече аргумента, което създава проблеми при определяне на това как аргументите са били предадени на i386. В резултат на това, докато на други архитектури разговори sys_select() И sys_mmap() съвпада __NR_изборИ __NR_mmap, на i386 отговарят на old_select() И old_mmap() (процедури, използващи указател към блок от аргументи). В момента вече няма проблем с предаването на повече от пет аргумента и има __NR__новоизбор, което съвпада точно sys_select(), и същата ситуация с __NR_mmap2.
ВЛАДИМИР МЕШКОВ
Прихващане на системни повиквания в Linux OS
През последните години операционната система Linux твърдо зае водеща роля като сървърна платформа, изпреварвайки много търговски разработки. Проблеми със защитата обаче информационни системи, изградени на базата на тази ОС, не престават да бъдат актуални. Съществува голям брой технически средства, както софтуер, така и хардуер, които ви позволяват да гарантирате сигурността на системата. Това са инструменти за криптиране на данни и мрежов трафик, разграничаване на правата за достъп до информационни ресурси, защита електронна поща, уеб сървъри, антивирусна защита, и т.н. Списъкът, както разбирате, е доста дълъг. В тази статия ви предлагаме да разгледате защитен механизъм, базиран на прихващане на системни повиквания на операционната система. Linux системи. Този механизъм ви позволява да поемете контрол върху работата на всяко приложение и по този начин да предотвратите възможни разрушителни действия, които то може да извърши.
Системни повиквания
Да започнем с определение. Системните повиквания са набор от функции, реализирани в ядрото на ОС. Всяка заявка от приложението на потребителя в крайна сметка се превежда в системно повикване, което изпълнява исканото действие. Пълен списък на системните извиквания на Linux OS може да бъде намерен във файла /usr/include/asm/unistd.h. Нека да разгледаме общия механизъм за извършване на системни повиквания с пример. Нека източникът на приложението извика функцията creat(), за да създаде нов файл. Компилаторът, след като е срещнал извикване на тази функция, го преобразува в код на асемблер, зареждайки номера на системното извикване, съответстващ на тази функция, и нейните параметри в регистрите на процесора и след това извиква прекъсване 0x80. Следните стойности се зареждат в регистрите на процесора:
- към EAX регистър– номер на системно повикване. Така че, за нашия случай, номерът на системното повикване ще бъде 8 (вижте __NR_creat);
- към EBX регистър– първият параметър на функцията (за creat това е указател към низ, съдържащ името на създадения файл);
- към ECX регистъра– втори параметър (права за достъп до файл).
Третият параметър се зарежда в EDX регистъра, в този случай го нямаме. За да се изпълни системно повикване в Linux OS, се използва функцията system_call, която е дефинирана във файла /usr/src/liux/arch/i386/kernel/entry.S. Тази функция е входната точка за всички системни повиквания. Ядрото отговаря на прекъсването 0x80, като извиква функцията system_call, която по същество е манипулатор на прекъсване 0x80.
За да сме сигурни, че сме на прав път, нека напишем малък тестов фрагмент на асемблер. В него ще видим в какво се превръща функцията creat() след компилация. Нека именуваме файла test.S. Ето съдържанието му:
Globl_start
Текст
начало:
Заредете номера на системното повикване в EAX регистъра:
movl $8, %eax
Към регистъра EBX - първият параметър, указател към низ с името на файла:
movl $ име на файл, %bx
В регистъра ECX - вторият параметър, права за достъп:
movl $0, %ecx
Ние наричаме прекъсване:
int $0x80
Излизаме от програмата. За да направите това, извикайте функцията exit(0):
movl $1, %eax movl $0, %ebx int $0x80
В сегмента с данни посочете името на файла, който ще бъде създаден:
Данни
име на файл: .string "file.txt"
Компилиране:
gcc -c тест.S
ld -s -o тест тест.о
Тестът на изпълнимия файл ще се появи в текущата директория. Изпълнявайки го, ние ще създаваме нов файлс име file.txt.
Сега да се върнем към механизма за системни повиквания. И така, ядрото извиква манипулатора на прекъсвания 0x80 - функцията system_call. System_call избутва копия на регистрите, съдържащи параметри за повикване, в стека с помощта на макроса SAVE_ALL и извиква желаната системна функция с командата за извикване. Таблицата с указатели към функции на ядрото, които изпълняват системни извиквания, се намира в масива sys_call_table (вижте файла arch/i386/kernel/entry.S). Номерът на системното повикване, който е в EAX регистъра, е индексът в този масив. Така, ако стойността 8 е в EAX, ще бъде извикана функцията на ядрото sys_creat(). Защо е необходим макросът SAVE_ALL? Обяснението тук е много просто. Тъй като почти всички системни функции на ядрото са написани на C, те търсят своите параметри в стека. И параметрите се изпращат в стека с помощта на макроса SAVE_ALL! Върнатата стойност на системното извикване се съхранява в EAX регистъра.
Сега нека разберем как да прихванем системното повикване. Механизмът на зареждаемите модули на ядрото ще ни помогне с това. Въпреки че по-рано обсъдихме разработването и използването на модули на ядрото, от съображения за последователност, ще разгледаме накратко какво представлява модулът на ядрото, от какво се състои и как взаимодейства със системата.
Зареждаем модул на ядрото
Зареждаемият модул на ядрото (нека го обозначим с LKM - Зареждаем модул на ядрото) е програмен код, който се изпълнява в пространството на ядрото. Основната характеристика на LKM е възможността за динамично зареждане и разтоварване без необходимост от рестартиране на цялата система или повторно компилиране на ядрото.
Всеки LKM се състои от две основни функции (минимум):
- функция за инициализация на модула. Извиква се, когато LKM се зареди в паметта:
int init_module(void) ( ... )
- функция за разтоварване на модула:
void cleanup_module(void) ( ... )
Ето пример за прост модул:
#define МОДУЛ
#включи
init_module(void)
printk("Здравей свят");
връщане 0;
void cleanup_module(void)
printk("от");
Компилирайте и заредете модула. Зареждането на модул в паметта се извършва от командата insmod:
gcc -c -O3 helloworld.c
insmod helloworld.o
Информация за всички модули, заредени в момента в системата, се намира във файла /proc/modules. За да сте сигурни, че модулът е зареден, напишете cat /proc/modules или lsmod. Командата rmmod разтоварва модул:
rmmod здравей свят
Алгоритъм за прихващане на системни повиквания
За да се реализира модул, който прихваща системно повикване, е необходимо да се дефинира алгоритъм за прихващане. Алгоритъмът е следният:
- запишете указател към оригиналното (оригиналното) повикване, за да може да бъде възстановено;
- създаване на функция, която реализира ново системно извикване;
- замени повикванията в таблицата на системните повиквания sys_call_table, т.е. настройте подходящ указател към новото системно извикване;
- в края на работата (когато модулът е разтоварен), възстановете оригиналното системно повикване, като използвате предварително запазения указател.
Проследяването ви позволява да разберете кои системни извиквания са включени, когато потребителското приложение работи. Чрез проследяване можете да определите кое системно повикване трябва да бъде прихванато, за да поемете контрола над приложението. Пример за използване на програмата за проследяване ще бъде разгледан по-долу.
Сега имаме достатъчно информация, за да започнем да изучаваме примери за реализации на модули, които прихващат системни повиквания.
Примери за прихващане на системни повиквания
Забранете създаването на директории
Когато се създаде директория, се извиква функцията на ядрото sys_mkdir. Параметърът е низ, съдържащ името създадена директория. Помислете за кода, който прихваща съответното системно извикване.
#включи
#включи
#включи
Експортиране на таблицата на системните повиквания:
extern void *sys_call_table;
Нека дефинираме указател за съхраняване на оригиналното системно извикване:
int (*orig_mkdir)(const char *path);
Нека създадем собствено системно извикване. Нашето извикване не прави нищо, само връща нула:
int own_mkdir(const char *path)
връщане 0;
По време на инициализацията на модула запазваме указателя към оригиналното повикване и заместваме системното повикване:
int init_module()
orig_mkdir=sys_call_table;
sys_call_table=собствен_mkdir; връщане 0;
При разтоварване възстановяваме оригиналното повикване:
void cleanup_module()
Sys_call_table=orig_mkdir;
Ще запазим кода във файла sys_mkdir_call.c. За да получите обектния модул, нека създадем Makefile със следното съдържание:
CC=gcc
CFLAGS=-O3 -Wall -fomit-frame-pointer
sys_mkdir_call.o: sys_mkdir_call.c
$(CC) -c $(CFLAGS) $(MODFLAGS) sys_mkdir_call.c
Командата make ще създаде модул на ядрото. След като го заредим, ще се опитаме да създадем директория с командата mkdir. Както можете да видите, нищо не се случва. Командата не работи. За да възстановите функционалността му, е достатъчно да разтоварите модула.
Предотвратяване на четене на файл
За да прочетете файл, той първо трябва да бъде отворен с функцията за отваряне. Лесно е да се досетите, че тази функция съответства на системното извикване sys_open. Чрез прихващането му можем да защитим файла от четене. Помислете за внедряването на модула за прихващане.
#включи
#включи
#включи
#включи
#включи
#включи
#включи
extern void *sys_call_table;
Указател за запазване на оригиналното системно повикване:
int (*orig_open)(const char *pathname, int флаг, int режим);
Първият параметър на функцията за отваряне е името на файла за отваряне. Новото системно извикване трябва да сравни този параметър с името на файла, който искаме да защитим. Ако имената съвпадат, ще бъде симулирана грешка при отваряне на файл. Нашето ново системно повикване изглежда така:
int own_open(const char *pathname, int флаг, int режим)
Тук поставяме името на файла, който ще отворим:
char *път на_ядрото;
Името на файла, който искаме да защитим:
char hide="test.txt"
Разпределете памет и копирайте там името на файла, който ще отворите:
kernel_path=(char *)kmalloc(255,GFP_KERNEL);
copy_from_user(път на_ядрото, пътека, 255);
Сравнете:
if(strstr(kernel_path,(char *)&hide) != NULL) (
Освобождаваме памет и връщаме код за грешка, ако имената съвпадат:
безплатен (път_на_ядрото);
връщане -ENOENT;
иначе(
Ако имената не съвпадат, извикваме оригиналното системно извикване, за да изпълним стандартната процедура за отваряне на файл:
безплатен (път_на_ядрото);
връщане orig_open(път, флаг, режим);
int init_module()
orig_open=sys_call_table;
sys_call_table=own_open;
връщане 0;
void cleanup_module()
sys_call_table=orig_open;
Нека запазим кода във файла sys_open_call.c и създадем Makefile, за да получим обектния модул:
CC=gcc
CFLAGS=-O2 -Wall -fomit-frame-pointer
MODFLAGS = -D__KERNEL__ -DMODULE -I/usr/src/linux/include
sys_open_call.o: sys_open_call.c
$(CC) -c $(CFLAGS) $(MODFLAGS) sys_open_call.c
В текущата директория създайте файл, наречен test.txt, заредете модула и въведете командата cat test.txt. Системата ще съобщи, че няма файл с това име.
Честно казано, такава защита е лесна за заобикаляне. Достатъчно е да преименувате файла с командата mv и след това да прочетете съдържанието му.
Скриване на запис на файл в директория
Нека да определим кое системно повикване отговаря за четенето на съдържанието на директорията. За да направим това, ще напишем друг тестов фрагмент, който чете текущата директория:
/* Файл dir.c*/
#включи
#включи
int main()
DIR*d;
struct директория *dp;
d = opendir(".");
dp = readdir(d);
връщане 0;
Вземете изпълнимия модул:
gcc -o dir dir.c
и го проследи:
strace ./реж
Нека да разгледаме предпоследния ред:
getdents(6, /* 4 записа*/, 3933) = 72;
Съдържанието на директорията се чете от функцията getdents. Резултатът се съхранява като списък от struct dirent структури. Вторият параметър на тази функция е указател към този списък. Функцията връща дължината на всички записи в директорията. В нашия пример функцията getdents определи, че има четири записа в текущата директория – „.“, „..“ и нашите два файла, изпълнимия модул и изходния код. Дължината на всички записи в директорията е 72 байта. Информацията за всеки запис се съхранява, както казахме, в структурата struct dirent. Ние се интересуваме от две полета на тази структура:
- d_reclen– рекорден размер;
- d_name- име на файл.
За да скриете запис във файл (с други думи, да го направите невидим), трябва да прихванете системното извикване sys_getdents, да намерите съответния запис в списъка с получени структури и да го изтриете. Помислете за кода, който изпълнява тази операция (авторът на оригиналния код е Михал Залевски):
extern void *sys_call_table;
int (*orig_getdents)(u_int, struct dirent *, u_int);
Нека дефинираме нашето системно извикване.
int own_getdents(u_int fd, struct dirent *dirp, u_int count)
неподписан int tmp, n;
int t;
Присвояването на променливите ще бъде показано по-долу. Освен това се нуждаем от структури:
struct dirent *dirp2, *dirp3;
Името на файла, който искаме да скрием:
char hide="нашия.файл";
Определете дължината на записите в директорията:
tmp=(*orig_getdents)(fd,dirp,count);
ако (tmp>0)(
Нека отделим памет за структурата в пространството на ядрото и да копираме съдържанието на директорията в нея:
dirp2=(struct dirent *)kmalloc(tmp,GFP_KERNEL);
копиране_от_потребител(dirp2,dirp,tmp);
Нека използваме втората структура и да запазим стойността на дължината на записите в директорията:
dirp3=dirp2;
t=tmp;
Нека започнем да търсим нашия файл:
докато (t>0) (
Прочитаме дължината на първия запис и определяме оставащата дължина на записите в директорията:
n=dirp3->d_reclen;
t=n;
Проверяваме дали името на файла от текущия запис съвпада с това, което търсим:
if(strstr((char *)&(dirp3->d_name),(char *)&hide) != NULL) (
Ако е така, презаписваме записа и изчисляваме нова стойност за дължината на записите в директорията:
memcpy(dirp3,(char *)dirp3+dirp3->d_reclen,t);
tmp-=n;
Позиционирайте показалеца към следващия запис и продължете да търсите:
dirp3=(struct dirent *)((char *)dirp3+dirp3->d_reclen);
Връщаме резултата и освобождаваме паметта:
copy_to_user(dirp,dirp2,tmp);
безплатно (dirp2);
Връщаме стойността на дължината на записите в директорията:
връщане tmp;
Функциите за инициализация и разтоварване на модула имат стандартна форма:
init_module(void)
orig_getdents=sys_call_table;
sys_call_table=own_getdents;
връщане 0;
void cleanup_module()
sys_call_table=orig_getdents;
Нека запазим изходния текст във файла sys_call_getd.c и създадем Makefile със следното съдържание:
CC=gcc
модул = sys_call_getd.o
CFLAGS = -O3 -стена
linux=/usr/src/linux
MODFLAGS = -D__KERNEL__ -DMODULE -I$(LINUX)/include
sys_call_getd.o: sys_call_getd.c $(CC) -c
$(CFLAGS) $(MODFLAGS) sys_call_getd.c
Нека създадем our.file в текущата директория и да заредим модула. Файлът изчезва, което трябваше да се докаже.
Както разбирате, не е възможно да се разгледа пример за прихващане на всяко системно повикване в рамките на една статия. Ето защо, за тези, които се интересуват от този въпрос, препоръчвам да посетят сайтовете:
Там можете да намерите по-сложни и интересни примери за прихващане на системни повиквания. Пишете за всички коментари и предложения във форума на списанието.
При изготвянето на статията са използвани материали от сайта
Този материал е модификация на едноименната статия на Владимир Мешков, публикувана в списание "Системен администратор"
Този материал е копие на статии на Владимир Мешков от списание "Системен администратор". Тези статии могат да бъдат намерени на връзките по-долу. Също така някои примери за изходни текстове на програмата бяха променени - подобрени, финализирани. (Пример 4.2 е силно модифициран, тъй като трябваше да бъде прихванато малко по-различно системно повикване) URL адреси: http://www.samag.ru/img/uploaded/p.pdf http://www.samag.ru/img/ качен/a3.pdf
Имате въпроси? Тогава сте тук: [имейл защитен]
- 2. Зареждаем модул на ядрото
- 4. Примери за прихващане на системни повиквания, базирани на LKM
- 4.1 Деактивирайте създаването на директория
1. Общ изглед на Linux архитектурата
Най-общият изглед ни позволява да видим двустепенен модел на системата. ядро<=>progs В центъра (отляво) е ядрото на системата. Ядрото взаимодейства директно с компютърния хардуер, като изолира приложните програми от архитектурните характеристики. Ядрото има набор от услуги, предоставени на приложните програми. Услугите на ядрото включват I/O операции (отваряне, четене, писане и управление на файлове), създаване и управление на процеси, тяхното синхронизиране и междупроцесна комуникация. Всички приложения изискват услуги на ядрото чрез системни повиквания.Второто ниво се състои от приложения или задачи, както системни, които определят функционалността на системата, така и приложни, които осигуряват потребителския интерфейс на Linux. Въпреки външната хетерогенност на приложенията обаче, схемите за взаимодействие с ядрото са еднакви.
Взаимодействието с ядрото се осъществява чрез стандартния интерфейс за системни повиквания. Интерфейсът за системни повиквания е набор от услуги на ядрото и определя формата на заявките за услуги. Процес изисква услуга чрез системно извикване на конкретна процедура на ядрото, което изглежда като обикновено извикване на библиотечна функция. Ядрото изпълнява заявката от името на процеса и връща необходимите данни на процеса.
В горния пример програмата отваря файл, чете данни от него и затваря файла. В този случай операцията за отваряне (open), четене (read) и затваряне (close) на файл се извършва от ядрото по искане на задачата, а отварянето (2), четенето (2) и затварянето (2 ) функциите са системни повиквания.
/* Източник 1.0 */ #include
- към регистъра EAX - номерът на системното повикване. И така, за нашия случай номерът на системното повикване е 5 (вижте __NR_open).
- към регистъра EBX - първият параметър на функцията (за open() е указател към низ, съдържащ името на файла, който се отваря.
- към регистъра ECX - вторият параметър (права за достъп до файл)
За да сме сигурни, че сме на прав път, нека да разгледаме кода за функцията open() в системната библиотека на libc:
# gdb -q /lib/libc.so.6 (gdb) disas open Дъмп на асемблерния код за отворена функция: 0x000c8080
Сега да се върнем към механизма за системни повиквания. И така, ядрото извиква манипулатора на прекъсвания 0x80 - функцията system_call. System_call избутва копия на регистри, съдържащи параметри за повикване, в стека с помощта на макроса SAVE_ALL и извиква желаната системна функция с командата за извикване. Таблицата с указатели към функции на ядрото, които изпълняват системни извиквания, се намира в масива sys_call_table (вижте файла arch/i386/kernel/entry.S). Номерът на системното повикване, който се намира в EAX регистъра, е индексът в този масив. Така, ако EAX съдържа стойност 5, ще бъде извикана функцията на ядрото sys_open(). Защо е необходим макросът SAVE_ALL? Обяснението тук е много просто. Тъй като почти всички системни функции на ядрото са написани на C, те търсят своите параметри в стека. И параметрите се избутват в стека с SAVE_ALL! Върнатата стойност на системното извикване се съхранява в EAX регистъра.
Сега нека разберем как да прихванем системното повикване. Механизмът на зареждаемите модули на ядрото ще ни помогне с това.
2. Зареждаем модул на ядрото
Зареждаем модул на ядрото (LKM - зареждаем модул на ядрото) е код, който се изпълнява в пространството на ядрото. Основната характеристика на LKM е възможността за динамично зареждане и разтоварване без необходимост от рестартиране на цялата система или повторно компилиране на ядрото.Всеки LKM се състои от две основни функции (минимум):
- функция за инициализация на модула. Извиква се, когато LKM се зареди в паметта: int init_module(void) ( ... )
- функция за разтоварване на модул: void cleanup_module(void) ( ... )
3. Алгоритъм за прихващане на системно повикване на базата на LKM
За да се реализира модул, който прихваща системно повикване, е необходимо да се дефинира алгоритъм за прихващане. Алгоритъмът е следният:- запишете указател към оригиналното (оригиналното) повикване, за да може да бъде възстановено
- създайте функция, която реализира новото системно извикване
- заместване на повикванията в таблицата на системните повиквания sys_call_table, т.е. задаване на съответния указател към ново системно извикване
- в края на работата (когато модулът е разтоварен), възстановете оригиналното системно повикване, като използвате предварително запазения указател
4. Примери за прихващане на системни повиквания, базирани на LKM
4.1 Деактивирайте създаването на директория
Когато се създаде директория, се извиква функцията на ядрото sys_mkdir. Параметърът е низ, съдържащ името на директорията, която ще бъде създадена. Помислете за кода, който прихваща съответното системно извикване. /* Източник 4.1 */ #include4.2 Скриване на запис на файл в директория
Нека да определим кое системно повикване отговаря за четенето на съдържанието на директорията. За да направим това, ще напишем друг тестов фрагмент, който чете текущата директория: /* Източник 4.2.1 */ #include- d_reclen - рекорден размер
- d_name - име на файл
5. Метод за директен достъп до адресното пространство на ядрото /dev/kmem
Нека първо да разгледаме теоретично как се извършва прихващането чрез метода на директен достъп до адресното пространство на ядрото и след това да преминем към практическо изпълнение.Директният достъп до адресното пространство на ядрото се осигурява от файла на устройството /dev/kmem. Този файл показва цялото налично виртуално адресно пространство, включително суап дяла (swap-област). За работа с kmem файл се използват стандартни системни функции - open(), read(), write(). Отваряйки /dev/kmem по стандартния начин, можем да се обърнем към всеки адрес в системата, като го зададем като отместване в този файл. Този методе проектиран от Силвио Чезаре.
Системните функции се осъществяват чрез зареждане на функционалните параметри в регистрите на процесора и след това извикване на софтуерно прекъсване 0x80. Манипулаторът за това прекъсване, функцията system_call, избутва параметрите на извикването в стека, извлича адреса на извиканата системна функция от таблицата sys_call_table и прехвърля контрола на този адрес.
С пълен достъп до адресното пространство на ядрото можем да получим цялото съдържание на таблицата на системните повиквания, т.е. адреси на всички системни функции. Променяйки адреса на всяко системно повикване, ние го прихващаме. Но за това трябва да знаете адреса на таблицата или, с други думи, отместването във файла /dev/kmem, където се намира тази таблица.
За да определите адреса на таблицата sys_call_table, първо трябва да изчислите адреса на функцията system_call. Тъй като дадена функцияе манипулатор на прекъсвания, нека да разгледаме как се обработват прекъсванията в защитен режим.
В реален режим, когато регистрира прекъсване, процесорът има достъп до векторната таблица на прекъсванията, която винаги е в самото начало на паметта и съдържа двусловни адреси на манипулатори на прекъсвания. В защитен режим аналогът на векторната таблица на прекъсванията е Interrupt Descriptor Table (IDT), намираща се в операционната система на защитения режим. За да може процесорът да има достъп до тази таблица, неговият адрес трябва да бъде зареден в регистъра на таблицата с дескриптори на прекъсвания (IDTR). Таблицата IDT съдържа дескриптори на манипулатори на прекъсвания, които по-специално включват техните адреси. Тези дескриптори се наричат шлюзове (шлюзове). Процесорът, регистрирайки прекъсване, извлича шлюза от IDT по неговия номер, определя адреса на манипулатора и прехвърля управлението към него.
За да се изчисли адреса на функцията system_call от таблицата IDT, е необходимо да се извлече gate за прекъсване int $0x80, а от него адреса на съответния манипулатор, т.е. адрес на функцията system_call. Във функцията system_call таблицата system_call_table е достъпна чрез командата call<адрес_таблицы>(,%eax,4). След като намерихме кода на операцията (сигнатурата) на тази команда във файла /dev/kmem, ще намерим и адреса на таблицата на системните повиквания.
За да определим кода на операцията, нека използваме дебъгера и разглобим функцията system_call:
# gdb -q /usr/src/linux/vmlinux (gdb) disas system_call Дъмп на асемблерния код за функция system_call: 0xc0194cbc
Помислете за псевдокода, който изпълнява операцията по прихващане:
readaddr(old_syscall, scr + SYS_CALL*4, 4); writeaddr(new_syscall, scr + SYS_CALL*4, 4); Функцията readaddr чете адреса на системното повикване от таблицата на системните повиквания и го съхранява в променливата old_syscall. Всеки запис в таблицата sys_call_table отнема 4 байта. Необходимият адрес се намира на отместването sct + SYS_CALL*4 във файла /dev/kmem (тук sct е адресът на таблицата sys_call_table, SYS_CALL е серийният номер на системното повикване). Функцията writeaddr презаписва адреса на системното извикване SYS_CALL с адреса на функцията new_syscall и всички извиквания към системното извикване SYS_CALL ще бъдат обслужвани от тази функция.
Изглежда, че всичко е просто и целта е постигната. Все пак нека помним, че работим в адресното пространство на потребителя. Ако поставим нова системна функция в това адресно пространство, когато извикаме тази функция, ще получим красиво съобщение за грешка. Оттук и заключението - ново системно извикване трябва да бъде поставено в адресното пространство на ядрото. За да направите това, трябва да: получите блок памет в пространството на ядрото, да поставите ново системно извикване в този блок.
Можете да разпределите памет в пространството на ядрото с помощта на функцията kmalloc. Но не можете директно да извикате функция на ядрото от адресното пространство на потребителя, затова използваме следния алгоритъм:
- знаейки адреса на таблицата sys_call_table, получаваме адреса на някакво системно повикване (например sys_mkdir)
- ние дефинираме функция, която извършва извикване на функцията kmalloc. Тази функция връща указател към блок памет в адресното пространство на ядрото. Нека наречем тази функция get_kmalloc
- съхранява първите N байта от системното извикване sys_mkdir, където N е размерът на функцията get_kmalloc
- презапишете първите N байта на извикването sys_mkdir с функцията get_kmalloc
- ние изпълняваме повикването към системното повикване sys_mkdir, като по този начин стартираме функцията get_kmalloc за изпълнение
- възстановяване на първите N байта от системното извикване sys_mkdir
Но за да реализираме този алгоритъм, се нуждаем от адреса на функцията kmalloc. Можете да го намерите по няколко начина. Най-простият е да прочетете този адрес от файла System.map или да го определите с помощта на gdb дебъгера (print &kmalloc). Ако ядрото има активирана поддръжка на модули, kmalloc адресът може да бъде определен с помощта на функцията get_kernel_syms(). Тази опция ще бъде обсъдена допълнително. Ако няма поддръжка за модули на ядрото, адресът на функцията kmalloc ще трябва да се търси чрез кода на операцията на командата kmalloc call - подобно на това, което беше направено за таблицата sys_call_table.
Функцията kmalloc приема два параметъра: размера на заявената памет и GFP спецификатора. За да намерим кода на операцията, ще използваме програмата за отстраняване на грешки и ще разглобим всяка функция на ядрото, която съдържа извикване на функцията kmalloc.
# gdb -q /usr/src/linux/vmlinux (gdb) disas inter_module_register Дъмп на асемблерния код за функция inter_module_register: 0xc01a57b4
Това приключва теоретичните изчисления и, използвайки горната техника, ще прихванем системното извикване sys_mkdir.
6. Пример за прихващане с помощта на /dev/kmem
/* източник 6.0 */ #includeКрай на хартията/EOP
Ефективността на кода от всички секции беше тествана на ядрото 2.4.22. При изготвянето на доклада са използвани материали от сайтаСистемни повиквания
Досега всички програми, които направихме, трябваше да използват добре дефинирани механизми на ядрото, за да регистрират /proc файлове и драйвери на устройства. Това е чудесно, ако искате да направите нещо, което вече е предоставено от програмистите на ядрото, като например да напишете драйвер за устройство. Но какво, ако искате да направите нещо фантастично, да промените поведението на системата по някакъв начин?
Точно тук програмирането на ядрото става опасно. Докато пишех примера по-долу, унищожих отвореното системно повикване. Това означаваше, че не мога да отварям никакви файлове, не мога да стартирам никакви програми и не мога да изключа системата с командата за изключване. Трябва да изключа захранването, за да го спра. За щастие няма унищожени файлове. За да сте сигурни, че няма да загубите никакви файлове, моля, направете синхронизиране, преди да подадете командите insmod и rmmod.
Забравете за /proc файловете и файловете на устройството. Те са само малки детайли. Истинският комуникационен процес на ядрото, използван от всички процеси, са системните повиквания. Когато процес поиска услуга от ядрото (като отваряне на файл, стартиране на нов процес или искане на повече памет), се използва този механизъм. Ако искате да промените поведението на ядрото по интересни начини, това е правилното място. Между другото, ако искате да видите какви системни извиквания е използвала дадена програма, изпълнете: strace
По принцип даден процес не може да получи достъп до ядрото. Той няма достъп до паметта на ядрото и не може да извиква функции на ядрото. Хардуерът на процесора налага това състояние на нещата (то се нарича „защитен режим" с причина). Системните повиквания са изключение от това общо правило. Процесът попълва регистрите с подходящите стойности и след това извиква специална инструкция, която прескача към предварително дефинирано местоположение в ядрото (разбира се, то се чете от потребителските процеси, но не се презаписва от тях.) При процесорите на Intel това се прави чрез прекъсване 0x80.Хардуерът знае, че след като преминете към това местоположение, вие вече не работите в ограничен потребителски режим Вместо това вие работите като ядро на операционната система и следователно ви е позволено да правите каквото искате.
Мястото в ядрото, до което процесът може да прескочи, се нарича system_call. Процедурата, която се намира там, проверява за номера на системното повикване, който казва на ядрото какво точно иска процесът. След това търси таблицата на системните повиквания (sys_call_table), за да намери адреса на функцията на ядрото, която да извика. След това се извиква желаната функция и след като върне стойност, се правят няколко проверки на системата. След това резултатът се връща обратно към процеса (или към друг процес, ако процесът е прекратен). Ако искате да видите кода, който прави всичко това, той е вътре изходен файларка/< architecture >/kernel/entry.S , след реда ENTRY(system_call).
Така че, ако искаме да променим начина, по който работи някое системно извикване, първото нещо, което трябва да направим, е да напишем собствена функция, за да направим подходящото нещо (обикновено добавяме част от нашия собствен код и след това извикваме оригиналната функция), след което променим указателя към sys_call_table, за да посочи нашата функция. Тъй като може да бъдем изтрити по-късно и не искаме да оставяме системата в непостоянно състояние, важно е cleanup_module да възстанови таблицата в първоначалното й състояние.
Предоставеният тук изходен код е пример за такъв модул. Искаме да "шпионираме" някой потребител и да изпратим printk съобщение винаги даден потребителотваря файла. Заменяме системното повикване, отваряйки файл с нашия собствена функция, наречено our_sys_open . Тази функция проверява uid (потребителски идентификатор) на текущия процес и ако той е равен на uid, който шпионираме, извиква printk, за да покаже името на файла, който ще бъде отворен. След това извиква оригиналната отворена функция със същите параметри, като всъщност отваря файла.
Функцията init_module променя подходящото местоположение в sys_call_table и съхранява оригиналния указател в променлива. Функцията cleanup_module използва тази променлива, за да възстанови всичко обратно към нормалното. Този подход е опасен, поради възможността два модула да променят едно и също системно извикване. Представете си, че имаме два модула, A и B. Отвореното системно извикване на модул A ще се нарича A_open, а извикването на същия модул B ще се нарича B_open. Сега, когато инжектираният от ядрото syscall е заменен с A_open, който ще извика оригиналния sys_open, когато свърши това, което трябва да направи. След това B ще вмъкне в ядрото и ще замени системното извикване с B_open, което ще извика това, което смята, че е оригиналното системно извикване, но всъщност е A_open.
Сега, ако първо се премахне B, всичко ще бъде наред: това просто ще възстанови системното извикване на A_open, което извиква оригинала. Въпреки това, ако A бъде премахнато и след това B е премахнато, системата ще се срине. Премахването на A ще възстанови системното извикване към оригинала, sys_open, изрязвайки B от цикъла. След това, когато B бъде премахнат, той ще възстанови системното извикване до това, което смята за оригинално.Всъщност извикването ще бъде насочено към A_open, което вече не е в паметта. На пръв поглед изглежда, че можем да разрешим този конкретен проблем, като проверим дали системното извикване е равно на нашата отворена функция и ако е така, не променяме стойността на това извикване (така че B да не променя системното извикване, когато бъде премахнато), но това пак би било най-лошият проблем. Когато A се премахне, той вижда, че системното повикване е променено на B_open, така че вече да не сочи към A_open, така че няма да възстанови указателя към sys_open, преди да бъде премахнат от паметта. За съжаление, B_open все още ще се опитва да извика A_open, който вече не е в паметта, така че дори и без премахване на B, системата пак ще се срине.
Виждам два начина за предотвратяване на този проблем. Първо: възстановете повикването до оригиналната стойност на sys_open. За съжаление, sys_open не е част от таблицата на системното ядро в /proc/ksyms, така че нямаме достъп до него. Друго решение е да използвате брояч на връзки, за да предотвратите разтоварването на модула. Това е добре за редовните модули, но е лошо за "образователните" модули.
/* syscall.c * * Пример за "кражба" на системно повикване */ /* Copyright (C) 1998-99 от Ori Pomerantz */ /* Необходимите заглавни файлове */ /* Стандарт в модулите на ядрото */ #include