Linux內核如何判斷地址是否位于用戶空間?
一、 問題描述
access_ok函數是什么原理?
問題
二、問題分析
我們在內核空間和用戶空間進行數據拷貝的時候必須判斷用戶空間地址是否合法。主要通過偶函數access_ok來判斷。
1. Linux用戶空間與內核地址空間
Linux 操作系統和驅動程序運行在內核空間,應用程序運行在用戶空間,兩者不能簡單地使用指針傳遞數據,因為Linux使用的虛擬內存機制,用戶空間的數據可能被換出,當內核空間使用用戶空間指針時,對應的數據可能不在內存中。
通常32位Linux內核地址空間劃分0~3G為用戶空間,3~4G為內核空間。注意這里是32位內核地址空間劃分,64位內核地址空間劃分是不同的。
- 進程尋址空間0~4G
- 進程在用戶態只能訪問0~3G,只有進入內核態才能訪問3G~4G
- 進程通過系統調用進入內核態
- 每個進程虛擬空間的3G~4G部分是相同的
- 進程從用戶態進入內核態不會引起CR3的改變但會引起堆棧的改變
2. access_ok詳解
原型:
- access_ok ( type,addr,size);
功能:
- access_ok — 檢查用戶空間指針是否有效 注意,根據體系結構的不同,這個函數可能只是檢查指針是否在用戶空間范圍內,在調用這個函數之后,內存訪問函數可能仍然返回 -EFAULT
參數說明:
- typeType of access: VERIFY_READ or VERIFY_WRITE. 請注意,VERIFY_WRITE是VERIFY_READ的超集——如果寫入一個塊是安全的,那么從它讀取總是安全的。addr要檢查的塊的開始的用戶空間指針size要檢查的塊的大小
返回值:
- 此函數檢查用戶空間中的內存塊是否可用。如果可用,則返回真(非0值),否則返回假 (0) 。
2. 源碼分析
- #define access_ok(type, addr, size) (__range_ok(addr, size) == 0)
- /* We use 33-bit arithmetic here... */
- #define __range_ok(addr, size) ({ \
- unsigned long flag, roksum; \
- __chk_user_ptr(addr); \
- __asm__("adds %1, %2, %3; sbcccs %1, %1, %0; movcc %0, #0" \
- : "=&r" (flag), "=&r" (roksum) \
- : "r" (addr), "Ir" (size), "0" (current_thread_info()->addr_limit) \
- : "cc"); \
- flag; })
- static inline void __chk_user_ptr(const volatile void *p, size_t size)
- {
- assert(p >= __user_addr_min && p + size <= __user_addr_max);
- }
其中__range_ok詳解如下:參數對應:
- flag -------- %0
- roksum -------- %1
- addr -------- %2
- size -------- %3
匯編指令詳解
- adds %1, %2, %3
等價于:
- rosum = addr + size
這個操作會影響狀態位(目的是影響是進位標志C)。
以下的兩個指令都帶有條件CC,也就是當C=0的時候才執行;如果上面的加法指令進位了(C=1),則以下的指令都不執行,flag就為初始值current_thread_info()->addr_limit(非0),并返回。如果沒有進位(C=0),就執行下面的指令:
- sbcccs %1, %1, %0
該指令等價于
- rosum = rosum - flag - 1
也就是(addr + size) - (current_thread_info()->addr_limit) - 1,操作影響符號位。.
如果(addr + size) >= (current_thread_info()->addr_limit) - 1,則C=1 如果(addr + size) < (current_thread_info()->addr_limit) - 1,則C=0 當C=0的時候執行以下指令,否則跳過(flag非零)。
- movcc %0, #0
等價于
- flag = 0,給flag賦值0。
綜上所述:__range_ok宏等價于:
- 如果(addr + size) >= (current_thread_info()->addr_limit) - 1,返回非零值
- 如果(addr + size) < (current_thread_info()->addr_limit),返回零
而access_ok就是檢驗將要操作的用戶空間的地址范圍是否在當前進程的用戶地址空間限制中。這個宏的功能很簡單,完全可以用C實現,不是必須使用匯編。 由于這兩個函數使用頻繁,就使用匯編來實現部分功能來增加效率。
3. 使用實例
我們在內核拷貝數據到用戶空間或者從用戶空間拷貝數據到內核空間,都需要判斷用戶空間地址是否在用戶空間。
- static inline unsigned long __must_check copy_from_user(void *to, const void __user *from, unsigned long n)
- {
- if (access_ok(VERIFY_READ, from, n))
- n = __copy_from_user(to, from, n);
- else /* security hole - plug it */
- memset(to, 0, n);
- return n;
- }
- static inline unsigned long __must_check copy_to_user(void __user *to, const void *from, unsigned long n)
- {
- if (access_ok(VERIFY_WRITE, to, n))
- n = __copy_to_user(to, from, n);
- return n;
- }
