前言
当在 linux 命令行中 ./ 运行一个程序时,实际上操作系统会调用加载器将这个程序加载到内存中去执行。为了探究加载器的行为,今天我们就自己动手写一个简单的加载器。
工作原理
加载器的工作原理:
- 从磁盘读取 bin 文件到内存,(bin 文件包含的是 CPU 可以直接执行的指令)
- 跳转到该内存的起始地址
就这么简单。
理论是比较简单的,但工程实践上可能会遇到各种各样的问题,我们只要围绕主线,遇神杀神,遇魔杀魔,就可以了。千万不要花过多精力去打副本(如果你精力很旺盛,当我没说)。
上面讲,会遇到各种各样的问题,这里不是为了劝退,而是想让大家跟着我一起披荆斩棘,抵达终点,享受整个过程。
bin 程序
在写加载器之前,我们先写一个 bin 程序,不然我们徒有加载器也无法验证其是否能够工作。
bin 程序的功能也很简单,就是向标准输出打印一行字符串。
由于我们计划写的加载器功能比较简单,所以我们写的 bin 程序也要尽可能简单,不要有依赖的动态库。
minimal.S
.global _start
_start:
movq $1, %rax // write (
movq $1, %rdi // fd = 1,
lea buf(%rip), %rsi // buf,
movq $(buf_end - buf), %rdx // count = buf_end - buf
syscall // );
movq $60, %rax // exit (
movq $0, %rdi // status = 0
syscall // );
buf:
.ascii "hello world\n"
buf_end:
Makefile
minimal: minimal.S
gcc -S minimal.S > minimal.s
as minimal.s -o minimal.o
ld minimal.o -o $@
objcopy -O binary --only-section=.text minimal minimal.bin
上面的代码用 C 语言写出来就是下面两行
sys_write(1, buf, count);
sys_exit(0);
解释下上面的汇编代码:
系统调用号通过 rax 传递,其余参数传递顺序为:rdi,rsi,rdx,r10,r8,r9。
加载器代码
根据上面介绍的工作原理,下面开始写加载器
loader.c
#include <stdio.h>
#include <stdlib.h>
int main(int argc, char *argv[])
{
FILE *f;
char *buffer;
long file_size;
if (argc < 2) {
printf("Usage: %s <filename>\n", argv[0]);
return 1;
}
// 打开二进制文件
f = fopen(argv[1], "rb");
if (!f) {
printf("Error: could not open file %s\n", argv[1]);
return 1;
}
// 获取文件大小
fseek(f, 0, SEEK_END);
file_size = ftell(f);
fseek(f, 0, SEEK_SET);
// 分配内存并读取文件内容
buffer = (char *)malloc(file_size);
if (!buffer) {
printf("Error: could not allocate memory\n");
fclose(f);
return 1;
}
fread(buffer, file_size, 1, f);
// 关闭文件
fclose(f);
// 转移到二进制文件的入口点
void (*entry_point)() = (void (*)())buffer;
entry_point();
// 释放内存
free(buffer);
return 0;
}
编译,运行
$ gcc -g -o loader loader.c
$ ./loader ../loader/minimal.bin
段错误 (核心已转储)
出现了段错误
定位错误
使用 gdb 定位出错位置
Reading symbols from ./loader...
(gdb) set args ../loader/minimal.bin
(gdb) run
Starting program: /home/liyongjun/project/c/C_study/others/loader2/loader ../loader/minimal.bin
Program received signal SIGSEGV, Segmentation fault.
0x000055555555a490 in ?? ()
loader 是使用 -g 选项编译出来的,如果出错位置在 loader 中,gdb 会定位到出错的代码行,上面显然没有,那只有一个原因,loader 已经跳转到 minimal.bin 开始执行了,出错位置在 minimal.bin 中。
下面使用 gdb 调试一下
34 fread(buffer, file_size, 1, f);
(gdb)
37 fclose(f);
(gdb)
40 void (*entry_point)() = (void (*)())buffer;
(gdb)
41 entry_point();
(gdb) p/x buffer
$1 = 0x55555555a490
(gdb) n
Program received signal SIGSEGV, Segmentation fault.
0x000055555555a490 in ?? ()
(gdb)
确实出错位置在 bin 程序的入口。
并且出错时收到了信号 SIGSEGV,一般收到该信号是代码访问了空指针、内存越界等。显然我们不属于以上情况。
经过查阅资料得知,如果想执行某处内存的代码,那么该内存需要具有可执行权限。
所以收到 SIGSEGV 信号原来是执行了不具有可执行权限的内存代码。
给内存加权限
知道原因就好办了,那就给内存加上可执行权限呗。
在 Linux 中,mprotect() 函数可以用来修改一段指定内存区域的保护属性。
参考:Linux中mprotect()函数的用法
完善代码
// 将内存页的保护属性修改为可读、可写、可执行
if (mprotect(buffer, file_size, PROT_READ | PROT_WRITE | PROT_EXEC) != 0) {
perror("Failed to set memory protection");
free(buffer);
return 1;
}
执行,有报错了
$ ./loader ../loader/minimal.bin
Failed to set memory protection: Invalid argument
无法给 buffer 赋予可执行权限。
查阅资料得知:
mprotect 的参数分别为:内存区间的地址,区间的大小,新的保护标志设置。所指定的内存区间必须包含整个页:区间地址必须和整个系统页大小对齐,而区间长度必须是页大小的整数倍。
继续改进代码
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/mman.h>
struct mem_align {
void *origin_start; // for free
void *start; // data addr start, align page size
void *end; // data addr end, align page size
void *origin_end;
};
int malloc_align_page(size_t memsize, struct mem_align *mem)
{
if (memsize == 0 || mem == NULL)
return -1;
memset(mem, 0, sizeof(*mem));
long pagesize = sysconf(_SC_PAGE_SIZE);
if (pagesize == -1) {
perror("sysconf err");
return -1;
}
size_t datasize = memsize + pagesize * 2;
mem->origin_start = malloc(datasize);
if (mem->origin_start == NULL)
return -1;
mem->origin_end = mem->origin_start + datasize;
long mask = pagesize - 1;
mem->start = (void *)((long)(mem->origin_start + pagesize) & ~mask);
long pagenum = memsize / pagesize + 1;
mem->end = mem->start + pagesize * pagenum;
return 0;
}
int main(int argc, char *argv[])
{
FILE *f;
char *buffer;
long file_size;
struct mem_align mem;
int ret;
if (argc < 2) {
printf("Usage: %s <filename>\n", argv[0]);
return 1;
}
// 打开二进制文件
f = fopen(argv[1], "rb");
if (!f) {
printf("Error: could not open file %s\n", argv[1]);
return 1;
}
// 获取文件大小
fseek(f, 0, SEEK_END);
file_size = ftell(f);
fseek(f, 0, SEEK_SET);
ret = malloc_align_page(file_size, &mem);
if (ret != 0) {
printf("malloc error\n");
fclose(f);
return 1;
}
fread(mem.start, file_size, 1, f);
// 关闭文件
fclose(f);
// 将内存页的保护属性修改为可读、可写、可执行
if (mprotect(mem.start, file_size, PROT_READ | PROT_WRITE | PROT_EXEC) != 0) {
perror("Failed to set memory protection");
free(mem.origin_start);
return 1;
}
// 转移到二进制文件的入口点
void (*entry_point)() = (void (*)())mem.start;
entry_point();
// 释放内存
free(mem.origin_start);
return 0;
}
执行
$ ./loader ../loader/minimal.bin
hello world
成功加载了 minimal.bin,并执行成功。✌✌✌
权限探索
在 loader.c 加些打印,并让程序暂停,我们去查看下内存情况
loader.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/mman.h>
struct mem_align {
void *origin_start; // for free
void *start; // data addr start, align page size
void *end; // data addr end, align page size
void *origin_end;
};
int malloc_align_page(size_t memsize, struct mem_align *mem)
{
if (memsize == 0 || mem == NULL)
return -1;
memset(mem, 0, sizeof(*mem));
long pagesize = sysconf(_SC_PAGE_SIZE);
if (pagesize == -1) {
perror("sysconf err");
return -1;
}
printf("pagesize : 0x%lx\n", pagesize);
size_t datasize = memsize + pagesize * 2;
mem->origin_start = malloc(datasize);
if (mem->origin_start == NULL)
return -1;
mem->origin_end = mem->origin_start + datasize;
long mask = pagesize - 1;
mem->start = (void *)((long)(mem->origin_start + pagesize) & ~mask);
long pagenum = memsize / pagesize + 1;
mem->end = mem->start + pagesize * pagenum;
return 0;
}
int main(int argc, char *argv[])
{
FILE *f;
char *buffer;
long file_size;
struct mem_align mem;
int ret;
if (argc < 2) {
printf("Usage: %s <filename>\n", argv[0]);
return 1;
}
// 打开二进制文件
f = fopen(argv[1], "rb");
if (!f) {
printf("Error: could not open file %s\n", argv[1]);
return 1;
}
// 获取文件大小
fseek(f, 0, SEEK_END);
file_size = ftell(f);
fseek(f, 0, SEEK_SET);
ret = malloc_align_page(file_size, &mem);
if (ret != 0) {
printf("malloc error\n");
fclose(f);
return 1;
}
fread(mem.start, file_size, 1, f);
printf("mem start : %p\n", mem.start);
printf("mem end : %p\n", mem.end);
printf("mem origin_start : %p\n", mem.origin_start);
printf("mem origin_end : %p\n", mem.origin_end);
// 关闭文件
fclose(f);
// 将内存页的保护属性修改为可读、可写、可执行
if (mprotect(mem.start, file_size, PROT_READ | PROT_WRITE | PROT_EXEC) != 0) {
perror("Failed to set memory protection");
free(mem.origin_start);
return 1;
}
sleep(600);
// 转移到二进制文件的入口点
void (*entry_point)() = (void (*)())mem.start;
entry_point();
// 释放内存
free(mem.origin_start);
return 0;
}
运行
$ ./loader ../loader/minimal.bin
pagesize : 0x1000
mem start : 0x55fd6152f000
mem end : 0x55fd61530000
mem origin_start : 0x55fd6152e8a0
mem origin_end : 0x55fd615308da
$ ps -ef | grep loader
liyongj+ 1656575 1625198 0 12:45 pts/121 00:00:00 ./loader …/loader/minimal.bin
liyongjun@Box:/proc/1656575$ cat /proc/1656575/maps
55fd5fe51000-55fd5fe52000 r–p 00000000 08:05 3244524 /home/liyongjun/project/c/C_study/others/loader2/loader
55fd5fe52000-55fd5fe53000 r-xp 00001000 08:05 3244524 /home/liyongjun/project/c/C_study/others/loader2/loader
55fd5fe53000-55fd5fe54000 r–p 00002000 08:05 3244524 /home/liyongjun/project/c/C_study/others/loader2/loader
55fd5fe54000-55fd5fe55000 r–p 00002000 08:05 3244524 /home/liyongjun/project/c/C_study/others/loader2/loader
55fd5fe55000-55fd5fe56000 rw-p 00003000 08:05 3244524 /home/liyongjun/project/c/C_study/others/loader2/loader
55fd6152d000-55fd6152f000 rw-p 00000000 00:00 0 [heap]
55fd6152f000-55fd61530000 rwxp 00000000 00:00 0 [heap]
55fd61530000-55fd6154e000 rw-p 00000000 00:00 0 [heap]
7f3c24b32000-7f3c24b54000 r–p 00000000 08:05 658174 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f3c24b54000-7f3c24ccc000 r-xp 00022000 08:05 658174 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f3c24ccc000-7f3c24d1a000 r–p 0019a000 08:05 658174 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f3c24d1a000-7f3c24d1e000 r–p 001e7000 08:05 658174 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f3c24d1e000-7f3c24d20000 rw-p 001eb000 08:05 658174 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f3c24d20000-7f3c24d26000 rw-p 00000000 00:00 0
7f3c24d40000-7f3c24d41000 r–p 00000000 08:05 658162 /usr/lib/x86_64-linux-gnu/ld-2.31.so
7f3c24d41000-7f3c24d64000 r-xp 00001000 08:05 658162 /usr/lib/x86_64-linux-gnu/ld-2.31.so
7f3c24d64000-7f3c24d6c000 r–p 00024000 08:05 658162 /usr/lib/x86_64-linux-gnu/ld-2.31.so
7f3c24d6d000-7f3c24d6e000 r–p 0002c000 08:05 658162 /usr/lib/x86_64-linux-gnu/ld-2.31.so
7f3c24d6e000-7f3c24d6f000 rw-p 0002d000 08:05 658162 /usr/lib/x86_64-linux-gnu/ld-2.31.so
7f3c24d6f000-7f3c24d70000 rw-p 00000000 00:00 0
7ffec3fac000-7ffec3fce000 rw-p 00000000 00:00 0 [stack]
7ffec3fe1000-7ffec3fe5000 r–p 00000000 00:00 0 [vvar]
7ffec3fe5000-7ffec3fe7000 r-xp 00000000 00:00 0 [vdso]
ffffffffff600000-ffffffffff601000 --xp 00000000 00:00 0 [vsyscall]
0x55fd6152f000 ~ 0x55fd61530000,是我们使用 malloc 从堆 (heap) 申请的内存,已经被我们赋予了可执行 (x) 权限。
over 🎈🎈🎈
