ELF .text 段何时不是 ELF .text 段?

【问题标题】:When is an ELF .text segment not an ELF .text segment?ELF .text 段何时不是 ELF .text 段?
【发布时间】:2014-02-12 07:34:20
【问题描述】:

对于在内核和用户空间中生成一致的 HMACS 的问题,我找不到合适的文档。根据 LKD 中的 R. Love,内存描述符 mm->start_code 和 mm->end_code 应该包含 .text 段。在 ELF 文档中明确定义了在静态可执行文件中查找 .text 段,并且很容易找到。因此,给定以下两个代码 sn-ps,可以期望得到一个匹配的 HMAC:

内核:

__mm = get_task_mm(__task);

__retcode = ntru_crypto_hmac_init(__crypto_context);
if(__retcode != NTRU_CRYPTO_HMAC_OK)
    return 1;

__retcode = ntru_crypto_hmac_update(__crypto_context, (const uint8_t*)__mm->start_code, 
                                    __mm->end_code - __mm->start_code);
if(__retcode != NTRU_CRYPTO_HMAC_OK)
   return 1;

__retcode = ntru_crypto_hmac_final(__crypto_context, __hmac);
if(__retcode != NTRU_CRYPTO_HMAC_OK)
    return 1;

return 0;

用户区:

for (j = 0; j < file_hdr32.e_shnum; j++)
{
   if (!strcmp(".text", strIndex + section_hdr32[j]->sh_name))
   {
       retcode = ntru_crypto_hmac_init(__crypto_context());
       if(retcode != NTRU_CRYPTO_HMAC_OK)
       {
            syslog(LOG_ERR, "ntru_crypto_hmac_init error: retcode = %d, TID(0x%lx)",
                                     retcode,pthread_self());
            return 0;
        }       

       retcode = ntru_crypto_hmac_update(__crypto_context(), 
                 filebuf + section_hdr32[j]->sh_offset, section_hdr32[j]->sh_size);
       if(retcode != NTRU_CRYPTO_HMAC_OK)
       {
           syslog(LOG_ERR, "Internal crypto error (%d)", retcode);
           return 0;
       }

       retcode = ntru_crypto_hmac_final(__crypto_context(), _hmac);
       if(retcode != NTRU_CRYPTO_HMAC_OK)
       {
           syslog(LOG_ERR, "Failed to finalize HMAC, TID(0x%lx)", pthread_self());
           return 0;
       }

       return 1;
   }
}

在这两种情况下,.text 段正是其记录的位置,但它们从不匹配。我已经为系统上的所有 17,000 个可执行文件生成了用户级 HMACS,因此即使内核内存描述符中的代码段指向依赖项,而不是主可执行文件,我仍然应该得到匹配,但没有骰子。两个“.text”段之间有一些根本不同的地方,我想知道是否有人知道它是什么,这样我就可以节省一些时间——有什么线索吗?在此先感谢,皮特。;1

【问题讨论】:

    标签: linux-kernel elf hmac


    【解决方案1】:

    两个“.text”段之间存在根本不同

    您的问题是您忽略了 segmentssections 之间的区别。

    ELF 格式是一种可执行文件链接格式。段用于前者,部分用于后者(这里的链接是指静态链接,即构建时)。一旦二进制文件被链接,部分可以完全从其中丢弃,并且在运行时只需要段。段是mmaped,而不是部分。

    现在让我们看看两者的区别。

    readelf -l /bin/date

Elf file type is EXEC (Executable file)
Entry point 0x402000
There are 9 program headers, starting at offset 64

Program Headers:
  Type           Offset             VirtAddr           PhysAddr
                 FileSiz            MemSiz              Flags  Align
  PHDR           0x0000000000000040 0x0000000000400040 0x0000000000400040
                 0x00000000000001f8 0x00000000000001f8  R E    8
  INTERP         0x0000000000000238 0x0000000000400238 0x0000000000400238
                 0x000000000000001c 0x000000000000001c  R      1
      [Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
  LOAD           0x0000000000000000 0x0000000000400000 0x0000000000400000
                 0x000000000000d5ac 0x000000000000d5ac  R E    200000
  LOAD           0x000000000000de10 0x000000000060de10 0x000000000060de10
                 0x0000000000000440 0x0000000000000610  RW     200000
  DYNAMIC        0x000000000000de38 0x000000000060de38 0x000000000060de38
                 0x00000000000001a0 0x00000000000001a0  RW     8
  NOTE           0x0000000000000254 0x0000000000400254 0x0000000000400254
                 0x0000000000000044 0x0000000000000044  R      4
  GNU_EH_FRAME   0x000000000000c700 0x000000000040c700 0x000000000040c700
                 0x00000000000002a4 0x00000000000002a4  R      4
  GNU_STACK      0x0000000000000000 0x0000000000000000 0x0000000000000000
                 0x0000000000000000 0x0000000000000000  RW     8
  GNU_RELRO      0x000000000000de10 0x000000000060de10 0x000000000060de10
                 0x00000000000001f0 0x00000000000001f0  R      1

 Section to Segment mapping:
  Segment Sections...
   00
   01     .interp
   02     .interp .note.ABI-tag .note.gnu.build-id .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame
   03     .ctors .dtors .jcr .dynamic .got .got.plt .data .bss
   04     .dynamic
   05     .note.ABI-tag .note.gnu.build-id
   06     .eh_frame_hdr
   07
   08     .ctors .dtors .jcr .dynamic .got

    您可以在上面看到多个部分(.interp.note.ABI-tag、....text、...)都映射到单个PT_LOAD。所有这些部分都具有相同的保护,并且都被单个[mm-&gt;start_core, mm-&gt;end_code) 区域“覆盖”。

    将此与.text 部分进行比较:

    readelf -WS /bin/date | grep '\.text'
  [13] .text             PROGBITS        0000000000401900 001900 0077f8 00  AX  0   0 16

    您会注意到该部分较小并且以不同的偏移量开始。

    难怪你会得到不同的 HMAC。尝试在用户域中跨段计算 HMAC,您应该会得到匹配。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2017-06-21
      • 1970-01-01
      • 2020-06-13
      • 1970-01-01
      • 2022-01-18
      • 1970-01-01
      • 2012-12-18
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode