- Bagian tidak ada dalam konteks proses yang berjalan, hanya ada segmen.
mprotectdapat digunakan untuk mengubah izin halamantextsegmen dipetakan ke. Berikut adalah tutorial tentang cara melakukannya:Menulis Program C x86_64 Self-Mutating- dari catatan di
mprotecthalaman manual:Di Linux selalu diizinkan untuk memanggil mprotect() pada alamat apa pun di ruang alamat proses (kecuali untuk area vsyscall kernel). Khususnya dapat digunakan untuk mengubah pemetaan kode yang ada menjadi dapat ditulisi .
Informasi bagian disimpan di tabel header bagian. Tabel header bagian adalah larik header bagian. Tabel header bagian tidak dipetakan ke segmen mana pun, dan tidak diuraikan oleh pemuat program. Loader menggunakan informasi segmen hanya saat memetakan program ke dalam memori virtual.
Segmen - bukan bagian - memiliki izin, dan ini disimpan di header program segmen di p_flags bidang. Header program berada di tabel header program biner.
Semua ini didokumentasikan dalam bab 4 dan 5 di Sistem V ABI (generik).
Pada keluaran di bawah ini, kita dapat melihat izin yang terkait dengan setiap segmen di bawah flags kolom:
$ readelf -l /bin/ls
Elf file type is EXEC (Executable file)
Entry point 0x404890
There are 9 program headers, starting at offset 64
Program Headers:
Type Offset VirtAddr PhysAddr
FileSiz MemSiz Flags Align
PHDR 0x0000000000000040 0x0000000000400040 0x0000000000400040
0x00000000000001f8 0x00000000000001f8 R E 8
INTERP 0x0000000000000238 0x0000000000400238 0x0000000000400238
0x000000000000001c 0x000000000000001c R 1
[Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
LOAD 0x0000000000000000 0x0000000000400000 0x0000000000400000
0x0000000000019d44 0x0000000000019d44 R E 200000
LOAD 0x0000000000019df0 0x0000000000619df0 0x0000000000619df0
0x0000000000000804 0x0000000000001570 RW 200000
DYNAMIC 0x0000000000019e08 0x0000000000619e08 0x0000000000619e08
0x00000000000001f0 0x00000000000001f0 RW 8
NOTE 0x0000000000000254 0x0000000000400254 0x0000000000400254
0x0000000000000044 0x0000000000000044 R 4
GNU_EH_FRAME 0x000000000001701c 0x000000000041701c 0x000000000041701c
0x000000000000072c 0x000000000000072c R 4
GNU_STACK 0x0000000000000000 0x0000000000000000 0x0000000000000000
0x0000000000000000 0x0000000000000000 RW 10
GNU_RELRO 0x0000000000019df0 0x0000000000619df0 0x0000000000619df0
0x0000000000000210 0x0000000000000210 R 1
Section to Segment mapping:
Segment Sections...
00
01 .interp
02 .interp .note.ABI-tag .note.gnu.build-id .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame
03 .init_array .fini_array .jcr .dynamic .got .got.plt .data .bss
04 .dynamic
05 .note.ABI-tag .note.gnu.build-id
06 .eh_frame_hdr
07
08 .init_array .fini_array .jcr .dynamic .got
.rodatabagian dalam file ELF berisi bagian dari segmen teks yang tidak dimaksudkan untuk diubah.
Ini salah. Seluruh text segmen adalah Baca/Jalankan.
Secara default, semua halaman dari bagian ini bersifat hanya-baca, dan setiap upaya modifikasi akan memicu kesalahan perlindungan umum.
Ini salah. Segmen, bukan bagian, dipetakan ke halaman (maka dari itu Align nilai-nilai) dan memiliki izin (maka Flags nilai).
Info lebih lanjut dapat ditemukan di sini:
- http://duartes.org/gustavo/blog/post/how-the-kernel-manages-your-memory/
- https://lwn.net/Articles/631631/
- http://nairobi-embedded.org/040_elf_sec_seg_vma_mappings.html#section-segment-vma-mappings
Dari manual:
Di Linux selalu diizinkan untuk memanggil mprotect() pada alamat apa pun dalam ruang alamat proses (kecuali untuk area vsyscall kernel). Khususnya dapat digunakan untuk mengubah pemetaan kode yang ada menjadi dapat ditulis.
Berikut adalah contoh program untuk didemonstrasikan.
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>
#define PAGE_SIZE 4096
const unsigned char rodata[3*PAGE_SIZE] = {1,2,3};
int main(void)
{
printf("rodata = %p\n", rodata);
uintptr_t page_base = ((uintptr_t)rodata / PAGE_SIZE + 1) * PAGE_SIZE;
unsigned char *p = (unsigned char *)rodata + PAGE_SIZE;
//*p = '!'; // this would cause a segfault
puts("Before mprotect:");
system("cat /proc/$PPID/maps");
if (mprotect((void*)page_base, 1, PROT_READ | PROT_WRITE) < 0) {
perror("mprotect");
return 1;
}
puts("After mprotect:");
system("cat /proc/$PPID/maps");
*p = '!';
return 0;
}
Tentu saja setiap data yang Anda tulis ke halaman tersebut akan tetap tersimpan di memori. Linux melihat bahwa proses sedang menulis ke halaman yang saat ini dipetakan hanya-baca dan membuat salinan. Pada saat penulisan, kernel tidak membedakan ini dari copy-on-write setelah proses bercabang. Anda dapat mengamati ini dengan bercabang, menulis di satu proses dan membaca di proses lainnya:proses lain tidak akan melihat tulisan karena ini adalah tulisan ke memori proses penulisan, bukan ke memori proses pembacaan.
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>
#include <unistd.h>
#define PAGE_SIZE 4096
const unsigned char rodata[3*PAGE_SIZE] = {0};
void writer(char *p)
{
if (mprotect(p, 1, PROT_READ | PROT_WRITE) < 0) {
perror("mprotect");
return 1;
}
puts("After mprotect:");
system("cat /proc/$PPID/maps");
*p = 1;
printf("wrote %d\n", *p);
}
void reader(char *p)
{
printf("read %d\n", *p);
}
int main(void)
{
printf("rodata = %p\n", rodata);
uintptr_t page_base = (((uintptr_t)rodata / PAGE_SIZE + 1) * PAGE_SIZE);
volatile char *p = (volatile char *)page_base;
//*p = '!'; // this would cause a segfault
puts("Before mprotect:");
system("cat /proc/$PPID/maps");
if (fork() == 0) {
writer(p);
} else {
sleep(1);
reader(p);
}
return 0;
}
Saya menduga ada hardening patch yang mencegah proses mengubah pemetaan memorinya sendiri, tetapi saya tidak memilikinya untuk ditawarkan.