自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Linux內(nèi)核中添加新功能隱藏進(jìn)程地址空間內(nèi)存不被竊取

作者: JeffXie
系統(tǒng) Linux
首先看怎樣能獲取其它進(jìn)程地址空間的內(nèi)存,答案是ptrace毫無(wú)疑問了,其它比如使用crash工具,利用系統(tǒng)漏洞,插入模塊等邪門方法不在本篇討論范圍之內(nèi)。

 [[356458]]

本文轉(zhuǎn)載自微信公眾號(hào)「相遇Linux」,作者JeffXie 。轉(zhuǎn)載本文請(qǐng)聯(lián)系相遇Linux公眾號(hào)。    

首先看怎樣能獲取其它進(jìn)程地址空間的內(nèi)存,答案是ptrace毫無(wú)疑問了,其它比如使用crash工具,利用系統(tǒng)漏洞,插入模塊等邪門方法不在本篇討論范圍之內(nèi)。

上例子:test.c

  1.  #define handle_error(msg) \ 
  2.     do { perror(msg); exit(EXIT_FAILURE); } while (0) 
  3.  
  4. int main(void) 
  6.         char *p;  
  7.         char const str[] = "Jeff Xie\n"
  8.  
  9.         p = malloc(sizeof(str)); 
  10.         if (!p) 
  11.                 handle_error("malloc"); 
  12.         printf("p:0x%llx\n", p);  
  13.         memcpy(p, str, sizeof(str)); 
  14.         printf("str:%s\n", p);  
  15.         sleep(10000); 
  16.  
  17.         return 0; 

地址: https://github.com/x-lugoo/hide-memory

上面例子test.c中只是非常單純的malloc了一塊區(qū)域(堆區(qū)),然后保存了一個(gè)字符串.

terminal 1:

  1. #gcc test.c  
  2. #./a.out  
  3. p:0xd3d260 
  4. str:Jeff Xie 

terminal 2:

  1. #ps -C a.out 
  2.   PID TTY          TIME CMD 
  3. 19145 pts/4    00:00:00 a.out 
  4. #cat /proc/19145/maps 
  5. 00400000-00401000 r-xp      /home/jeff/a.out 
  6. 00600000-00601000 r--p      /home/jeff/a.out 
  7. 00601000-00602000 rw-p      /home/jeff/a.out 
  8. 00d3d000-00d5e000 rw-p      [heap] 

可以看到0xd3d260 在heap區(qū)域范圍內(nèi),使用readmem就可以簡(jiǎn)單粗暴的讀出了進(jìn)程19145(a.out)的0xd3d260 向后十個(gè)字節(jié)的內(nèi)容.

terminal 2:

  1. #readmem 19145 0xd3d260 10 
  2. Jeff Xie 

程序readmem使用ptrace功能實(shí)現(xiàn),代碼見:

  1. https://github.com/x-lugoo/hide-memory/tree/main/ptrace 

如果進(jìn)程19145保存的不是一個(gè)普通的字符串,而是某位皇帝留下的千年寶藏的地址,或者里面的信息關(guān)系到整個(gè)公司的命脈,如果被nice值不高的人獲取了,后果可想而知。

最近有人(前輩)在linux內(nèi)核社區(qū)提交了一個(gè)patch,解決了這個(gè)問題,我把整個(gè)patch簡(jiǎn)化了一些。

原始patch:

  1. https://lore.kernel.org/linux-fsdevel/20201203062949.5484-1-rppt@kernel.org/T/#t 

被我簡(jiǎn)化后:

  1. https://github.com/x-lugoo/hide-memory/blob/main/hidemem/0001-hidemem-Initialization-version.patc 

此patch實(shí)現(xiàn)的原理:

新增一個(gè)系統(tǒng)調(diào)用memfd_hide, 當(dāng)用戶使用這個(gè)系統(tǒng)調(diào)用時(shí),會(huì)返回一個(gè)fd, 進(jìn)而使用mmap(...fd...),map一段內(nèi)存,此段內(nèi)存將是安全的,其它人不能通過ptrace獲取。

  1. --- a/arch/x86/entry/syscalls/syscall_64.tbl 
  2. +++ b/arch/x86/entry/syscalls/syscall_64.tbl 
  3. @@ -362,6 +362,7 @@ 
  4.  438    common  pidfd_getfd     sys_pidfd_getfd 
  5.  439    common  faccessat2      sys_faccessat2 
  6.  440    common  process_madvise     sys_process_madvise 
  7. +441    common  memfd_hide      sys_memfd_hide 
  8.  
  9. SYSCALL_DEFINE1(memfd_hide, unsigned long, flags) 
  11.         struct file *file; 
  12.         int fd, err; 
  13.         fd = get_unused_fd_flags(flags & O_CLOEXEC); 
  14.         file = hidemem_file_create(flags); 
  15.         fd_install(fd, file); 
  16.         return fd; 

當(dāng)用戶調(diào)用441號(hào)系統(tǒng)調(diào)用時(shí),系統(tǒng)會(huì)返回一個(gè)fd,例如用戶層這樣調(diào)用:

  1. #define __NR_memfd_hide 441 
  2. static int memfd_secret(unsigned long flags) 
  4.      return syscall(__NR_memfd_hide, flags); 
  6. fd = memfd_secret(0); 

fd_install 做了以下操作,把fd和當(dāng)前進(jìn)程關(guān)聯(lián)起來(lái).

  1. struct fdtable *fdt; 
  2. struct task_struct { 
  3.           ... 
  4.           struct files_struct             *files; 
  6. fdt = current->files->fdt; 
  7. fdt->fd[fd] = file; 

hidemem_file_create 最終是返回了一個(gè)struct file, 但是做的一個(gè)很重要的動(dòng)作是初始化一系列回調(diào)函數(shù),讓用戶調(diào)用mmap和memcpy時(shí),在發(fā)生page fault時(shí)進(jìn)行合適的動(dòng)作,比如調(diào)用alloc_page(gfp)申請(qǐng)一塊內(nèi)存.

  1. fd = memfd_secret(0); 
  2. p = mmap(NULL, 4096, prot, mode, fd, 0); 
  3. memcpy(p, str, sizeof(str)); 

追隨以下綠色標(biāo)記 可以很好理清函數(shù)調(diào)用關(guān)系:

  1. static struct file *hidemem_file_create(unsigned long flags) 
  3.         struct file *file = ERR_PTR(-ENOMEM); 
  4.         struct inode *inode; 
  5.         inode = alloc_anon_inode(hidemem_mnt->mnt_sb); 
  6.         file = alloc_file_pseudo(inode, hidemem_mnt, "hidemem"
  7.                                  O_RDWR, &hidemem_fops); 
  8.         inode->i_mapping->a_ops = &hidemem_aops; 
  9.  
  10. static const struct file_operations hidemem_fops = { 
  11.         .release        = hidemem_release, 
  12.         .mmap           = hidemem_mmap, 
  13. }; 
  14.  
  15. static int hidemem_mmap(struct file *file, struct vm_area_struct *vma) 
  17.         vma->vm_ops = &hidemem_vm_ops; 
  18.         vma->vm_flags |= VM_LOCKED; 
  20.  
  21. static const struct vm_operations_struct hidemem_vm_ops = { 
  22.         .fault = hidemem_fault, 
  23. }; 
  24.  
  25. static vm_fault_t hidemem_fault(struct vm_fault *vmf) 
  27.         struct address_space *mapping = vmf->vma->vm_file->f_mapping; 
  28.         vm_fault_t ret = 0; 
  29.         struct page *page; 
  30.         int err; 
  31.  
  32.         page = find_get_page(mapping, offset); 
  33.         if (!page) { 
  34.                 page = hidemem_alloc_page(vmf->gfp_mask); 
  35.                 err = add_to_page_cache(page, mapping, offset, vmf->gfp_mask); 
  36.         } 
  37.         vmf->page = page; 
  1. static struct page *hidemem_alloc_page(gfp_t gfp) 
  3.         return alloc_page(gfp); 

回到怎樣隱藏進(jìn)程空間的問題上:

當(dāng)其它進(jìn)程使用ptrace功能獲取指定進(jìn)程地址空間內(nèi)容時(shí),會(huì)調(diào)用到check_vma_flags(), 此時(shí)加上一個(gè)條件判斷,如果此段vma(/proc/pid/maps中的每一列地址范圍屬于一個(gè)vma)屬于hidemem, 直接返回錯(cuò)誤.

  1.  static int check_vma_flags(struct vm_area_struct *vma, unsigned long gup_flags) 
  2.  { 
  3.      vm_flags_t vm_flags = vma->vm_flags; 
  4. @@ -923,6 +925,9 @@ static int check_vma_flags(struct vm_area_struct *vma, unsigned long gup_flags) 
  5.      if (gup_flags & FOLL_ANON && !vma_is_anonymous(vma)) 
  6.          return -EFAULT; 
  7.  
  8. +    if (vma_is_hidemem(vma)) 
  9. +        return -EFAULT; 
  11.      if (write) { 
  12.          if (!(vm_flags & VM_WRITE)) { 
  13.              if (!(gup_flags & FOLL_FORCE)) 
  1. static const struct vm_operations_struct hidemem_vm_ops = { 
  2.         .fault = hidemem_fault, 
  3. }; 
  4.  
  5. bool vma_is_hidemem(struct vm_area_struct *vma) 
  7.         return vma->vm_ops == &hidemem_vm_ops; 

加上vma_is_hidemem(vma)判斷之后,此時(shí)如果使用readmem利用ptrace獲取指定進(jìn)程內(nèi)存段的時(shí)候,會(huì)直接報(bào)錯(cuò),以達(dá)到隱藏vma背后page內(nèi)容的目的。

以上patch和測(cè)試代碼都在:

  1. https://github.com/x-lugoo/hide-memory 

原始patch:

  1. https://lore.kernel.org/linux-fsdevel/20201203062949.5484-1-rppt@kernel.org/T/#t 

 

 

責(zé)任編輯:武曉燕 來(lái)源: 相遇Linux
Linux內(nèi)存進(jìn)程
相關(guān)推薦

2019-03-28 09:42:15

惡意軟件Rootkit攻擊

2021-01-08 05:59:39

Linux應(yīng)用程序Linux系統(tǒng)

2018-05-18 08:43:27

Linux內(nèi)存空間

2012-05-03 08:27:20

Linux進(jìn)程

2021-01-04 10:02:54

Facebook憑證攻擊

2010-05-13 09:45:26

Linux地址空間

2018-05-18 09:07:43

Linux內(nèi)核內(nèi)存

2024-01-08 08:42:43

2021-03-22 11:43:07

Linux運(yùn)維Linux系統(tǒng)

2022-09-13 11:15:33

加密貨幣區(qū)塊鏈

2013-07-01 09:58:58

Windows 8.1

2011-10-28 15:50:45

C程序

2021-11-09 07:31:08

Robinhood黑客美國(guó)

2020-08-16 09:25:21

Windows 10Windows操作系統(tǒng)

2019-01-29 10:10:09

Linux內(nèi)存進(jìn)程堆

2022-08-06 16:36:21

漏洞網(wǎng)絡(luò)攻擊

2020-05-08 11:56:43

微軟GitHub賬號(hào)黑客

2009-06-09 10:00:56

2021-03-28 09:37:35

竊取數(shù)據(jù)暗網(wǎng)安全

2020-10-16 12:11:31

網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)安全黑客
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)