inc*_*ent 3 c unix memory elf execution
我需要为可加载的ELF可执行文件段确定VMA.VMA可以打印出来/proc/pid/maps.maps使用可加载段显示的VMA之间的关系对我来说也很清楚.每个部分由一个或多个VMA组成.内核用于从ELF段形成VMA的方法是什么:它还需要考虑权限/标志或其他什么?根据我的理解,带有标志Read, Execute(代码)的段将进入具有相同权限的单独VMA.而具有权限读取,写入(数据)的下一个段应该在另一个VMA中.但这不是第二个可加载段的情况,它通常分为两个或多个VMA:一些与read and write其他VMA分开read only.所以我认为旗帜是VMA生成的唯一罪魁祸首似乎是错误的.我需要帮助来理解段和VMA之间的这种关系.
我想要做的是以编程方式确定ELF的可加载段的VMA,而不将其加载到内存中.所以这方面的任何指针/帮助都是这篇文章的主要目标.
VMA是虚拟内存的同构区域,具有:
相同的权限(PROT_EXEC等);
相同的类型(MAP_SHARED/MAP_PRIVATE);
相同的后备文件(如果有的话);
文件中的一致偏移量.
例如,如果你有一个VMA,RW你和你mprotect PROT_READ(你删除了写入的权限)在VMA中间的一个部分,内核将把VMA分成三个VMA(第一个是RW,第二个R和最后一个RW) .
让我们看一下来自可执行文件的典型VMA:
$ cat /proc/$$/maps 00400000-004f2000 r-xp 00000000 08:01 524453 /bin/bash 006f1000-006f2000 r--p 000f1000 08:01 524453 /bin/bash 006f2000-006fb000 rw-p 000f2000 08:01 524453 /bin/bash 006fb000-00702000 rw-p 00000000 00:00 0 [...]
第一个VMA是文本段.第二,第三和第四VMA是数据段.
.bss在这个过程的开始,你会有这样的事情:
$ cat /proc/$$/maps 00400000-004f2000 r-xp 00000000 08:01 524453 /bin/bash 006f1000-006fb000 rw-p 000f1000 08:01 524453 /bin/bash 006fb000-00702000 rw-p 00000000 00:00 0 [...]
006f1000-006fb000 是来自可执行文件的文本段的一部分.
006fb000-00702000在可执行文件中不存在,因为它最初用零填充.过程的非初始化变量全部组合在一起(在.bss段中),并且不在可执行文件中表示以节省空间(1).
这来自PT_LOAD可执行文件(readelf -l)的程序头表的条目,它描述了要映射到内存的段:
Type Offset VirtAddr PhysAddr
FileSiz MemSiz Flags Align
[...]
LOAD 0x0000000000000000 0x0000000000400000 0x0000000000400000
0x00000000000f1a74 0x00000000000f1a74 R E 200000
LOAD 0x00000000000f1de0 0x00000000006f1de0 0x00000000006f1de0
0x0000000000009068 0x000000000000f298 RW 200000
[...]
如果查看相应的PT_LOAD条目,您会注意到该段的一部分未在文件中表示(因为文件大小小于内存大小).
数据段中不在可执行文件中的部分用零初始化:动态链接器使用MAP_ANONYMOUS数据段的这一部分的映射.这就是为什么显示为单独的VMA(它没有相同的后备文件).
PT_GNU_RELRO)当动态链接器完成重定位(2)时,它可能会将数据段的某些部分(其中一部分)标记.got为只读,以避免GOT中毒攻击或错误.数据段的一部分,应该PT_GNU_RELRO在程序头表的条目所描述的重定位之后进行保护:mprotect(addr, len, PROT_READ)完成重定位后的动态链接器给定区域(3).该mprotect呼叫将第二个VMA分成两个VMA(第一个R和第二个VMA RW).
Type Offset VirtAddr PhysAddr
FileSiz MemSiz Flags Align
[...]
GNU_RELRO 0x00000000000f1de0 0x00000000006f1de0 0x00000000006f1de0
0x0000000000000220 0x0000000000000220 R
[...]
VMA
00400000-004f2000 r-xp 00000000 08:01 524453 /bin/bash 006f1000-006f2000 r--p 000f1000 08:01 524453 /bin/bash 006f2000-006fb000 rw-p 000f2000 08:01 524453 /bin/bash 006fb000-00702000 rw-p 00000000 00:00 0
从衍生VirtAddr,MemSiz和Flags所述的字段PT_LOAD和PT_GNU_RELRO条目:
Type Offset VirtAddr PhysAddr
FileSiz MemSiz Flags Align
[...]
LOAD 0x0000000000000000 0x0000000000400000 0x0000000000400000
0x00000000000f1a74 0x00000000000f1a74 R E 200000
LOAD 0x00000000000f1de0 0x00000000006f1de0 0x00000000006f1de0
0x0000000000009068 0x000000000000f298 RW 200000
[...]
GNU_RELRO 0x00000000000f1de0 0x00000000006f1de0 0x00000000006f1de0
0x0000000000000220 0x0000000000000220 R
[...]
首先,所有PT_LOAD条目都是流程.它们中的每一个都通过使用a来触发创建一个VMA mmap().此外,如果MemSiz > FileSiz,它可能会创建一个额外的匿名VMA.
然后所有(实际上只有一次实践)PT_GNU_RELRO是过程.它们中的每一个都触发mprotect()可能将现有VMA分成不同VMA 的呼叫.
为了做你想做的事,正确的方法可能是模拟mmap和mprotect调用:
// Virtual Memory Area:
struct Vma {
std::uint64_t addr, length;
std::string file_name;
int prot;
int flags;
std::uint64_t offset;
};
// Virtual Address Space:
class Vas {
private:
std::list<Vma> vmas_;
public:
Vma& mmap(
std::uint64_t addr, std::uint64_t length, int prot,
int flags, int fd, off_t offset);
int mprotect(std::uint64_t addr, std::uint64_t len, int prot);
std::list<Vma> const& vmas() const { return vmas_; }
};
for (Elf32_Phdr const& h : phdrs)
if (h.p_type == PT_LOAD) {
vas.mmap(...);
if (anon_size)
vas.mmap(...);
}
for (Elf32_Phdr const& h : phdrs)
if (h.p_type == PT_GNU_RELRO)
vas.mprotect(...);
地址略有不同,因为VMA是页面对齐的(3)(对于x86和x86_64使用4Kio = 0x1000页):
第一个VMA由第一个PT_LOAD条目描述:
vma[0].start = page_floor(load[0].virt_addr)
= 0x400000
vma[0].end = page_ceil(load[1].virt_addr + load[1].phys_size)
= page_ceil(0x400000 + 0xf1a74)
= page_ceil(0x4f1a74)
= 0x4f2000
下一个VMA是受保护的数据段的一部分,由PT_GNU_RELRO以下内容描述:
vma[1].start = page_floor(relro[0].virt_addr)
= page_floor(0xf1de0)
= 0x6f1000
vma[1].end = page_ceil(relro[0].virt_addr + relo[0].mem_size)
= page_ceil(0x6f1de0 + 0x220)
= page_ceil(0x6f2000)
= 0x6f2000
[...]
Section Headers:
[Nr] Name Type Address Offset
Size EntSize Flags Link Info Align
[ 0] NULL 0000000000000000 00000000
0000000000000000 0000000000000000 0 0 0
[ 1] .interp PROGBITS 0000000000400238 00000238
000000000000001c 0000000000000000 A 0 0 1
[ 2] .note.ABI-tag NOTE 0000000000400254 00000254
0000000000000020 0000000000000000 A 0 0 4
[ 3] .note.gnu.build-i NOTE 0000000000400274 00000274
0000000000000024 0000000000000000 A 0 0 4
[ 4] .gnu.hash GNU_HASH 0000000000400298 00000298
0000000000004894 0000000000000000 A 5 0 8
[ 5] .dynsym DYNSYM 0000000000404b30 00004b30
000000000000d6c8 0000000000000018 A 6 1 8
[ 6] .dynstr STRTAB 00000000004121f8 000121f8
0000000000008c25 0000000000000000 A 0 0 1
[ 7] .gnu.version VERSYM 000000000041ae1e 0001ae1e
00000000000011e6 0000000000000002 A 5 0 2
[ 8] .gnu.version_r VERNEED 000000000041c008 0001c008
00000000000000b0 0000000000000000 A 6 2 8
[ 9] .rela.dyn RELA 000000000041c0b8 0001c0b8
00000000000000c0 0000000000000018 A 5 0 8
[10] .rela.plt RELA 000000000041c178 0001c178
00000000000013f8 0000000000000018 AI 5 12 8
[11] .init PROGBITS 000000000041d570 0001d570
000000000000001a 0000000000000000 AX 0 0 4
[12] .plt PROGBITS 000000000041d590 0001d590
0000000000000d60 0000000000000010 AX 0 0 16
[13] .text PROGBITS 000000000041e2f0 0001e2f0
0000000000099c42 0000000000000000 AX 0 0 16
[14] .fini PROGBITS 00000000004b7f34 000b7f34
0000000000000009 0000000000000000 AX 0 0 4
[15] .rodata PROGBITS 00000000004b7f40 000b7f40
000000000001ebb0 0000000000000000 A 0 0 64
[16] .eh_frame_hdr PROGBITS 00000000004d6af0 000d6af0
000000000000407c 0000000000000000 A 0 0 4
[17] .eh_frame PROGBITS 00000000004dab70 000dab70
0000000000016f04 0000000000000000 A 0 0 8
[18] .init_array INIT_ARRAY 00000000006f1de0 000f1de0
0000000000000008 0000000000000000 WA 0 0 8
[19] .fini_array FINI_ARRAY 00000000006f1de8 000f1de8
0000000000000008 0000000000000000 WA 0 0 8
[20] .jcr PROGBITS 00000000006f1df0 000f1df0
0000000000000008 0000000000000000 WA 0 0 8
[21] .dynamic DYNAMIC 00000000006f1df8 000f1df8
0000000000000200 0000000000000010 WA 6 0 8
[22] .got PROGBITS 00000000006f1ff8 000f1ff8
0000000000000008 0000000000000008 WA 0 0 8
[23] .got.plt PROGBITS 00000000006f2000 000f2000
00000000000006c0 0000000000000008 WA 0 0 8
[24] .data PROGBITS 00000000006f26c0 000f26c0
0000000000008788 0000000000000000 WA 0 0 64
[25] .bss NOBITS 00000000006fae80 000fae48
00000000000061f8 0000000000000000 WA 0 0 64
[26] .shstrtab STRTAB 0000000000000000 000fae48
00000000000000ef 0000000000000000 0 0 1
你将sections(readelf -S)的地址与VMA的范围进行比较,你会发现映射:
00400000-004f2000 r-xp /bin/bash : .interp, .note.ABI-tag, .note.gnu.build-id, .gnu.hash, .dynsym, .dynstr, .gnu.version, .gnu.version_r, .rela.dyn, .rela.plt, .init, .plt, .text, .fini, .rodata.eh_frame_hdr, .eh_frame 006f1000-006f2000 r--p /bin/bash : .init_array, .fini_array, .jcr, .dynamic, .got 006f2000-006fb000 rw-p /bin/bash : .got.plt, .data, beginning of .bss 006fb000-00702000 rw-p - : rest of .bss
(1):实际上,它更复杂:.bss由于页面对齐的原因,该部分的一部分可能在可执行文件中表示.
(2):事实上,当它完成了非懒惰的重新安置.
(3):MMU操作使用页面粒度所以内存范围的mmap(),mprotect(),munmap()调用扩展至全页.
| 归档时间: |
|
| 查看次数: |
1037 次 |
| 最近记录: |