BlogJava-Snowdream-随笔分类-Linux

ICS Lab 6

ZelluX — Sat, 17 May 2008 14:28:00 GMT

重定向：

主要用到open, close, read和write这几个函数，关于它们的使用方法可以使用
man 2 <函数名>
查看。

这里简单介绍下：
Linux内核为每个进程维护了一张已打开的文件的表格，用File Descriptor（整型，以下简写成fd）可以访问到这些文件。所以很容易理解tsh.c中的函数listjobs为什么需要
一个output_fd的整型参数，注意它的后面有这么一行：
if (writer(output_fd, buf, strlen(buf)) < 0) …

这一行就把前面构造好的buf字符串（包括当前进程的信息）输出到这个output_fd对应的文件中了。

每个进程的值为0, 1, 2的fd都指向相同的文件，0对应标准输入（通常是键盘输入），1对应标准输出（通常为屏幕），2对应标准错误输出。

可以看到在main方法的开头，有这么一句
dup2(1, 2);

dup2的作用是把参数二指向的文件改成和参数一一样（如果之前打开了文件，则先关闭），这句话的作用就是把原来要输出到标准错误端(stderr)的内容
输出到标准输出端(stdout)，便于调试。

理解了fd和dup2的作用后，重定向也就很容易实现了，一种最简单的方法就是先用open函数打开输出文件并得到对应的fd，然后用dup2把标准输出/输入端的指向改成文件的fd
。

另外注意用open创建输出重定向的文件的时候要加上S_IRUSR和S_IWUSR选项，否则创建后的文件没有读写权限。（不过好像这个lab的测试数据比较厚道，会事先touch一下，不加这两个选项应该也能通过测试）

一些文档中未定义的行为：
argv
假如我输入的命令是/bin/ls -l > ls.txt，对应的argv应该包括哪些内容呢？
一般的情况argv的内容应该是['/bin/ls', '-l']，后面的重定向符是不包括的不过在这个lab中似乎没有这个限制，不去掉重定向和管道部分应该还是能通过测试的。

Job ID的分配
如果现在1, 2, 4号子任务在后台运行，再新增一个进程的话应该给它分配多少呢？
这个问题不需要处理，只要所有的jobs队列操作统一使用tsh.c中给出的几个函数就行。

其他：
关于信号的转发、后台前台的转换等内容，文档和书上都说得很清楚了，这里不再赘述。

P.S. 多进程程序的调试大家之前应该接触的比较少，其实这个lab大致的代码不难写，难点在于细节上的debug比较困难，调试过程对第八章的理解很有帮助。

ZelluX 2008-05-17 22:28 发表评论

vim中.cpp的配置和c.vim中指定的一样

ZelluX — Wed, 16 Apr 2008 16:48:00 GMT

~/.vim/ftplugin/ 下有c.vim和cpp.vim
但是vim打开cpp和c文件时使用的配置都是c.vim中指定的

使用vim xxx.cpp -V跟踪了打开的配置列表，发现有这么一段

line 17: sourcing "/usr/share/vim/ftplugin/cpp.vim"
Searching for "ftplugin/c.vim ftplugin/c_*.vim ftplugin/c/*.vim" in "/home/wyx/.vim,/usr/share/vim,/usr/share/vim,
/usr/share/vim/after,/home/wyx/.vim/after"
Searching for "/home/wyx/.vim/ftplugin/c.vim"
line 12: sourcing "/home/wyx/.vim/ftplugin/c.vim"

原来/usr/share/vim/ftplugin/cpp.vim中直接调用了c.vim
runtime! ftplugin/c.vim ftplugin/c_*.vim ftplugin/c/*.vim
把这行注释掉，问题解决

ZelluX 2008-04-17 00:48 发表评论

读核笔记(6) - 虚拟存储

ZelluX — Wed, 27 Feb 2008 15:29:00 GMT

本来想看完pagefault的处理的，不过实验室有事情了，只能先把这一半放上来了。

页面的分配与回收使用了一个叫做buddy allocator的机制，kernelnewbies上的解释
The memory allocation scheme used in the kernel. A vector of lists of free pages is kept, ordered by the size of the chunk (in powers of two). When a chunk is allocated, it is removed from the relevant list. When a chunk is freed back to the free pages pool, it is placed in the relevant list, starting from the top. If it is physically contiguous with a present chunk, they are merged and placed in the list above (i.e. where the chunks are twice the size), and this operation percolates up the vector. As regions are merged whenever possible, this design helps to reduce memory fragmentation.

首先在zone_struct{} 中保存了一个free_area_t数组，这个数组记录了各种大小的空闲内存块的信息。
include/linux/mmzone.h:

/*
* On machines where it is needed (eg PCs) we divide physical memory
* into multiple physical zones. On a PC we have 3 zones:
*
* ZONE_DMA      < 16 MB    ISA DMA capable memory
* ZONE_NORMAL    16-896 MB    direct mapped by the kernel
* ZONE_HIGHMEM     > 896 MB    only page cache and user processes
*/
typedef struct zone_struct {
     /*
     * Commonly accessed fields:
      */
    spinlock_t         lock ;
    unsigned long         free_pages;
    unsigned long         pages_min, pages_low, pages_high;
     int             need_balance;

     /*
     * free areas of different sizes
      */
     // 数组中每个元素依次维护1个pagesize，2个pagesize，4个pagesize……的空闲块的链表
    free_area_t        free_area[MAX_ORDER];

     /*
     * Discontig memory support fields.
      */
     struct pglist_data     * zone_pgdat;
     struct page         * zone_mem_map;
    unsigned long         zone_start_paddr;
    unsigned long         zone_start_mapnr;

     /*
     * rarely used fields:
      */
     char              * name;
    unsigned long         size;
} zone_t;

free_area_struct {}

页面分配时，找到适合大小的free_area_struct{}，然后从free_list中找有没有空闲的内存块，如果没有就找更大的free_area_struct{}，因为大小都是2^n，很容易把大块内存拆开，一块分配给请求，剩下的保存到对应大小的队列中。
页面回收时主要的问题是如何解决过多的内存碎片。当页面块被释放时，先检查是否有相同大小的相邻空闲块存在，如果有的话就结合起来（递归过程）。

ZelluX 2008-02-27 23:29 发表评论

Patching CVE-2008-0600, Local Root Exploit

ZelluX — Wed, 27 Feb 2008 15:15:00 GMT

几天前的bug了，突然有兴趣想再试试

http://kerneltrap.org/Linux/Patching_CVE-2008-0600_Local_Root_Exploit

ZelluX 2008-02-27 23:15 发表评论

[zz]LKM Rootkits on Linux x86 v2.6

ZelluX — Tue, 26 Feb 2008 11:36:00 GMT

摘要: 转载自水木KernelTech版。关于hack系统调用表的一篇文章，里面还涉及了上学期ICS Lab中的二进制代码注入，很好很强大。略作整理（为什么技术博客默认的字体不是等宽的 T.T）=-|================================================-{ www.enye-sec.org }-====|=-[ LKM Rootkits on Linux x86... 阅读全文

ZelluX 2008-02-26 19:36 发表评论

信号量使用例程

ZelluX — Thu, 21 Feb 2008 07:13:00 GMT

摘要: Unix - semaphore examplehttp://docs.linux.cz/programming/c/unix_examples/semab.htmlCode highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/-->/**//* semabinit.c ... 阅读全文

ZelluX 2008-02-21 15:13 发表评论

读核笔记(5) - 共享内存

ZelluX — Thu, 21 Feb 2008 06:10:00 GMT

摘要: ipc/shm.c: sys_shmat 连接共享内存 Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/--> ... 阅读全文

ZelluX 2008-02-21 14:10 发表评论

Hacking the Kernel - 修改系统调用表

ZelluX — Tue, 19 Feb 2008 06:55:00 GMT

昨天硬是没找到正确的sys_call_table的地址，原来我之前在虚拟机上装的ArchLinux是64位的。。
今天在真机上成功地修改了系统调用表。
测试环境：ArchLinux 2.6.24

1. 2.4.20以后的内核出于安全考虑，没有导出sys_call_table符号，所以要先通过System.map找到sys_call_table的地址
$ cat /boot/System.map26 | grep sys_call_table
c0375680 R sys_call_table
另外也可以用nm工具获得vmlinux中的所有符号
$ nm /usr/src/linux-2.6.24-ARCH/vmlinux | grep sys_call_table
结果一样

2. 以添加一个把uid改成root(0)为例，写一个内核模块：
addcall.c

对应的Makefile：

3. 使用insmod addcall.ko载入模块后，用dmesg可以看到the call has been added.
4. 测试程序
test.c

使用gcc -o test test.c编译

5. 运行./test，即可看到类似的成功信息：
Previous uid = 1002
Current uid = 0

6. 卸载模块rmmod addcall，此时再次运行./test就会失败

ZelluX 2008-02-19 14:55 发表评论

读核笔记(4) - 共享内存

ZelluX — Tue, 19 Feb 2008 03:30:00 GMT

《边干边学》上一个简单的共享内存的例程：

主要的API：
shmget 创建一块共享内存
shmat 将一块已经存在的共享内存映射到一个进程的地址空间
shmdt 取消一个进程的地址空间中的一块共享块的映射
shmctl 管理共享内存，和ioctl的风格很像

每一个新创建的共享都由一个shmid_ds{}表示。struct shmid_ds在linux/shm.h中的定义：

其中存放权限信息的ipc_perm{}的定义为：
include/linux/ipc.h

mode为该共享的内存的读写权限，和chmod的参数有点像。mode低九位定义了访问许可，解释如下：
0400 用户可读 0200用户可写 0040 组成员可读 0020 组成员可写 0004 其他用户可读 0002 其他用户可写
没有执行位 0100 0010 和 0001

ZelluX 2008-02-19 11:30 发表评论

读核笔记(3) - 系统调用

ZelluX — Mon, 18 Feb 2008 06:35:00 GMT

_syscall 宏：
最简单的没有参数的系统调用的实现：

/* XXX - _foo needs to be __foo, while __NR_bar could be _NR_bar. */
#define _syscall0(type,name) \
type name(void) \
{ \
long __res; \
__asm__ volatile ("int $0x80" \
: "=a" (__res) \
: "0" (__NR_##name)); \
__syscall_return(type,__res); \
}

以getuid()为例，_syscall0(int, getuid)展开后就变成

int getuid(void)
{
    long __res;
    __asm__ volatile("int $0x80"
                    :"=a" (__res)
                    :"0"  (__NR_getuid));
    __syscall_return(int, __res);
}

程序把系统调用号__NR_getuid放入eax寄存器，然后调用软中断。
include/asm-i386/hw_irq.h中的定义：
00025 #define SYSCALL_VECTOR 0x80;

arch/i386/kernel/traps.c中把该中断号绑定到system_call函数：
00944 set_system_gate(SYSCALL_VECTOR,&system_call);

system_call函数在arch/i386/kernel/entry.S中：

ENTRY(system_call)
    pushl %eax            # save orig_eax
    SAVE_ALL
    GET_CURRENT(%ebx)
    testb $0x02,tsk_ptrace(%ebx)    # PT_TRACESYS
    jne tracesys
    cmpl $(NR_syscalls),%eax
    jae badsys
    call *SYMBOL_NAME(sys_call_table)(,%eax,4)
    movl %eax,EAX(%esp)        # save the return value
ENTRY(ret_from_sys_call)
    cli                # need_resched and signals atomic test
    cmpl $0,need_resched(%ebx)
    jne reschedule
    cmpl $0,sigpending(%ebx)
    jne signal_return
restore_all:
    RESTORE_ALL

主要步骤：
1. 保留一份系统调用号的最初拷贝
2. 保存堆栈环境(SAVE_ALL)
3. 得到当前task_struct的地址，保存到ebx中
4. 检查系统调用号
5. 根据%eax调用号计算地址，调用相应函数
6. 在entry.S后面可以看到，

.data
ENTRY(sys_call_table)
    .long SYMBOL_NAME(sys_ni_syscall)    /* 0  -  old "setup()" system call*/

    .long SYMBOL_NAME(sys_getuid16)
    .long SYMBOL_NAME(sys_stime)        /* 25 */
    .long SYMBOL_NAME(sys_ptrace)

sys_call_table + %eax * 4是sys_getuid16地址，kernel/uid16.c中：

asmlinkage long sys_getuid16(void)
{
return high2lowuid(current->uid);
}

很简单的处理代码，返回当前进程的uid。这里asmlinkage修饰符表示函数必须从堆栈中，而不是从寄存器中拿参数（防止gcc用寄存器传参优化）。
7. 保存返回值eax到堆栈中的eax
8. RESTORE_ALL

另外这里再提一下GET_CURRENT的实现

#define GET_CURRENT(reg) \
movl $-8192, reg; \
andl %esp, reg

很巧妙的实现，把栈指针与掩码-8192做与操作，末尾13位清零，就是当前的进程的task_struct地址了。

接下来是利用内核模块动态添加一个系统调用的例程，由于2.4.20以后sys_call_table符号不再被导出了，要获得这个地址得手动hack。尚未成功，下次回过头来看看。

ZelluX 2008-02-18 14:35 发表评论

读核笔记(2) - 内核模块

ZelluX — Sun, 10 Feb 2008 10:53:00 GMT

摘要: /proc文件系统不是直接从内核的存储区中读写数据，二是通过回调函数实现文件读写的。struct proc_dir_entry有一对读写操作函数指针read_proc_t, write_proc_t。一个编写内核模块操作proc文件系统的例子，书上的源程序是在2.4.18下跑起来的，改了三个地方在2.6.23下成功运行。当然Makefile也按照2.6中make modules的方式写了。 ... 阅读全文

ZelluX 2008-02-10 18:53 发表评论