我需要为可加载的ELF可执行文件段确定VMA。 VMA可以从/proc/pid/maps打印。 maps显示的VMA与可加载段之间的关系对我来说也很清楚。每个部分由一个或多个VMA组成。内核用于从ELF段形成VMA的方法是什么:它还需要考虑权限/标志还是其他东西?根据我的理解,带有标志Read, Execute(代码)的段将进入具有相同权限的单独VMA。具有权限读取,写入(数据)的下一个分段应该在其他VMA中。但这不是第二个可加载段的情况,它通常分为两个或多个VMA:一些使用read and write,另一些使用read only。所以我认为旗帜是VMA生成的唯一罪魁祸首似乎是错误的。我需要帮助来理解段和VMA之间的这种关系。
我想要做的是以编程方式确定ELF的可加载段的VMA,而不将其加载到内存中。所以这方面的任何指针/帮助都是这篇文章的主要目标。
答案 0 :(得分:9)
VMA是虚拟内存的同构区域,具有:
相同的权限(PROT_EXEC等);
相同类型(MAP_SHARED/MAP_PRIVATE);
相同的支持文件(如果有的话);
文件中的一致偏移。
例如,如果您的VMA是RW并且mprotect PROT_READ(您删除了写入的权限)在VMA中间的部分,内核将将VMA拆分为三个VMA(第一个是RW,第二个是R,最后一个是RW。
让我们从可执行文件中查看典型的VMA:
$ cat /proc/$$/maps 00400000-004f2000 r-xp 00000000 08:01 524453 /bin/bash 006f1000-006f2000 r--p 000f1000 08:01 524453 /bin/bash 006f2000-006fb000 rw-p 000f2000 08:01 524453 /bin/bash 006fb000-00702000 rw-p 00000000 00:00 0 [...]
第一个VMA是文本段。第二,第三和第四个VMA是数据段。
.bss 在流程开始时,您将拥有以下内容:
$ cat /proc/$$/maps 00400000-004f2000 r-xp 00000000 08:01 524453 /bin/bash 006f1000-006fb000 rw-p 000f1000 08:01 524453 /bin/bash 006fb000-00702000 rw-p 00000000 00:00 0 [...]
006f1000-006fb000是来自可执行文件的文本段的一部分。
006fb000-00702000在可执行文件中不存在,因为它最初用零填充。该过程的非初始化变量全部组合在一起(在.bss段中),并且未在可执行文件中表示以节省空间(1)。
这来自可执行文件(PT_LOAD)的程序头表的readelf -l条目,它描述了要映射到内存的段:
Type Offset VirtAddr PhysAddr
FileSiz MemSiz Flags Align
[...]
LOAD 0x0000000000000000 0x0000000000400000 0x0000000000400000
0x00000000000f1a74 0x00000000000f1a74 R E 200000
LOAD 0x00000000000f1de0 0x00000000006f1de0 0x00000000006f1de0
0x0000000000009068 0x000000000000f298 RW 200000
[...]
如果查看相应的PT_LOAD条目,您会注意到该段的一部分未在文件中表示(因为文件大小小于内存大小)。
数据段中不在可执行文件中的部分用零初始化:动态链接器对数据段的这一部分使用MAP_ANONYMOUS映射。这就是为什么显示为单独的VMA(它没有相同的后备文件)。
PT_GNU_RELRO)当动态链接器完成重定位(2)时,它可能会将数据段的某些部分(.got部分)标记为只读,以避免GOT中毒攻击或错误。在程序头表的PT_GNU_RELRO条目描述的重定位之后应该保护的数据段的部分:完成重定位后的给定区域的动态链接器mprotect(addr, len, PROT_READ)(3)。此mprotect来电将第二个VMA分成两个VMA(第一个R和第二个RW)。
Type Offset VirtAddr PhysAddr
FileSiz MemSiz Flags Align
[...]
GNU_RELRO 0x00000000000f1de0 0x00000000006f1de0 0x00000000006f1de0
0x0000000000000220 0x0000000000000220 R
[...]
VMA
00400000-004f2000 r-xp 00000000 08:01 524453 /bin/bash 006f1000-006f2000 r--p 000f1000 08:01 524453 /bin/bash 006f2000-006fb000 rw-p 000f2000 08:01 524453 /bin/bash 006fb000-00702000 rw-p 00000000 00:00 0
源自VirtAddr和MemSiz条目的Flags,PT_LOAD和PT_GNU_RELRO字段:
Type Offset VirtAddr PhysAddr
FileSiz MemSiz Flags Align
[...]
LOAD 0x0000000000000000 0x0000000000400000 0x0000000000400000
0x00000000000f1a74 0x00000000000f1a74 R E 200000
LOAD 0x00000000000f1de0 0x00000000006f1de0 0x00000000006f1de0
0x0000000000009068 0x000000000000f298 RW 200000
[...]
GNU_RELRO 0x00000000000f1de0 0x00000000006f1de0 0x00000000006f1de0
0x0000000000000220 0x0000000000000220 R
[...]
首先,所有PT_LOAD条目都是进程。它们中的每一个都使用mmap()触发创建一个VMA。此外,如果MemSiz > FileSiz,则可能会创建一个额外的匿名VMA。
然后所有(在实践中只有一次)PT_GNU_RELRO是进程。它们中的每一个都会触发mprotect()调用,这可能会将现有的VMA拆分为不同的VMA。
为了做你想做的事,正确的方法可能是模拟mmap和mprotect来电:
// Virtual Memory Area:
struct Vma {
std::uint64_t addr, length;
std::string file_name;
int prot;
int flags;
std::uint64_t offset;
};
// Virtual Address Space:
class Vas {
private:
std::list<Vma> vmas_;
public:
Vma& mmap(
std::uint64_t addr, std::uint64_t length, int prot,
int flags, int fd, off_t offset);
int mprotect(std::uint64_t addr, std::uint64_t len, int prot);
std::list<Vma> const& vmas() const { return vmas_; }
};
for (Elf32_Phdr const& h : phdrs)
if (h.p_type == PT_LOAD) {
vas.mmap(...);
if (anon_size)
vas.mmap(...);
}
for (Elf32_Phdr const& h : phdrs)
if (h.p_type == PT_GNU_RELRO)
vas.mprotect(...);
地址略有不同,因为VMA是页面对齐的(3)(对于x86和x86_64使用4Kio = 0x1000页):
第一个VMA由第一个PT_LOAD条目描述:
vma[0].start = page_floor(load[0].virt_addr)
= 0x400000
vma[0].end = page_ceil(load[1].virt_addr + load[1].phys_size)
= page_ceil(0x400000 + 0xf1a74)
= page_ceil(0x4f1a74)
= 0x4f2000
下一个VMA是受保护的数据段的一部分,由PT_GNU_RELRO描述:
vma[1].start = page_floor(relro[0].virt_addr)
= page_floor(0xf1de0)
= 0x6f1000
vma[1].end = page_ceil(relro[0].virt_addr + relo[0].mem_size)
= page_ceil(0x6f1de0 + 0x220)
= page_ceil(0x6f2000)
= 0x6f2000
[...]
Section Headers:
[Nr] Name Type Address Offset
Size EntSize Flags Link Info Align
[ 0] NULL 0000000000000000 00000000
0000000000000000 0000000000000000 0 0 0
[ 1] .interp PROGBITS 0000000000400238 00000238
000000000000001c 0000000000000000 A 0 0 1
[ 2] .note.ABI-tag NOTE 0000000000400254 00000254
0000000000000020 0000000000000000 A 0 0 4
[ 3] .note.gnu.build-i NOTE 0000000000400274 00000274
0000000000000024 0000000000000000 A 0 0 4
[ 4] .gnu.hash GNU_HASH 0000000000400298 00000298
0000000000004894 0000000000000000 A 5 0 8
[ 5] .dynsym DYNSYM 0000000000404b30 00004b30
000000000000d6c8 0000000000000018 A 6 1 8
[ 6] .dynstr STRTAB 00000000004121f8 000121f8
0000000000008c25 0000000000000000 A 0 0 1
[ 7] .gnu.version VERSYM 000000000041ae1e 0001ae1e
00000000000011e6 0000000000000002 A 5 0 2
[ 8] .gnu.version_r VERNEED 000000000041c008 0001c008
00000000000000b0 0000000000000000 A 6 2 8
[ 9] .rela.dyn RELA 000000000041c0b8 0001c0b8
00000000000000c0 0000000000000018 A 5 0 8
[10] .rela.plt RELA 000000000041c178 0001c178
00000000000013f8 0000000000000018 AI 5 12 8
[11] .init PROGBITS 000000000041d570 0001d570
000000000000001a 0000000000000000 AX 0 0 4
[12] .plt PROGBITS 000000000041d590 0001d590
0000000000000d60 0000000000000010 AX 0 0 16
[13] .text PROGBITS 000000000041e2f0 0001e2f0
0000000000099c42 0000000000000000 AX 0 0 16
[14] .fini PROGBITS 00000000004b7f34 000b7f34
0000000000000009 0000000000000000 AX 0 0 4
[15] .rodata PROGBITS 00000000004b7f40 000b7f40
000000000001ebb0 0000000000000000 A 0 0 64
[16] .eh_frame_hdr PROGBITS 00000000004d6af0 000d6af0
000000000000407c 0000000000000000 A 0 0 4
[17] .eh_frame PROGBITS 00000000004dab70 000dab70
0000000000016f04 0000000000000000 A 0 0 8
[18] .init_array INIT_ARRAY 00000000006f1de0 000f1de0
0000000000000008 0000000000000000 WA 0 0 8
[19] .fini_array FINI_ARRAY 00000000006f1de8 000f1de8
0000000000000008 0000000000000000 WA 0 0 8
[20] .jcr PROGBITS 00000000006f1df0 000f1df0
0000000000000008 0000000000000000 WA 0 0 8
[21] .dynamic DYNAMIC 00000000006f1df8 000f1df8
0000000000000200 0000000000000010 WA 6 0 8
[22] .got PROGBITS 00000000006f1ff8 000f1ff8
0000000000000008 0000000000000008 WA 0 0 8
[23] .got.plt PROGBITS 00000000006f2000 000f2000
00000000000006c0 0000000000000008 WA 0 0 8
[24] .data PROGBITS 00000000006f26c0 000f26c0
0000000000008788 0000000000000000 WA 0 0 64
[25] .bss NOBITS 00000000006fae80 000fae48
00000000000061f8 0000000000000000 WA 0 0 64
[26] .shstrtab STRTAB 0000000000000000 000fae48
00000000000000ef 0000000000000000 0 0 1
您将各部分的地址(readelf -S)与VMA的范围进行比较,找到映射:
00400000-004f2000 r-xp /bin/bash : .interp, .note.ABI-tag, .note.gnu.build-id, .gnu.hash, .dynsym, .dynstr, .gnu.version, .gnu.version_r, .rela.dyn, .rela.plt, .init, .plt, .text, .fini, .rodata.eh_frame_hdr, .eh_frame 006f1000-006f2000 r--p /bin/bash : .init_array, .fini_array, .jcr, .dynamic, .got 006f2000-006fb000 rw-p /bin/bash : .got.plt, .data, beginning of .bss 006fb000-00702000 rw-p - : rest of .bss
(1):实际上,它更复杂:.bss部分的一部分可能会在可执行文件中表示,以用于页面对齐。
(2):事实上,当它完成了非懒惰的重定位时。
(3):MMU操作正在使用页面粒度,因此mmap(),mprotect(),munmap()调用的内存范围将扩展到覆盖整页。