2. 程式人生 > >多執行緒記憶體問題分析之mprotect方法

多執行緒記憶體問題分析之mprotect方法

阿新 發佈:2019-02-05

http://www.yebangyu.org/blog/2016/02/01/detectmemoryghostinmultithread/

多執行緒中的記憶體問題,一直被認為是噩夢般的存在,幾乎只有高手、大仙才能解決。除了大量的打log、gdb除錯、code review以及依靠多年的經驗和直覺之外,有沒有一些分析的手段和工具呢?答案是肯定的。本文首先介紹其中的一種:mprotect大法。通過mprotect,保護特定的感興趣的記憶體,當有執行緒改寫該區域時,會產生一箇中斷,我們在中斷處理函式中把呼叫棧等資訊打印出來。這是大概的思路,不過其中的問題很多,我們慢慢道來。

原理

mprotect函式

mprotect函式的原型如下:

int mprotect(const void *addr, size_t len, int prot);

其中addr是待保護的記憶體首地址,必須按頁對齊;len是待保護記憶體的大小,必須是頁的整數倍,prot代表模式,可能的取值有PROT_READ(表示可讀)、PROT_WRITE(可寫)等。

不同體系結構和作業系統,一頁的大小不盡相同。如何獲得頁大小呢?通過PAGE_SIZE巨集或者getpagesize()系統呼叫即可。

定製中斷處理函式

當執行緒試圖對我們已保護(成只讀)的記憶體進行篡改時,預設情況下程式會收到SIGSEGV錯誤而退出。能不能不退出並且把相應的呼叫棧打印出來分析?當然可以。通過如下程式碼註冊你定製的中斷處理函式即可:

struct sigaction act;
act.sa_sigaction = your_handler;
sigemptyset(&act.sa_mask);
act.sa_flags = SA_SIGINFO;
if(sigaction(SIGSEGV, &act, NULL) == -1) {
  perror("Register hanlder failed");
  exit(EXIT_FAILURE);
}

這樣,控制流就會到達你編寫的your_handler函式上。而your_handler的函式原型是:

void your_handler(int sig, siginfo_t *si, void *unused);

編寫your_handler函式即可?是的,不過這裡面有兩個注意事項:

1,中斷處理函式裡不應該呼叫記憶體分配函式,否則可能會引起double fault。因此,不適合呼叫backtrace_symbols(內部會動態分配記憶體),而是通過backtrace_symbols_fd直接將呼叫棧資訊直接刷到檔案中。

2,中斷處理函式中應該恢復被保護記憶體為可寫,否則會引起死迴圈。(再次中斷並進入咱們編寫的函式)

封裝

為了方便使用,我封裝了一個類,供參考:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73

#include <fcntl.h>
#include <signal.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/stat.h>
#include <unistd.h>
#include <sys/user.h>
#include <execinfo.h>
class MemoryDetector
{
public:
  typedef void (*segv_handler) (int sig, siginfo_t *si, void *unused);
  static void init(const char *path)
  {
    register_handler(handler);
    fd_ = open(path, O_RDWR|O_CREAT, 777);
  }
  static int protect(void *p, int len)
  {
    address_ = reinterpret_cast<uint64_t>(p);
    len_ = len;
    uint64_t start_address = (address_ >> PAGE_SHIFT) << PAGE_SHIFT;
    return mprotect(reinterpret_cast<void *>(start_address), PAGE_SIZE, PROT_READ);
  }
  static int umprotect(void *p, int len)
  {
    uint64_t tmp_address_ = reinterpret_cast<uint64_t>(p);
    uint64_t start_address = (tmp_address_ >> PAGE_SHIFT) << PAGE_SHIFT;
    return mprotect(reinterpret_cast<void *>(start_address), PAGE_SIZE, PROT_READ | PROT_WRITE);
  }
  static int umprotect()
  {
    uint64_t start_address = (address_ >> PAGE_SHIFT) << PAGE_SHIFT;
    return mprotect(reinterpret_cast<void *>(start_address), PAGE_SIZE, PROT_READ | PROT_WRITE);
  }
  static void finish()
  {
    close(fd_);
  }
private:
  static void register_handler(segv_handler sh)
  {
    struct sigaction act;
    act.sa_sigaction = sh;
    sigemptyset(&act.sa_mask);
    act.sa_flags = SA_SIGINFO;
    if(sigaction(SIGSEGV, &act, NULL) == -1){
      perror("Register hanlder failed");
      exit(EXIT_FAILURE);
    }
  }
  static void handler(int sig, siginfo_t *si, void *unused)
  {
    uint64_t address = reinterpret_cast<uint64_t>(si->si_addr);
    if (address >= address_ && address < address_ + len_) {
      umprotect(si->si_addr, PAGE_SIZE);
      my_backtrace();
    }
  }
  static void my_backtrace()
  {
    const int N = 100;
    void* array[100];
    size_t size = backtrace(array, N);
    backtrace_symbols_fd(array, size, fd_);
  }
  static uint64_t address_;
  static int len_;
  static int fd_;
};

這個封裝還存在一些問題,比如缺少錯誤處理,待保護記憶體必須在一頁內等。讀者諸君可以根據需要自行完善。

實戰

來個例子,實戰一下吧

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

#include "test.h" //就是上面封裝的MemoryDetector類
#include <thread>
using namespace std;
uint64_t MemoryDetector::address_ = 0;
int MemoryDetector::len_ = 0;
int MemoryDetector::fd_ = 0;
///////////////////////////////////////
int *p = NULL;
void g()
{
  usleep(2000000);
  char *q = reinterpret_cast<char *>(p);
  *(q+2) = 111;//非法篡改!!!
}
void f()
{
  p = new int(1);
  MemoryDetector::protect(p, 4);
}
int main()
{
  const char *path = "result.tmp";//呼叫棧資訊存放路徑
  MemoryDetector::init(path);
  std::thread t1(f);
  std::thread t2(g);
  t1.join();
  t2.join();
  MemoryDetector::finish();
  return 0;
}

用如下方式編譯連結以上程式:

g++ -g -rdynamic -std=c++11 -pthread  test.cpp -o test

程式執行結束後,開啟result.tmp檔案,看到如下內容:

./test(_ZN14MemoryDetector12my_backtraceEv+0x26)[0x405ce8]
./test(_ZN14MemoryDetector7handlerEiP7siginfoPv+0x60)[0x405cc0]
/lib64/libpthread.so.0[0x339a80f500]
./test(_Z1gv+0x25)[0x405909]
./test(_ZNSt6thread5_ImplIPFvvEE6_M_runEv+0x16)[0x406e2c]
/usr/lib64/libstdc++.so.6[0x3a6f6b6490]
/lib64/libpthread.so.0[0x339a807851]
/lib64/libc.so.6(clone+0x6d)[0x339a4e767d]

注意其中的第四行:./test(_Z1gv+0x25)[0x405909]。使用addr2line命令:

addr2line -e test 0x405909

獲得非法篡改的程式碼位置:

/home/yebangyu/test.cpp:13

真相大白了。


相關推薦

執行記憶體問題分析mprotect方法【轉】

轉自:https://blog.csdn.net/agwtpcbox/article/details/53230664 http://www.yebangyu.org/blog/2016/02/01/detectmemoryghostinmultithread/ 多執行緒中的記憶體問題,一直被認為是噩夢般

執行記憶體問題分析mprotect方法

http://www.yebangyu.org/blog/2016/02/01/detectmemoryghostinmultithread/ 多執行緒中的記憶體問題,一直被認為是噩夢般的存在,幾乎只有高手、大仙才能解決。除了大量的打log、gdb除錯、code rev

執行記憶體溢位產生的實戰分析

一日凌晨,手機瘋狂報警,簡訊以摧枯拉朽之勢瞬間以百條的速度到達,我在睡夢中被驚醒,看到簡訊的部分內容如下: Caused by: java.lang.OutOfMemoryError: unable to create new native thread at java.lang.Thr

Java執行記憶體可見性_2(synchronized可見性原理)

可見性:要實現共享變數的可見性,必須保證2點:1.執行緒修改後的共享變數值能夠及時從工作記憶體重新整理到主記憶體中。2.其他執行緒能夠及時把共享變數的最新值從主記憶體更新到自己的工作記憶體中。 以下的記錄都是來源於慕課網-細說java多執行緒之記憶體可見性 Java語言層

執行(四)執行的同步同步方法

與同步程式碼塊對應的,Java的多執行緒安全支援還提供了同步方法,同步方法就是使用synchronized關鍵字來修飾某個方法,該方法稱為同步方法。對於同步方法而言,無須顯式指定同步監視器,同步方法的

執行十一ConcurrentHashMap1.7原始碼分析

目錄 簡介 ConcurrentHashMap資料結構 原始碼解析 put(K key, V value) get(Object key) size()

執行十二ConcurrentHashMap1.8實現分析

目錄 簡介 資料結構 原始碼分析 常量及成員變數 構造方法 內部類 Node ForwardingNode T

java執行系列翻譯java併發/執行教程

原文地址:http://tutorials.jenkov.com/java-concurrency/index.html 以前計算機都是單核,同時只能執行一個程式。之後出現了多重任務處理,這意味著計算機同時可以處理多個程式(又名任務或流程)。但這不是真正的“同時執行”,只是單個CPU被多個程式共

執行下synchronized修飾static方法與非static方法的區別

一直對多執行緒的概念比較模糊,今天就寫了個關於變數原子操作的小程式,好讓自己加深一下理解 程式碼如下:     package atomic;   public class JoinThread extends Thread {

java 如何使用執行呼叫類的靜態方法

  1.情景展示   靜態方法內部實現:將指定內容生成圖片格式的二維碼;   如何通過多執行緒實現? 2.分析   之所以採用多執行緒,是為了節省時間  3.解決方案   準備工作   logo檔案     將生成的檔案儲存在F

Java定時任務Timer排程器【二】 執行原始碼分析(圖文版)

  上一節通過一個小例子分析了Timer執行過程,牽涉的執行執行緒雖然只有兩個,但實際場景會比上面複雜一些。 首先通過一張簡單類圖(只列出簡單的依賴關係)看一下Timer暴露的介面。   為了演示Timer所暴露的介面,下面舉一個極端的例子(每一個介面方法面

執行的四種實現方法

Java多執行緒實現方式主要有四種:繼承Thread類、實現Runnable介面、實現Callable介面通過FutureTask包裝器來建立Thread執行緒、使用ExecutorService、Callable、Future實現有返回結果的多執行緒。 其中前兩種方式執行緒執行完後都沒

執行安全問題Lock顯示鎖

package com.hls.juc;import java.util.concurrent.locks.Lock;import java.util.concurrent.locks.ReentrantLock;/** * 解決多執行緒安全問題的方式: 3種 * synchronized: 隱式鎖 * 1.

[Xcode10 實際操作]八、網路與執行-(18)PerformSelector訊息處理方法:由執行時系統,負責去呼叫物件的指定方法

本文將演示PerformSelector訊息處理方法。在專案資料夾上點選滑鼠右鍵彈出檔案選單。【New File】->【Swift File】->【Next】->【Save As】:iOSApp.swift->【Create】現在開始編寫程式碼,建立Swift類【iOSApp.swif

執行學習筆記十四——CountDownLatch、 CyclicBarrie、Semaphore的使用

CountDownLatch CountDownLatch的構造器: public CountDownLatch(int count) { if (count < 0) throw new IllegalArgumentExceptio

Java 執行設計模式基礎概念

順序、併發與並行 順序 用於表示多個操作“依次處理”。比如把十個操作交給一個人來處理時,這個人要一個一個地按順序來處理 並行 用於標識多個操作“同時處理”。比如十個操作分給兩個人處理時,這兩個人就會並行來處理。 併發 相對於順序和並行來說比較抽象,用於表示“將一個

執行《三》join方法

一 Process物件的join方法 在主程序執行過程中如果想併發地執行其他的任務,我們可以開啟子程序,此時主程序的任務與子程序的任務分兩種情況 情況一:在主程序的任務與子程序的任務彼此獨立的情況下,主程序的任務先執行完畢後,主程序還需要等待子程序執行完畢,然後統一回收資源。 情況二:如果主程序的任務在

執行的4種建立方法和對比

Java多執行緒實現方式 Java 多執行緒實現方式主要有四種,繼承Thread,實現Runnable,實現Callable,Future實現返回結果的多執行緒。 1. 繼承Thread類建立 public class MyThread extends Thre

提高C++效能的程式設計技術筆記:執行記憶體池+測試程式碼

為了使多個執行緒併發地分配和釋放記憶體,必須在分配器方法中新增互斥鎖。 全域性記憶體管理器(通過new()和delete()實現)是通用的,因此它的開銷也非常大。 因為單執行緒記憶體管理器要比多執行緒記憶體管理器快的多,所以如果要分配的大多數記憶體塊限於單執行緒中使用,那麼可以顯著提升效

如何執行執行,四步走方法其一

自定義類 //1.建立一個Thread的子類 public class MyThread extends Thread { @Override//2.重寫run方法,設定執行緒任務(開啟執行緒要做什麼?) public void run() { for (