2. 程式人生 > >記憶體管理三 核心記憶體檢測KASAN

記憶體管理三 核心記憶體檢測KASAN

阿新 發佈:2018-11-16

一、簡介:

        Kasan 是 Kernel Address Sanitizer 的縮寫,它是一個動態檢測記憶體錯誤的工具,主要功能是檢查記憶體越界訪問和使用已釋放的記憶體等問題。KASAN可以檢測的記憶體異常包括:slab-out-of-bounds/user-after-free/stack-out-of-bounds/global-out-of-bounds等。

(1)環境要求:

         GCC 5.0或者以上的編譯器;

(2)開啟方法:

        CONFIG_KASAN=y
        CONFIG_KASAN_OUTLINE=y(效能會變差)或CONFIG_KASAN_INLINE=y

        如某些檔案或者目錄不想加入KASAN的檢測,可以做如下處理:

        在對應的Makefile裡新增(檔案:xxx.c):

         KASAN_SANITIZE_xxx.o := n

       在對應的Makefile裡新增:

         KASAN_SANITIZE := n

(3)相關概念

       如下圖是8個位元組記憶體對映1個位元組shadow memory,(部分核心可能是16:1的關係,後面的例程就是16:1),這樣8位元組的記憶體就會犧牲1位元組的用於標記readzone,這樣會導致效能的部分下降,造成系統卡頓。下圖中,當8個位元組全部可用時,這塊shadow memory會標記位0x00,7個位元組可用時會標記位0x07 ......;

    

   部分其他的值代表如下:

   

  在記憶體相關的操作時,當開啟KASAN時,編譯器自動插入檢查程式碼:

*address = ...; // or: ... = *address;// 操作某塊地址
shadow_address = MemToShadow(address);
if (ShadowIsPoisoned(shadow_address)) { //對該塊地址進行檢查
     ReportError(address, kAccessSize, kIsWrite); //越界或者其他異常報錯
}
*address = ...; // or: ... = *address;//無異常繼續進行操作

 

二、例項:

(1)slab-out-of-bounds越界檢測:

         在前文建立sys節點的基礎上,對cat呼叫的的show函式修改如下:

static ssize_t hello_test_show(struct device *dev, struct device_attribute *attr, char *buf)
{
    size_t size = 21;
    char *ptr = NULL;
    printk("hello_test %s,%d\n",__FUNCTION__,__LINE__);
    
    ptr = kmalloc(size, GFP_KERNEL); //申請21bit位元組可用的記憶體
    if(!ptr){
        pr_err("Allocation failed! \n");
        return -1;
    }
    ptr[size + 1] = 'X';//給30 + 1大小的記憶體寫X,實際越界2位元組
    kfree(ptr);
    
   return 0;
}

     當cat  /sys/bus/platform/drivers/hello_test/odm:hello_test/hello_test,會產生越界異常,這是KASAN的機制會捕捉到,併產生KE異常,解析KE的DB檔案,如下看到如下堆疊異常:

[  101.291091]  (3)[5074:cat]hello_test hello_test_show,16
[  101.291131] -(3)[5074:cat]==================================================================
[  101.291163] -(3)[5074:cat]BUG: KASAN: slab-out-of-bounds in hello_test_show+0x58/0x88 at addr ffffffdabc0a2a96
[  101.291175] -(3)[5074:cat]Write of size 1 by task cat/5074
[  101.291195] -(3)[5074:cat]CPU: 3 PID: 5074 Comm: cat Tainted: G        W  O    4.9.77+ #16
[  101.291206] -(3)[5074:cat]Hardware name: MT6761V/WBB (DT)
[  101.291218] -(3)[5074:cat]Call trace:
[  101.291239] -(3)[5074:cat][<ffffff8fa848b4e8>] dump_backtrace+0x0/0x358
[  101.291254] -(3)[5074:cat][<ffffff8fa848b8dc>] show_stack+0x14/0x20
[  101.291273] -(3)[5074:cat][<ffffff8fa88de118>] dump_stack+0xa8/0xd0
[  101.291293] -(3)[5074:cat][<ffffff8fa86933c4>] kasan_object_err+0x24/0x80
[  101.291308] -(3)[5074:cat][<ffffff8fa8693654>] kasan_report.part.1+0x1dc/0x498
[  101.291323] -(3)[5074:cat][<ffffff8fa8693b98>] qlist_move_cache+0x0/0xc0
[  101.291338] -(3)[5074:cat][<ffffff8fa8691fe4>] __asan_store1+0x4c/0x58
[  101.291354] -(3)[5074:cat][<ffffff8fa8ec13a8>] hello_test_show+0x58/0x88
[  101.291371] -(3)[5074:cat][<ffffff8fa8a12678>] dev_attr_show+0x40/0x88
[  101.291389] -(3)[5074:cat][<ffffff8fa87549b8>] sysfs_kf_seq_show+0x128/0x1c8
[  101.291404] -(3)[5074:cat][<ffffff8fa8752720>] kernfs_seq_show+0x80/0x98
[  101.291421] -(3)[5074:cat][<ffffff8fa86d6fd4>] seq_read+0x14c/0x720
[  101.291436] -(3)[5074:cat][<ffffff8fa8753774>] kernfs_fop_read+0x1e4/0x280
[  101.291452] -(3)[5074:cat][<ffffff8fa86a074c>] __vfs_read+0x74/0x1d0
[  101.291466] -(3)[5074:cat][<ffffff8fa86a1ac0>] vfs_read+0x98/0x188
[  101.291480] -(3)[5074:cat][<ffffff8fa86a35b0>] SyS_read+0x68/0xe0
[  101.291496] -(3)[5074:cat][<ffffff8fa8482f70>] el0_svc_naked+0x24/0x28
[  101.291508] -(3)[5074:cat]Object at ffffffdabc0a2a80, in cache kmalloc-64 size: 64
[  101.291517] -(3)[5074:cat]Allocated:
......
[  101.291989] -(3)[5074:cat] ffffffdabc0a2800: fb fb fb fb fc fc fc fc fb fb fb fb fc fc fc fc
[  101.292003] -(3)[5074:cat] ffffffdabc0a2900: 00 00 00 fc fc fc fc fc 00 00 00 00 fc fc fc fc
[  101.292016] -(3)[5074:cat]>ffffffdabc0a2a00: fb fb fb fb fc fc fc fc 00 05 fc fc fc fc fc fc
[  101.292026] -(3)[5074:cat]                                              ^

其中:

       0xFC是Redzone標記,如果訪問了Redzone區域KASAN就會檢測out-of-bounds的發生;

       0xFB標記記憶體是釋放的狀態。但是不是可用狀態;

       0x00是可用記憶體;

       此處的shadow memory和可用記憶體是16:1的 關係,故0x00代表16位元組可用,0x05程式碼5位元組可用,故和申請的21位元組匹配上。

 

(2)user-after-free釋放後使用:

  將程式碼修改如下,然後cat對應的節點,同樣會產生KE的DB檔案,

static ssize_t hello_test_show(struct device *dev, struct device_attribute *attr, char *buf)
{
    size_t size = 21;
    char *ptr = NULL;
    printk("hello_test %s,%d\n",__FUNCTION__,__LINE__);
    
    ptr = kmalloc(size, GFP_KERNEL);
    if(!ptr){
        pr_err("Allocation failed! \n");
        return -1;
    }
   //ptr[size + 1] = 'X';
   kfree(ptr); //提前釋放
   
   ptr[size - 1] = 'X'; //釋放後對此記憶體程序賦值寫入資料
   return 0;
}

log顯示如下:

[   98.979214]  (1)[4982:cat]hello_test hello_test_show,16
[   98.979256] -(1)[4982:cat]==================================================================
[   98.979284] -(1)[4982:cat]BUG: KASAN: use-after-free in hello_test_show+0x5c/0x88 at addr ffffffe777c16f94
[   98.979296] -(1)[4982:cat]Write of size 1 by task cat/4982
[   98.979313] -(1)[4982:cat]CPU: 1 PID: 4982 Comm: cat Tainted: G        W  O    4.9.77+ #18
[   98.979324] -(1)[4982:cat]Hardware name: MT6761V/WBB (DT)
[   98.979334] -(1)[4982:cat]Call trace:
[   98.979354] -(1)[4982:cat][<ffffffa7baa8b4e8>] dump_backtrace+0x0/0x358
[   98.979368] -(1)[4982:cat][<ffffffa7baa8b8dc>] show_stack+0x14/0x20
[   98.979385] -(1)[4982:cat][<ffffffa7baede118>] dump_stack+0xa8/0xd0
[   98.979402] -(1)[4982:cat][<ffffffa7bac933c4>] kasan_object_err+0x24/0x80
[   98.979417] -(1)[4982:cat][<ffffffa7bac93654>] kasan_report.part.1+0x1dc/0x498
[   98.979431] -(1)[4982:cat][<ffffffa7bac93b98>] qlist_move_cache+0x0/0xc0
[   98.979444] -(1)[4982:cat][<ffffffa7bac91fe4>] __asan_store1+0x4c/0x58
[   98.979459] -(1)[4982:cat][<ffffffa7bb4c13ac>] hello_test_show+0x5c/0x88
[   98.979475] -(1)[4982:cat][<ffffffa7bb012678>] dev_attr_show+0x40/0x88
[   98.979491] -(1)[4982:cat][<ffffffa7bad549b8>] sysfs_kf_seq_show+0x128/0x1c8
[   98.979506] -(1)[4982:cat][<ffffffa7bad52720>] kernfs_seq_show+0x80/0x98
[   98.979521] -(1)[4982:cat][<ffffffa7bacd6fd4>] seq_read+0x14c/0x720
[   98.979534] -(1)[4982:cat][<ffffffa7bad53774>] kernfs_fop_read+0x1e4/0x280
[   98.979549] -(1)[4982:cat][<ffffffa7baca074c>] __vfs_read+0x74/0x1d0
[   98.979562] -(1)[4982:cat][<ffffffa7baca1ac0>] vfs_read+0x98/0x188
[   98.979575] -(1)[4982:cat][<ffffffa7baca35b0>] SyS_read+0x68/0xe0

[   98.979999] -(1)[4982:cat] ffffffe777c16d00: 00 00 00 00 fc fc fc fc fb fb fb fb fc fc fc fc
[   98.980012] -(1)[4982:cat] ffffffe777c16e00: fb fb fb fb fc fc fc fc 00 00 00 00 fc fc fc fc
[   98.980025] -(1)[4982:cat]>ffffffe777c16f00: fb fb fb fb fc fc fc fc fb fb fb fb fc fc fc fc
[   98.980034] -(1)[4982:cat]                                              ^

    如上0xFB標記記憶體是釋放的狀態。但對其進行寫入,故出現報錯。

 

作者:frank_zyp 
您的支援是對博主最大的鼓勵,感謝您的認真閱讀。 
本文無所謂版權,歡迎轉載。

相關推薦

記憶體管理 核心記憶體檢測KASAN

一、簡介:         Kasan 是 Kernel Address Sanitizer 的縮寫,它是一個動態檢測記憶體錯誤的工具,主要功能是檢查記憶體越界訪問和使用已釋放的記憶體等問題。KASAN可以檢測的記憶體異常包括:slab-out-of-bo

Linux記憶體描述之記憶體區域zone--Linux記憶體管理()

1 記憶體管理域zone 為了支援NUMA模型,也即CPU對不同記憶體單元的訪問時間可能不同,此時系統的實體記憶體被劃分為幾個節點(node), 一個node對應一個記憶體簇bank,即每個記憶體簇被認為是一個節點 首先, 記憶體被劃分為結點. 每個節點關聯到系統中的一個處理器, 核心中表示為pg_

深入淺出記憶體管理-Linux核心頁表

核心頁表實現 新版本的Linux核心程式碼中支援4級對映,那麼一個虛擬地址是包含有如下幾個部分: PGD:Page Global Directory,L0級別頁表 PUD:Page Upper Directory,L1級別頁表 PMD : Page Middle Direc

《Objective-C 高階程式設計 iOS與OS X多執行緒和記憶體管理核心札記一

蘋果原始碼不會告訴你的 ——引子 近日偶借一本圖靈出版的程式書籍,是由日本資深軟體工程師 K.S. (Twitter:@splhack) 和 TF (Twitter:@munakoiso) 合作編寫,國內 黎華 譯,全書共三章,分別是 ARC,Blocks 和 Grand

《Objective-C 高階程式設計 iOS與OS X多執行緒和記憶體管理核心札記二

核心札記二   Blocks   閱讀地點:北京 肯德基店  2014.4.7 1,Blocks 是C 語言的擴充功能,用一句話概述就是:帶有自動變數(區域性變數,作者將此翻譯成自動變數)的匿名函式

Qt記憶體管理() Qt的智慧指標

智慧指標則可以在退出作用域時(不管是正常流程離開或是因異常離開)總呼叫delete來析構在堆上動態分配的物件。Qt常用的智慧指標有QPointer,QScopedPointer,QSharedPointer。 關於這幾個智慧指標,網上的部落格基本不是翻譯Qt文

C儲存類、連結和記憶體管理--動態分配記憶體及型別限定詞

文章目錄 儲存類說明符 儲存類和函式 動態分配記憶體 `malloc`函式 `free`函式 `calloc`函式 動態分配記憶體的缺點 C型別限定關鍵字

記憶體管理九 linux記憶體頁面回收

一、概序:   在記憶體緊張時,核心會將很少使用的記憶體換出到交換分割槽,以便釋放出實體記憶體,此種機制成為“頁交換”, 也統稱為頁面回收,頁面回收涉及到LRU連結串列、記憶體回收演算法、Kswapd核心執行緒等知識,下面會做相關介紹。 二、LRU連結串列: 1、LRU連結串列:

記憶體管理五 實體記憶體初始化

一、概序   linux記憶體管理包含記憶體初始化、頁表對映過程、核心記憶體佈局圖、夥伴系統、SLAB分配器、vmalloc、malloc、mmap缺頁中斷等內容。按層分可以分為使用者空間、核心空間和硬體層,下面的圖可以詳細的說明:    二、核心記憶體分佈 1、實體記憶體大小:   現

Java記憶體管理之JVM 記憶體劃分

JVM 記憶體劃分 方法區(執行緒共享):常量、靜態變數、JIT(即時編譯器) 編譯後的程式碼也都在方法區; 堆記憶體(執行緒共享):垃圾回收的主要場所; 程式計數器: 當前執行緒執行的位元組碼的位置指示器; 虛擬機器棧(棧記憶體):儲存區域性變數、基本資料

初夏小談:記憶體管理之常見記憶體錯誤(重點乾貨)

想來說說記憶體管理已經好長時間了,但是不知如何較好的表達。整理了幾天,來給大家分享這種底層問題。 學好C語言就要學好記憶體管理。那麼記憶體分為那幾個區呢? 先來說說記憶體中大致的這幾個區:棧區,堆區,全域性變數區,和程式碼區。 棧區:就是用來儲存區域性變數。棧上的

Java虛擬機器筆記-1(Java技術體系&自動記憶體管理機制&記憶體區域與記憶體溢位&垃圾收集器與記憶體分配策略)

世界上沒有完美的程式,但寫程式是不斷追求完美的過程。 Devices(裝置、裝置)、GlassFish(商業相容應用伺服器) 目錄 1. Java技術體系包括: Java技術體系的4個平臺 虛擬機器分類 HotSpot VM 模組化、混合程式設計 多核並行

STM32H7 記憶體管理實驗將記憶體使用率上傳至PC 以及硬體除錯演算法的小經驗

       移植一些演算法到STM32上,演算法在PC上能夠執行,而移植到STM32的時候就會出現問題, 總結來說主要是因為編譯器的版本不同,MDK5的編譯器是很古老的編譯器,有些C語法會有問題。 常見的問題就是: 1.結構體賦值的時候,在32裡面的程式碼,結構體

java記憶體管理關係及記憶體洩露 原理

這可能是最近寫的部落格中最接近底層的了。閒言少敘,進入正題。 java物件和記憶體的關係 首先,我們要知道下面幾條真理(自己總結的) 一個完整的建立物件流程是 1宣告物件,2開闢記憶體空間,3將物件和記憶體空間建立聯絡。 一個物件只能對應一個記憶體空間,

記憶體管理九 linux記憶體回收

一、概序 1、LRU連結串列: 2、kswapd核心執行緒: 待更新。。。。。。 作者:frank_zyp 您的支援是對博主最大的鼓勵,感謝您的認真閱讀。 本文無所謂版權,歡迎轉載。

Java的記憶體管理機制之記憶體區域劃分

      各位,好久不見。先做個預告,由於最近主要在做Java服務端開發,最近一段時間會更新Java服務端開發相關的一些知識,包括但不限於一些讀書筆記、框架的學習筆記、和最近一段時間的思考和沉澱。先從Java虛擬機器的記憶體開始吧。 Java虛擬機器在執行Java

Android OOM:記憶體管理分析和記憶體洩露原因總結

一、Android程序的記憶體管理分析 1. 程序的地址空間 在32位作業系統中,程序的地址空間為0到4GB,示意圖如下: 這裡主要說明一下Stack和Heap: Stack空間:(進棧和出棧)由作業系統控制,其中主要儲存 函式地址、函式引數、

效能優化篇---記憶體管理之Android記憶體洩露

記憶體洩漏:當你不再需要某個例項後,但是這個物件卻仍然被引用,防止被垃圾回收。這個情況就叫做記憶體洩露(Memory Leak)。 常見洩漏場景: 1.Handler 導致的記憶體洩漏 12345678910111213141516171819202122 publ

記憶體管理之程式記憶體分佈

在多工作業系統中的每一個程序都執行在一個屬於它自己的記憶體沙盤中。這個沙盤就是虛擬地址空間(virtual address space)。 1 32位虛擬記憶體佈局 在32位模式下虛擬地址空間總是一個4GB的記憶體地址塊。這些虛擬地址通過頁表(page table)對映到實體記憶體,頁表

Oracle 記憶體一 手動記憶體管理,自動記憶體管理

oracle的記憶體分為兩個部分。一個是SGA(system global area),一個是PGA(program global area)。所謂的記憶體管理,就是對這兩部分割槽域進行管理。oracle的記憶體管理經理了如下發展: oracle 9i   PGA自動管理,