.rodataELF 文件中的段包含不应更改的数据。默认情况下,该段中的所有页面都是只读的,任何修改尝试都会触发一般保护错误。Linux 系统调用mprotect()能够逐页修改访问权限。我想知道.rodata内核是否强制执行只读性质,这样这样的系统调用就无法更改其访问权限,或者内核是否只是为页面设置了默认权限。如果前者是真的,那么可以依靠只读数据段来防止即使是受感染的程序在运行时修改它。
Linux 内核是否强制执行 的只读性质.rodata?
mprotect() 可以用来改变.rodata 的权限吗?
信息安全
linux
核心
2021-08-17 20:34:41
2个回答
- 正在运行的进程的上下文中不存在节,只有段。
mprotect可用于更改text段映射到的页面的权限。这是一个关于如何完成此操作的教程:编写自变异 x86_64 C 程序- 从
mprotect手册页上的注释:在 Linux 上,总是允许对进程地址空间中的任何地址调用 mprotect()(内核 vsyscall 区域除外)。特别是它可用于将现有的代码映射更改为可写。
节信息存储在节头表中。节头表是节头的数组。节头表没有映射到任何段,也没有被程序加载器解析。加载程序仅在将程序映射到虚拟内存时才使用段信息。
段(而不是段)具有权限,这些权限存储在段的程序头p_flags字段中。程序头位于二进制的程序头表中。
所有这些都记录在System V ABI (generic)的第 4 章和第 5 章中。
在下面的输出中,我们可以在列下看到与每个段关联的权限flags:
$ readelf -l /bin/ls
Elf file type is EXEC (Executable file)
Entry point 0x404890
There are 9 program headers, starting at offset 64
Program Headers:
Type Offset VirtAddr PhysAddr
FileSiz MemSiz Flags Align
PHDR 0x0000000000000040 0x0000000000400040 0x0000000000400040
0x00000000000001f8 0x00000000000001f8 R E 8
INTERP 0x0000000000000238 0x0000000000400238 0x0000000000400238
0x000000000000001c 0x000000000000001c R 1
[Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
LOAD 0x0000000000000000 0x0000000000400000 0x0000000000400000
0x0000000000019d44 0x0000000000019d44 R E 200000
LOAD 0x0000000000019df0 0x0000000000619df0 0x0000000000619df0
0x0000000000000804 0x0000000000001570 RW 200000
DYNAMIC 0x0000000000019e08 0x0000000000619e08 0x0000000000619e08
0x00000000000001f0 0x00000000000001f0 RW 8
NOTE 0x0000000000000254 0x0000000000400254 0x0000000000400254
0x0000000000000044 0x0000000000000044 R 4
GNU_EH_FRAME 0x000000000001701c 0x000000000041701c 0x000000000041701c
0x000000000000072c 0x000000000000072c R 4
GNU_STACK 0x0000000000000000 0x0000000000000000 0x0000000000000000
0x0000000000000000 0x0000000000000000 RW 10
GNU_RELRO 0x0000000000019df0 0x0000000000619df0 0x0000000000619df0
0x0000000000000210 0x0000000000000210 R 1
Section to Segment mapping:
Segment Sections...
00
01 .interp
02 .interp .note.ABI-tag .note.gnu.build-id .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame
03 .init_array .fini_array .jcr .dynamic .got .got.plt .data .bss
04 .dynamic
05 .note.ABI-tag .note.gnu.build-id
06 .eh_frame_hdr
07
08 .init_array .fini_array .jcr .dynamic .got
ELF 文件中的
.rodata部分包含不应更改的部分文本段。
这是错误的。整个text段是读取/执行。
默认情况下,此部分中的所有页面都是只读的,任何修改尝试都会触发一般保护错误。
这是错误的。段,而不是部分,映射到页面(因此是Align值)并具有权限(因此是Flags值)。
更多信息可以在这里找到:
从手册:
在 Linux 上,总是允许对进程地址空间中的任何地址调用 mprotect()(内核 vsyscall 区域除外)。特别是它可用于将现有的代码映射更改为可写。
这是一个示例程序来演示。
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>
#define PAGE_SIZE 4096
const unsigned char rodata[3*PAGE_SIZE] = {1,2,3};
int main(void)
{
printf("rodata = %p\n", rodata);
uintptr_t page_base = ((uintptr_t)rodata / PAGE_SIZE + 1) * PAGE_SIZE;
unsigned char *p = (unsigned char *)rodata + PAGE_SIZE;
//*p = '!'; // this would cause a segfault
puts("Before mprotect:");
system("cat /proc/$PPID/maps");
if (mprotect((void*)page_base, 1, PROT_READ | PROT_WRITE) < 0) {
perror("mprotect");
return 1;
}
puts("After mprotect:");
system("cat /proc/$PPID/maps");
*p = '!';
return 0;
}
当然,您写入页面的任何数据都将保留在内存中。Linux 看到该进程正在写入当前映射为只读的页面并进行复制。在写入时,内核不会在进程分叉后将此与写时复制区分开来。您可以通过分叉,在一个进程中写入并在另一个进程中读取来观察这一点:另一个进程不会看到写入,因为它是写入写入进程的内存,而不是读取进程的内存。
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>
#include <unistd.h>
#define PAGE_SIZE 4096
const unsigned char rodata[3*PAGE_SIZE] = {0};
void writer(char *p)
{
if (mprotect(p, 1, PROT_READ | PROT_WRITE) < 0) {
perror("mprotect");
return 1;
}
puts("After mprotect:");
system("cat /proc/$PPID/maps");
*p = 1;
printf("wrote %d\n", *p);
}
void reader(char *p)
{
printf("read %d\n", *p);
}
int main(void)
{
printf("rodata = %p\n", rodata);
uintptr_t page_base = (((uintptr_t)rodata / PAGE_SIZE + 1) * PAGE_SIZE);
volatile char *p = (volatile char *)page_base;
//*p = '!'; // this would cause a segfault
puts("Before mprotect:");
system("cat /proc/$PPID/maps");
if (fork() == 0) {
writer(p);
} else {
sleep(1);
reader(p);
}
return 0;
}
我怀疑有一些强化补丁可以防止进程更改自己的内存映射,但我没有提供。