[[356458]]

本文轉(zhuǎn)載自微信公眾號「相遇Linux」，作者JeffXie 。轉(zhuǎn)載本文請聯(lián)系相遇Linux公眾號。    

首先看怎樣能獲取其它進程地址空間的內(nèi)存，答案是ptrace毫無疑問了,其它比如使用crash工具，利用系統(tǒng)漏洞，插入模塊等邪門方法不在本篇討論范圍之內(nèi)。

上例子：test.c

 #define handle_error(msg) \ 
    do { perror(msg); exit(EXIT_FAILURE); } while (0) 
 
int main(void) 
{ 
        char *p;  
        char const str[] = "Jeff Xie\n"; 
 
        p = malloc(sizeof(str)); 
        if (!p) 
                handle_error("malloc"); 
        printf("p:0x%llx\n", p);  
        memcpy(p, str, sizeof(str)); 
        printf("str:%s\n", p);  
        sleep(10000); 
 
        return 0; 
} 

地址: https://github.com/x-lugoo/hide-memory

上面例子test.c中只是非常單純的malloc了一塊區(qū)域(堆區(qū))，然后保存了一個字符串.

terminal 1:

#gcc test.c  
#./a.out  
p:0xd3d260 
str:Jeff Xie 

terminal 2:

#ps -C a.out 
  PID TTY          TIME CMD 
19145 pts/4    00:00:00 a.out 
#cat /proc/19145/maps 
00400000-00401000 r-xp      /home/jeff/a.out 
00600000-00601000 r--p      /home/jeff/a.out 
00601000-00602000 rw-p      /home/jeff/a.out 
00d3d000-00d5e000 rw-p      [heap] 

可以看到0xd3d260 在heap區(qū)域范圍內(nèi)，使用readmem就可以簡單粗暴的讀出了進程19145(a.out)的0xd3d260 向后十個字節(jié)的內(nèi)容.

terminal 2:

＃readmem 19145 0xd3d260 10 
Jeff Xie 

程序readmem使用ptrace功能實現(xiàn)，代碼見：

https://github.com/x-lugoo/hide-memory/tree/main/ptrace 

如果進程19145保存的不是一個普通的字符串，而是某位皇帝留下的千年寶藏的地址，或者里面的信息關系到整個公司的命脈，如果被nice值不高的人獲取了，后果可想而知。

最近有人(前輩)在linux內(nèi)核社區(qū)提交了一個patch，解決了這個問題，我把整個patch簡化了一些。

原始patch:

https://lore.kernel.org/linux-fsdevel/20201203062949.5484-1-rppt@kernel.org/T/#t 

被我簡化后：

https://github.com/x-lugoo/hide-memory/blob/main/hidemem/0001-hidemem-Initialization-version.patc 

此patch實現(xiàn)的原理：

新增一個系統(tǒng)調(diào)用memfd_hide, 當用戶使用這個系統(tǒng)調(diào)用時，會返回一個fd, 進而使用mmap(...fd...),map一段內(nèi)存，此段內(nèi)存將是安全的，其它人不能通過ptrace獲取。

--- a/arch/x86/entry/syscalls/syscall_64.tbl 
+++ b/arch/x86/entry/syscalls/syscall_64.tbl 
@@ -362,6 +362,7 @@ 
 438    common  pidfd_getfd     sys_pidfd_getfd 
 439    common  faccessat2      sys_faccessat2 
 440    common  process_madvise     sys_process_madvise 
+441    common  memfd_hide      sys_memfd_hide 
 
SYSCALL_DEFINE1(memfd_hide, unsigned long, flags) 
{ 
        struct file *file; 
        int fd, err; 
        fd = get_unused_fd_flags(flags & O_CLOEXEC); 
        file = hidemem_file_create(flags); 
        fd_install(fd, file); 
        return fd; 
} 

當用戶調(diào)用441號系統(tǒng)調(diào)用時,系統(tǒng)會返回一個fd,例如用戶層這樣調(diào)用:

#define __NR_memfd_hide 441 
static int memfd_secret(unsigned long flags) 
{ 
     return syscall(__NR_memfd_hide, flags); 
} 
fd = memfd_secret(0); 

fd_install 做了以下操作，把fd和當前進程關聯(lián)起來.

struct fdtable *fdt; 
struct task_struct { 
          ... 
          struct files_struct             *files; 
} 
fdt = current->files->fdt; 
fdt->fd[fd] = file; 

hidemem_file_create 最終是返回了一個struct file, 但是做的一個很重要的動作是初始化一系列回調(diào)函數(shù),讓用戶調(diào)用mmap和memcpy時，在發(fā)生page fault時進行合適的動作，比如調(diào)用alloc_page(gfp)申請一塊內(nèi)存.

fd = memfd_secret(0); 
p = mmap(NULL, 4096, prot, mode, fd, 0); 
memcpy(p, str, sizeof(str)); 

追隨以下綠色標記 可以很好理清函數(shù)調(diào)用關系:

static struct file *hidemem_file_create(unsigned long flags) 
{ 
        struct file *file = ERR_PTR(-ENOMEM); 
        struct inode *inode; 
        inode = alloc_anon_inode(hidemem_mnt->mnt_sb); 
        file = alloc_file_pseudo(inode, hidemem_mnt, "hidemem", 
                                 O_RDWR, &hidemem_fops); 
        inode->i_mapping->a_ops = &hidemem_aops; 
 
static const struct file_operations hidemem_fops = { 
        .release        = hidemem_release, 
        .mmap           = hidemem_mmap, 
}; 
 
static int hidemem_mmap(struct file *file, struct vm_area_struct *vma) 
{ 
        vma->vm_ops = &hidemem_vm_ops; 
        vma->vm_flags |= VM_LOCKED; 
} 
 
static const struct vm_operations_struct hidemem_vm_ops = { 
        .fault = hidemem_fault, 
}; 
 
static vm_fault_t hidemem_fault(struct vm_fault *vmf) 
{ 
        struct address_space *mapping = vmf->vma->vm_file->f_mapping; 
        vm_fault_t ret = 0; 
        struct page *page; 
        int err; 
 
        page = find_get_page(mapping, offset); 
        if (!page) { 
                page = hidemem_alloc_page(vmf->gfp_mask); 
                err = add_to_page_cache(page, mapping, offset, vmf->gfp_mask); 
        } 
        vmf->page = page; 
} 

static struct page *hidemem_alloc_page(gfp_t gfp) 
{ 
        return alloc_page(gfp); 
} 

回到怎樣隱藏進程空間的問題上:

當其它進程使用ptrace功能獲取指定進程地址空間內(nèi)容時，會調(diào)用到check_vma_flags(), 此時加上一個條件判斷，如果此段vma(/proc/pid/maps中的每一列地址范圍屬于一個vma)屬于hidemem, 直接返回錯誤.

 static int check_vma_flags(struct vm_area_struct *vma, unsigned long gup_flags) 
 { 
     vm_flags_t vm_flags = vma->vm_flags; 
@@ -923,6 +925,9 @@ static int check_vma_flags(struct vm_area_struct *vma, unsigned long gup_flags) 
     if (gup_flags & FOLL_ANON && !vma_is_anonymous(vma)) 
         return -EFAULT; 
 
+    if (vma_is_hidemem(vma)) 
+        return -EFAULT; 
+ 
     if (write) { 
         if (!(vm_flags & VM_WRITE)) { 
             if (!(gup_flags & FOLL_FORCE)) 

static const struct vm_operations_struct hidemem_vm_ops = { 
        .fault = hidemem_fault, 
}; 
 
bool vma_is_hidemem(struct vm_area_struct *vma) 
{ 
        return vma->vm_ops == &hidemem_vm_ops; 
} 

加上vma_is_hidemem(vma)判斷之后，此時如果使用readmem利用ptrace獲取指定進程內(nèi)存段的時候，會直接報錯，以達到隱藏vma背后page內(nèi)容的目的。

以上patch和測試代碼都在:

https://github.com/x-lugoo/hide-memory 

原始patch:

https://lore.kernel.org/linux-fsdevel/20201203062949.5484-1-rppt@kernel.org/T/#t