- Abschnitte existieren im Kontext eines laufenden Prozesses nicht, nur Segmente.
mprotectkann verwendet werden, um die Berechtigungen der Seiten zu ändern, dietextSegment zugeordnet ist. Hier ist ein Tutorial, wie man das bewerkstelligt:Writing a Self-Mutating x86_64 C Program- aus den Anmerkungen zu
mprotectHandbuchseite:Unter Linux ist es immer erlaubt, mprotect() an jeder Adresse im Adressraum eines Prozesses aufzurufen (mit Ausnahme des vsyscall-Bereichs des Kernels). Insbesondere kann es verwendet werden, um bestehende Code-Mappings schreibbar zu machen .
Abschnittsinformationen werden in der Abschnittskopftabelle gespeichert. Die Abschnittskopftabelle ist ein Array von Abschnittsköpfen. Die Abschnittskopftabelle wird keinem Segment zugeordnet und vom Programmlader nicht geparst. Der Lader verwendet Segmentinformationen nur, wenn er ein Programm in den virtuellen Speicher abbildet.
Segmente – nicht Abschnitte – haben Berechtigungen, und diese werden im Programmkopf des Segments in p_flags gespeichert aufstellen. Programm-Header befinden sich in der Programm-Header-Tabelle der Binärdatei.
All dies ist in den Kapiteln 4 und 5 im System V ABI (generisch) dokumentiert.
In der Ausgabe unten sehen wir die Berechtigungen, die jedem Segment unter flags zugeordnet sind Spalte:
$ readelf -l /bin/ls
Elf file type is EXEC (Executable file)
Entry point 0x404890
There are 9 program headers, starting at offset 64
Program Headers:
Type Offset VirtAddr PhysAddr
FileSiz MemSiz Flags Align
PHDR 0x0000000000000040 0x0000000000400040 0x0000000000400040
0x00000000000001f8 0x00000000000001f8 R E 8
INTERP 0x0000000000000238 0x0000000000400238 0x0000000000400238
0x000000000000001c 0x000000000000001c R 1
[Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
LOAD 0x0000000000000000 0x0000000000400000 0x0000000000400000
0x0000000000019d44 0x0000000000019d44 R E 200000
LOAD 0x0000000000019df0 0x0000000000619df0 0x0000000000619df0
0x0000000000000804 0x0000000000001570 RW 200000
DYNAMIC 0x0000000000019e08 0x0000000000619e08 0x0000000000619e08
0x00000000000001f0 0x00000000000001f0 RW 8
NOTE 0x0000000000000254 0x0000000000400254 0x0000000000400254
0x0000000000000044 0x0000000000000044 R 4
GNU_EH_FRAME 0x000000000001701c 0x000000000041701c 0x000000000041701c
0x000000000000072c 0x000000000000072c R 4
GNU_STACK 0x0000000000000000 0x0000000000000000 0x0000000000000000
0x0000000000000000 0x0000000000000000 RW 10
GNU_RELRO 0x0000000000019df0 0x0000000000619df0 0x0000000000619df0
0x0000000000000210 0x0000000000000210 R 1
Section to Segment mapping:
Segment Sections...
00
01 .interp
02 .interp .note.ABI-tag .note.gnu.build-id .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame
03 .init_array .fini_array .jcr .dynamic .got .got.plt .data .bss
04 .dynamic
05 .note.ABI-tag .note.gnu.build-id
06 .eh_frame_hdr
07
08 .init_array .fini_array .jcr .dynamic .got
Die .rodata Abschnitt in ELF-Dateien enthält Teile des Textsegments, die nicht geändert werden sollen.
Das ist falsch. Die gesamte text Segment ist Lesen/Ausführen.
Standardmäßig sind alle Seiten dieses Abschnitts schreibgeschützt, und jeder Änderungsversuch löst eine allgemeine Schutzverletzung aus.
Das ist falsch. Segmente, nicht Abschnitte, werden Seiten zugeordnet (daher der Align Werte) und Berechtigungen haben (daher der Flags Werte).
Weitere Informationen finden Sie hier:
- http://duartes.org/gustavo/blog/post/how-the-kernel-manages-your-memory/
- https://lwn.net/Articles/631631/
- http://nairobi-embedded.org/040_elf_sec_seg_vma_mappings.html#section-segment-vma-mappings
Aus dem Handbuch:
Unter Linux ist es immer erlaubt, mprotect() für jede Adresse im Adressraum eines Prozesses aufzurufen (mit Ausnahme des vsyscall-Bereichs des Kernels). Insbesondere kann es verwendet werden, um bestehende Code-Mappings auf beschreibbar zu ändern.
Hier ist ein Beispielprogramm zur Demonstration.
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>
#define PAGE_SIZE 4096
const unsigned char rodata[3*PAGE_SIZE] = {1,2,3};
int main(void)
{
printf("rodata = %p\n", rodata);
uintptr_t page_base = ((uintptr_t)rodata / PAGE_SIZE + 1) * PAGE_SIZE;
unsigned char *p = (unsigned char *)rodata + PAGE_SIZE;
//*p = '!'; // this would cause a segfault
puts("Before mprotect:");
system("cat /proc/$PPID/maps");
if (mprotect((void*)page_base, 1, PROT_READ | PROT_WRITE) < 0) {
perror("mprotect");
return 1;
}
puts("After mprotect:");
system("cat /proc/$PPID/maps");
*p = '!';
return 0;
}
Natürlich bleiben alle Daten, die Sie auf die Seite schreiben, im Speicher. Linux erkennt, dass der Prozess auf eine Seite schreibt, die derzeit schreibgeschützt zugeordnet ist, und erstellt eine Kopie. Zum Zeitpunkt des Schreibens unterscheidet der Kernel dies nicht von Copy-on-Write, nachdem sich ein Prozess gegabelt hat. Sie können dies beobachten, indem Sie in einem Prozess forken, schreiben und in dem anderen lesen:Der andere Prozess wird den Schreibvorgang nicht sehen, da es ein Schreibvorgang in den Speicher des schreibenden Prozesses ist, nicht in den Speicher des lesenden Prozesses.
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>
#include <unistd.h>
#define PAGE_SIZE 4096
const unsigned char rodata[3*PAGE_SIZE] = {0};
void writer(char *p)
{
if (mprotect(p, 1, PROT_READ | PROT_WRITE) < 0) {
perror("mprotect");
return 1;
}
puts("After mprotect:");
system("cat /proc/$PPID/maps");
*p = 1;
printf("wrote %d\n", *p);
}
void reader(char *p)
{
printf("read %d\n", *p);
}
int main(void)
{
printf("rodata = %p\n", rodata);
uintptr_t page_base = (((uintptr_t)rodata / PAGE_SIZE + 1) * PAGE_SIZE);
volatile char *p = (volatile char *)page_base;
//*p = '!'; // this would cause a segfault
puts("Before mprotect:");
system("cat /proc/$PPID/maps");
if (fork() == 0) {
writer(p);
} else {
sleep(1);
reader(p);
}
return 0;
}
Ich vermute, dass es Härtungspatches gibt, die verhindern, dass ein Prozess seine eigenen Speicherzuordnungen ändert, aber ich habe keinen anzubieten.