- V kontextu běžícího procesu neexistují sekce, pouze segmenty.
mprotectlze použít ke změně oprávnění stránektextsegment je mapován na. Zde je návod, jak toho dosáhnout:Psaní samo-mutujícího x86_64 C programu- z poznámek k
mprotectmanuálová stránka:V Linuxu je vždy přípustné volat mprotect() na jakékoli adrese v adresovém prostoru procesu (kromě oblasti jádra vsyscall). Zejména jej lze použít ke změně existujících mapování kódu tak, aby bylo možné zapisovat .
Informace o sekci jsou uloženy v tabulce záhlaví sekce. Tabulka záhlaví sekcí je pole záhlaví sekcí. Tabulka záhlaví sekcí není mapována na žádný segment a není analyzována zavaděčem programu. Zavaděč používá informace o segmentech pouze při mapování programu do virtuální paměti.
Segmenty – nikoli sekce – mají oprávnění a jsou uložena v záhlaví programu segmentu v p_flags pole. Záhlaví programů se nachází v tabulce záhlaví binárních programů.
To vše je zdokumentováno v kapitolách 4 a 5 v System V ABI (generic).
Ve výstupu níže vidíme oprávnění spojená s každým segmentem pod flags sloupec:
$ readelf -l /bin/ls
Elf file type is EXEC (Executable file)
Entry point 0x404890
There are 9 program headers, starting at offset 64
Program Headers:
Type Offset VirtAddr PhysAddr
FileSiz MemSiz Flags Align
PHDR 0x0000000000000040 0x0000000000400040 0x0000000000400040
0x00000000000001f8 0x00000000000001f8 R E 8
INTERP 0x0000000000000238 0x0000000000400238 0x0000000000400238
0x000000000000001c 0x000000000000001c R 1
[Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
LOAD 0x0000000000000000 0x0000000000400000 0x0000000000400000
0x0000000000019d44 0x0000000000019d44 R E 200000
LOAD 0x0000000000019df0 0x0000000000619df0 0x0000000000619df0
0x0000000000000804 0x0000000000001570 RW 200000
DYNAMIC 0x0000000000019e08 0x0000000000619e08 0x0000000000619e08
0x00000000000001f0 0x00000000000001f0 RW 8
NOTE 0x0000000000000254 0x0000000000400254 0x0000000000400254
0x0000000000000044 0x0000000000000044 R 4
GNU_EH_FRAME 0x000000000001701c 0x000000000041701c 0x000000000041701c
0x000000000000072c 0x000000000000072c R 4
GNU_STACK 0x0000000000000000 0x0000000000000000 0x0000000000000000
0x0000000000000000 0x0000000000000000 RW 10
GNU_RELRO 0x0000000000019df0 0x0000000000619df0 0x0000000000619df0
0x0000000000000210 0x0000000000000210 R 1
Section to Segment mapping:
Segment Sections...
00
01 .interp
02 .interp .note.ABI-tag .note.gnu.build-id .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame
03 .init_array .fini_array .jcr .dynamic .got .got.plt .data .bss
04 .dynamic
05 .note.ABI-tag .note.gnu.build-id
06 .eh_frame_hdr
07
08 .init_array .fini_array .jcr .dynamic .got
.rodatasekce v souborech ELF obsahuje části textového segmentu, které nejsou určeny ke změně.
To není pravda. Celý text segment je Read/Execute.
Ve výchozím nastavení jsou všechny stránky z této části pouze pro čtení a jakýkoli pokus o úpravu spustí obecnou chybu ochrany.
To není pravda. Segmenty, nikoli sekce, jsou mapovány na stránky (proto Align hodnoty) a mají oprávnění (proto Flags hodnoty).
Více informací naleznete zde:
- http://duartes.org/gustavo/blog/post/how-the-kernel-manages-your-memory/
- https://lwn.net/Articles/631631/
- http://nairobi-embedded.org/040_elf_sec_seg_vma_mappings.html#section-segment-vma-mappings
Z návodu:
V Linuxu je vždy přípustné volat mprotect() na jakékoli adrese v adresovém prostoru procesu (kromě oblasti jádra vsyscall). Zejména jej lze použít ke změně existujících mapování kódu na přepisovatelné.
Zde je ukázkový program k předvedení.
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>
#define PAGE_SIZE 4096
const unsigned char rodata[3*PAGE_SIZE] = {1,2,3};
int main(void)
{
printf("rodata = %p\n", rodata);
uintptr_t page_base = ((uintptr_t)rodata / PAGE_SIZE + 1) * PAGE_SIZE;
unsigned char *p = (unsigned char *)rodata + PAGE_SIZE;
//*p = '!'; // this would cause a segfault
puts("Before mprotect:");
system("cat /proc/$PPID/maps");
if (mprotect((void*)page_base, 1, PROT_READ | PROT_WRITE) < 0) {
perror("mprotect");
return 1;
}
puts("After mprotect:");
system("cat /proc/$PPID/maps");
*p = '!';
return 0;
}
Všechna data, která na stránku zapíšete, samozřejmě zůstanou v paměti. Linux vidí, že proces zapisuje na stránku, která je aktuálně mapována jen pro čtení, a vytvoří kopii. V době zápisu to jádro nerozlišuje od kopírování při zápisu po rozvětvení procesu. Můžete to pozorovat rozvětvením, zápisem v jednom procesu a čtením v druhém:druhý proces neuvidí zápis, protože se jedná o zápis do paměti procesu zápisu, nikoli do paměti procesu čtení.
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>
#include <unistd.h>
#define PAGE_SIZE 4096
const unsigned char rodata[3*PAGE_SIZE] = {0};
void writer(char *p)
{
if (mprotect(p, 1, PROT_READ | PROT_WRITE) < 0) {
perror("mprotect");
return 1;
}
puts("After mprotect:");
system("cat /proc/$PPID/maps");
*p = 1;
printf("wrote %d\n", *p);
}
void reader(char *p)
{
printf("read %d\n", *p);
}
int main(void)
{
printf("rodata = %p\n", rodata);
uintptr_t page_base = (((uintptr_t)rodata / PAGE_SIZE + 1) * PAGE_SIZE);
volatile char *p = (volatile char *)page_base;
//*p = '!'; // this would cause a segfault
puts("Before mprotect:");
system("cat /proc/$PPID/maps");
if (fork() == 0) {
writer(p);
} else {
sleep(1);
reader(p);
}
return 0;
}
Mám podezření, že existují zpevňující záplaty, které brání procesu ve změně jeho vlastní mapování paměti, ale já žádnou nabídnout nemám.