Download presentation
Presentation is loading. Please wait.
1
Linux 操作系统分析 主讲:陈香兰 助教:贾永泉、毛熠璐 xlanchen@ustc.edu.cn 3606864-83 (西区电三 421 ) Autumn 2007
2
系统调用 xlanchen@2007.9.29
3
Linux Operating Systems Analysis3 系统调用的意义 操作系统为用户态进程与硬件设备进行交互提 供了一组接口 —— 系统调用 把用户从底层的硬件编程中解放出来 极大的提高了系统的安全性 使用户程序具有可移植性
4
xlanchen@2007.9.29Linux Operating Systems Analysis4 API 和系统调用 应用编程接口 (application program interface, API) 和系统调用是不同的 API 只是一个函数定义 系统调用通过软中断向内核发出一个明确的请求 Libc 库定义的一些 API 引用了封装例程 (wrapper routine ,唯一目的就是发布系统调 用 ) 一般每个系统调用对应一个封装例程 库再用这些封装例程定义出给用户的 API
5
xlanchen@2007.9.29Linux Operating Systems Analysis5 不是每个 API 都对应一个特定的系统调用。 首先, API 可能直接提供用户态的服务 ( 比如一些数 学函数 ) 其次,一个单独的 API 可能调用几个系统调用 不同的 API 可能调用了同一个系统调用 返回值 大部分封装例程返回一个整数,其值的含义依赖于 相应的系统调用 -1 在多数情况下表示内核不能满足进程的请求 Libc 中定义的 errno 变量包含特定的出错码
6
xlanchen@2007.9.29Linux Operating Systems Analysis6 系统调用程序及服务例程 当用户态进程调用一个系统调用时, CPU 切换 到内核态并开始执行一个内核函数。 在 Linux 中是通过执行 int $0x80 这条汇编语言来执 行系统调用的,这条汇编指令产生向量为 128 的编 程异常 传参: 内核实现了很多不同的系统调用,进程必须传 递一个名为系统调用号的参数来指明需要调用 的系统调用, eax 寄存器就用作这个目的
7
xlanchen@2007.9.29Linux Operating Systems Analysis7 所有的系统调用返回一个整数值。这里的返回 值与封装例程返回值的约定是不同的。 正数或 0 表示系统调用成功结束 负数表示一个出错条件,此时这个负值将要存放在 errno 变量中返回给应用程序。内核没有设置或使 用 errno 变量,封装例程在系统调用返回取得返回 值之后设置这个变量
8
xlanchen@2007.9.29Linux Operating Systems Analysis8 系统调用处理程序也其他异常处理程序的结构 类似,执行下列操作 在进程的内核态堆栈中保存大多数寄存器的内容 ( 即保存恢复进程到用户态执行所需要的上下文 ) 调用名为系统调用服务例程的相应的 C 函数来处理 系统调用 通过 ret_from_sys_call() 从系统调用返回
9
xlanchen@2007.9.29Linux Operating Systems Analysis9 应用程序、封装例程、系统调用处理程序及系统调用 服务例程之间的关系
10
xlanchen@2007.9.29Linux Operating Systems Analysis10 为了把系统调用号与相应的服务例程关联起来, 内核利用了一个系统调用分派表 (dispatch table) 。 这个表存放在 sys_call_table 数组中, sys_call_table 有 NR_syscalls 个表项 ( 通常是 256) :第 n 个表项 对应了系统调用号为 n 的服务例程的入口地址的指针 观察 sys_call_table
11
xlanchen@2007.9.29Linux Operating Systems Analysis11 初始化系统调用 内核初始化期间调用 trap_init() 函数建立 IDT 表中向量 128 对应的表 项,语句如下: trap_init set_system_gate(0x80,$system_call);system_call 该调用把下列值存入这个系统门描述符的相应字段 : segment selector 内核代码段 __KERNEL_CS 的段选择符 offset 指向 system_call() 异常处理程序的入口地址 type 置为 15 。表示这个异常是一个陷阱,相应的处理程序不禁止 可屏蔽中断 DPL( 描述符特权级 ) 置为 3 。这就允许用户态进程访问这个门,即在用户程序中使 用 int $0x80 是合法的
12
xlanchen@2007.9.29Linux Operating Systems Analysis12 system_call() 函数
13
xlanchen@2007.9.29Linux Operating Systems Analysis13 参数传递 系统调用也需要输入输出参数,例如 实际的值 用户态进程地址空间的变量的地址 甚至是包含指向用户态函数的指针的数据结构的地址 system_call 是 linux 中所有系统调用的入口点,每个系 统调用至少有一个参数,即由 eax 传递的系统调用号 一个应用程序调用 fork() 封装例程,那么在执行 int $0x80 之 前就把 eax 寄存器的值置为 2( 即 __NR_fork) 。 这个寄存器的设置是 libc 库中的封装例程进行的,因此用户 一般不关心系统调用号
14
xlanchen@2007.9.29Linux Operating Systems Analysis14 很多系统调用需要不止一个参数 普通 C 函数的参数传递是通过把参数值写入堆栈 ( 用 户态堆栈或内核态堆栈 ) 来实现的。但因为系统调 用是一种特殊函数,它由用户态进入了内核态,所 以既不能使用用户态的堆栈也不能直接使用内核态 堆栈 用户态堆栈 用户态 C 函数内核态堆栈内核态 C 函数
15
xlanchen@2007.9.29Linux Operating Systems Analysis15 在 int $0x80 汇编指令之前,系统调用的参数被写入 CPU 的寄存器。然后,在进入内核态调用系统调用 服务例程之前,内核再把存放在 CPU 寄存器中的参 数拷贝到内核态堆栈中。因为毕竟服务例程是 C 函 数,它还是要到堆栈中去寻找参数的 用户态堆栈 用户态 C 函数内核态堆栈内核态 C 函数 寄存器
16
xlanchen@2007.9.29Linux Operating Systems Analysis16 回想一下在进入中断和异常处理程序前,在内核态 堆栈中保存的 pt_regs 结构,此时 pt_regs 结构中的 一些寄存器被用来传递参数或者 pt_regs 结构本身 就是参数
17
xlanchen@2007.9.29Linux Operating Systems Analysis17 参数传递举例 处理 write 系统调用的 sys_write 服务例程声明如下 该函数期望在栈顶找到 fd , buf 和 count 参数 在封装 sys_write() 的封装例程中,将会在 ebx 、 ecx 和 edx 寄存器中分别填入这些参数的值,然后在进入 system_call 时, SAVE_ALL 会把这些寄存器保存在堆栈中,进入 sys_write 服务例程后,就可以在相应的位置找到这些参数 asmlinkage 使得编译器不通过寄存器 (x=0) 而 使用堆栈传递参数
18
xlanchen@2007.9.29Linux Operating Systems Analysis18 SAVE_ALL Sys_write 需要的参数
19
xlanchen@2007.9.29Linux Operating Systems Analysis19 传递返回值 服务例程的返回值是将会被写入 eax 寄存器中 这个是在执行 “return” 指令时,由编译器自动完成 的
20
xlanchen@2007.9.29Linux Operating Systems Analysis20 验证参数 在内核打算满足用户的请求之前,必须仔细的检查所有 的系统调用参数 比如前面的 write() 系统调用, fd 参数是一个文件描述符, sys_write() 必须检查这个 fd 是否确实是以前已打开文件 的一个文件描述符,进程是否有向 fd 指向的文件的写权 限,如果有条件不成立,那这个处理程序必须返回一个 负数
21
xlanchen@2007.9.29Linux Operating Systems Analysis21 只要一个参数指定的是地址,那么内核必须检查它是否 在这个进程的地址空间之内,有两种验证方法: 验证这个线性地址是否属于进程的地址空间 仅仅验证这个线性地址小于 PAGE_OFFSET 对于第一种方法: 费时 大多数情况下,不必要 对于第二种方法: 高效 可以在后续的执行过程中,很自然的捕获到出错的情况 从 linux2.2 开始执行第二种检查
22
xlanchen@2007.9.29Linux Operating Systems Analysis22 对用户地址参数的粗略验证 在内核中,可以访问到所有的内存 要防止用户将一个内核地址作为参数传递给内核,这 将导致它借用内核代码来读写任意内存 检查方法: 最高地址: addr+size-1 1 、是否超出 3G 边界 2 、是否超出当前进程的地址边界 对于用户进程:不大于 3G 对于内核线程:可以使用整个 4G
23
xlanchen@2007.9.29Linux Operating Systems Analysis23 访问进程的地址空间 系统调用服务例程需要非常频繁的读写进程地址 空间的数据
24
xlanchen@2007.9.29Linux Operating Systems Analysis24 访问进程地址空间时的缺页 内核对进程传递的地址参数只进行粗略的检查 访问进程地址空间时的缺页,可以有多种情况 合理的缺页:来自虚存技术 由于错误引起的缺页 由于非法引起的缺页
25
xlanchen@2007.9.29Linux Operating Systems Analysis25 非法缺页的判定 在内核中,只有少数几个函数 / 宏会访问用户地址 空间 对于一次非法缺页,一定来自于这些函数 / 宏 可以将访问用户地址空间的指令的地址一一列举 出来,当发生非法缺页时,根据引起出错的指令 地址来定位 Linux 使用了异常表的概念 __ex_table, __start___ex_table, __stop___ex_table
26
xlanchen@2007.9.29Linux Operating Systems Analysis26 __ex_table 的表项 哪条指令访问了用户地址空间如果这条指令引起了非法缺页,该怎么处理 Fixup 所指向的代码,称为修正代码 通常为汇编代码
27
xlanchen@2007.9.29Linux Operating Systems Analysis27 缺页异常对非法缺页的处理 在缺页异常 do_page_fault 中,若最后发现是 非法缺页,就会执行下面的操作 假设找到了修正代码,会发生什么事情? 该操作使用引起出错的代码地址在异常表中进行查找,若找到,就返回 相应的修正代码地址
28
xlanchen@2007.9.29Linux Operating Systems Analysis28 IDT 表, 进入异 常处理 某内核函数 缺页 缺页处理 作为一次故障,要重新执行引起出错的代码 正常情况下,这个 eip 在发生异常时, 由硬件保存到堆栈中 因此,正常情况下,返回此处 非法异常 修改堆栈中的 eip ,指向修正代码 因此,非法缺页时,返回此处 修正代码 异常处理后,返回 eip 指定的位置执行
29
xlanchen@2007.9.29Linux Operating Systems Analysis29 内核封装例程 系统调用主要由用户态进程使用,但也可以被内 核线程使用。而内核线程是不能使用库函数的, 为了简化相应的封装例程, linux 定义了七个从 _syscall0 到 _syscall6 的一组宏
30
xlanchen@2007.9.29Linux Operating Systems Analysis30 …
31
xlanchen@2007.9.29Linux Operating Systems Analysis31
32
xlanchen@2007.9.29Linux Operating Systems Analysis32 比如下面一些系统调用的封装例程
33
xlanchen@2007.9.29Linux Operating Systems Analysis33 write() 系统调用 宏展开的代码为:
34
xlanchen@2007.9.29Linux Operating Systems Analysis34 编译后生成的汇编代码为:
35
xlanchen@2007.9.29Linux Operating Systems Analysis35 系统调用的返回 参见中断中的返回
36
xlanchen@2007.9.29Linux Operating Systems Analysis36 中断、异常、系统调用小结 用户态 内核态 IDT 表 中断 异常 系统调用 iretreturn_from_intr return_from_exception return_from_syscall
37
xlanchen@2007.9.29Linux Operating Systems Analysis37 Project 分析中断、异常和系统调用的代码,提交分析 报告 采用某种方法截获一个中断,例如键盘中断 采用某种方法制造缺页异常 自己编写一个系统调用
Similar presentations
