程序代码通常位于只读段,但通过mprotect系统调用可以改变内存保护属性,允许代码自我修改。mprotect需要指定内存区域的地址、大小和新的保护标志。尽管如此,由于进程间内存的隔离,不能使用mprotect直接修改其他程序的代码。文中还提供了一个简单的自修改代码示例。
参考链接:https://blog.yanhao.org/?p=271
我们都知道编译器会把程序的代码放在.text段,即代码段。这段地址是只读的,系统在加载的时候会把相应的代码数据附上只读属性,这样当相对其修改的时候就会引发例外。但是系统提供了mprotect系统调用,它可以修改内存的属性,自修改代码就是利用它来实现的。下面看一下mprotect传入的参数:
SYSCALL_DEFINE3(mprotect, unsigned long, start, size_t, len, unsigned long, prot)传入的参数分别为内存区间的地址,区间的大小,新的保护标志设置。所指定的内存区间必须包含整个页:区间地址必须和整个系统页大小对齐,而区间长度必须是页大小的整数倍。这些页的保护标记被这里指定的新保护模式替换。
这样因为mprotect修改属性的部分处于内核态,所以当然可以把代码段变成可写的,然后就可以对程序自己的代码段进行修改,最后提供了一个实例。
那你能通过mprotect去修改其他程序的代码吗?
我觉得是不行的,mprotect提供的第一个参数是程序虚拟内存的地址,我们知道不同程序的虚拟内存是完全隔离的(ASID),你根本访问不到其他程序的物理内存,mprotect根本无法指定到其他程序的内存地址,所以也就无法对其他程序的读写权限做修改。
最后附上一个子修改程序的实现:(来源于网络)
#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/mman.h>
#include <string.h>
#include <stdint.h>
#include <errno.h>
int add(int a, int b)
{
return a + b;
}
char new_func[] = {
0x55,
0x48, 0x89, 0xe5,
0x89, 0x7d, 0xfc,
0x89, 0x75, 0xf8,
0x8b, 0x55, 0xfc,
0x8b, 0x45, 0xf8,
0x01, 0xd0,
0xf7, 0xd8,
0x5d,
0xc3
} ;
int main()
{
printf("%d\n", add(1, 1));
sleep(3);
int pagesize = sysconf(_SC_PAGE_SIZE);
if (pagesize < 0) {
pagesize = 4096;
}
int len = sizeof(new_func);
uintptr_t addr = (((uintptr_t)add) / pagesize) * pagesize;
fprintf(stderr, "%s: iminus: %p, aligned: 0x%lx, sz %d\n", __func__, add, addr, len);
if (mprotect((void*)addr, (uintptr_t)add - addr + len, PROT_WRITE|PROT_READ|PROT_EXEC) < 0) {
fprintf(stderr, "%s\n", strerror(errno));
}
memcpy((void*)add, (void*)new_func, len); //用新代码覆盖旧代码
if (mprotect((void*)addr, (uintptr_t)add - addr + len, PROT_READ|PROT_EXEC) < 0) {
fprintf(stderr, "%s\n", strerror(errno));
}
printf("%d\n", add(1, 1));
sleep(3);
}
注意:新写入的应该是新代码的二进制数据,可以先用c实现:
int add(int a, int b)
{
return -(a + b);
}
int main()
{
return 0;
}然后再用gdb得到函数实际的二进制代码:
gcc -g main.c -o main
gdb -batch -ex 'file main' -ex 'disassemble/rs add'即为new_func.
扫一扫
69
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
