KASAN 是 Kernel Address Sanitizer 的縮寫,它是一個動態檢測記憶體錯誤的工具,主要功能是檢查記憶體越界訪問和使用已釋放的記憶體等問題,KASAN 集成在 Linux 內核中,隨 Linux 內核代碼一起發布,并由內核社區維護和發展,本文簡要介紹 KASAN 的原理及使用方法,
一、KASAN的原理和使用方法
1. 如何打開KASAN功能
Kernel defconfig增加如下配置:
由于1/8的記憶體用于shadow memory,可用記憶體會減少1/8,例如8GB的記憶體,打開KASAN后,MemTotal約為6.72GB,
C:\Users>adb shell "cat /proc/meminfo | grep MemTotal"
MemTotal: 6723572 kB
2. KASAN原理概述
KASAN利用額外的記憶體標記可用記憶體的狀態,這部分額外的記憶體被稱作shadow memory(影子區),KASAN將1/8的記憶體用作shadow memory,使用特殊的magic num填充shadow memory,在每一次load/store記憶體的時候檢測對應的shadow memory確定操作是否valid,連續8 bytes記憶體(8 bytes align)使用1 byte shadow memory標記,
如果8 bytes記憶體都可以訪問,則shadow memory的值為0;如果連續N(1 =< N <= 7) bytes可以訪問,則shadow memory的值為N;如果8 bytes記憶體訪問都是invalid,則shadow memory的值為負數,
例如:
這段匯編指令是往0xffffffc08821e810地址寫5,當打開Kasan時,編譯器會自動插入紅色的bl __asan_store1指令,__asan_store1函式就是檢測一個地址對應的shadow memory的值是否允許寫1 byte,藍色匯編指令是真正的記憶體訪問,
3. 如何根據shadow memory的值判斷記憶體訪問操作是否合法?
shadow memory檢測原理的實作主要就是__asan_load##size()和__asan_store##size()函式,KASAN如何根據訪問的address以及對應的shadow memory的狀態值來判斷訪問是否合法呢?
1)當訪問8 bytes時,*shadow_memory == 0,訪問是valid,否則是invalid;
2)當訪問N bytes (N = 1,2,4)時,
if (*shadow && *shadow > ((unsigned long)addr & 7) + N),訪問valid;否則,是invalid;
4. 伙伴系統分配的記憶體shadow memory值如何填充
(1) 從buddy system分配記憶體
Step1:假如從buddy system分配4 pages,系統首先從order=2的鏈表中摘下一塊記憶體;
Step2:然后根據shadow memory address和memory address的對應關系找到對應的shadow memory;對應關系為:
Shadow_addr = (addr >> 3) + KASAN_SHADOW_OFFSET,右移3bit的原因是8 byte memory對應1 byte shadow memory;
Step3:填充shadow memory的內容,分配的4 pages均可訪問,填充為0;
(2) 從buddy system釋放記憶體
Step1:從buddy system order = 2的鏈表中釋放4 pages;
Step2:根據shadow memory addr和memory addr的對應關系,找到shadow memory;
Step3:將shadow memory對應的記憶體區域2KB(16KB/8)填充為0xFF(KASAN_FREE_PAGE);
5. slub分配的記憶體shadow memory值如何填充
(1) 從slub cache分配記憶體
Step1:kmalloc(20)會匹配到kmalloc-32的kmem_cache,實際分配的object大小是32 bytes,剩下的12 bytes KASAN會標記為不可訪問狀態;
Step2:根據shadow memory addr和memory addr的對應關系找到shadow meory;
Step3:填充shadow memory的內容為00 00 04 FC,具體含義為:
1)前面2個00表示第0~15 byte均可訪問
2)04表示第16~23 byte只有前面4 bytes可以訪問
3)FC表示第24~31 byte為 KASAN_KMALLOC_REDZONE,不可訪問
Step4:保存記憶體分配的call-stack;
Step5:如果訪問了REDZONE區域,KASAN會report out-of-bounds bug;
(2) 從slub cache釋放記憶體
Step1:從slub cache(kmalloc-32) free 20 bytes記憶體;
Step2:根據memory addr找到shadow memory addr;
Step3:將shadow memory的4 bytes填充為FB(KASAN_KMALLOC_FREE);
Step4:保存slub free的call-stack;
Step5:如果訪問了 FB對應的記憶體,KASAN會報use-after-free bug;
6. 其他形式分配的記憶體shadow memory如何填充?
全域變數/堆疊分配的記憶體填充原理和前面類似,實作有些差異,這里不一一贅述,
7. KASAN report bug舉例
二、總結
KASAN通過建立影子記憶體來管理記憶體訪問的合法性,可以有效檢測記憶體越界等問題,但無法發現因邏輯問題導致的合法記憶體的內容改寫問題,
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/227034.html
標籤:其他
上一篇:痞子衡嵌入式:揭秘i.MXRT600的ISP模式下用J-Link連接后PC總是停在0x1c04a的原因(Debug Mailbox)