Linux操作系統(tǒng)分析

Linux操作系統(tǒng)分析助教：賈永泉、毛熠璐3606864-83（西區(qū)電三421）Autumn2007系統(tǒng)調(diào)用系統(tǒng)調(diào)用的意義操作系統(tǒng)為用戶態(tài)進(jìn)程與硬件設(shè)備進(jìn)行交互提供了一組接口——系統(tǒng)調(diào)用把用戶從底層的硬件編程中解放出來(lái)極大的提高了系統(tǒng)的安全性使用戶程序具有可移植性3API和系統(tǒng)調(diào)用應(yīng)用編程接口(applicationprograminterface,API)和系統(tǒng)調(diào)用是不同的API只是一個(gè)函數(shù)定義系統(tǒng)調(diào)用通過(guò)軟中斷向內(nèi)核發(fā)出一個(gè)明確的請(qǐng)求Libc庫(kù)定義的一些API引用了封裝例程(wrapperroutine，唯一目的就是發(fā)布系統(tǒng)調(diào)用)一般每個(gè)系統(tǒng)調(diào)用對(duì)應(yīng)一個(gè)封裝例程庫(kù)再用這些封裝例程定義出給用戶的API4不是每個(gè)API都對(duì)應(yīng)一個(gè)特定的系統(tǒng)調(diào)用。首先，API可能直接提供用戶態(tài)的服務(wù)(比如一些數(shù)學(xué)函數(shù))其次，一個(gè)單獨(dú)的API可能調(diào)用幾個(gè)系統(tǒng)調(diào)用不同的API可能調(diào)用了同一個(gè)系統(tǒng)調(diào)用返回值大部分封裝例程返回一個(gè)整數(shù)，其值的含義依賴于相應(yīng)的系統(tǒng)調(diào)用-1在多數(shù)情況下表示內(nèi)核不能滿足進(jìn)程的請(qǐng)求Libc中定義的errno變量包含特定的出錯(cuò)碼5系統(tǒng)調(diào)用程序及服務(wù)例程當(dāng)用戶態(tài)進(jìn)程調(diào)用一個(gè)系統(tǒng)調(diào)用時(shí)，CPU切換到內(nèi)核態(tài)并開(kāi)始執(zhí)行一個(gè)內(nèi)核函數(shù)。在Linux中是通過(guò)執(zhí)行int$0x80這條匯編語(yǔ)言來(lái)執(zhí)行系統(tǒng)調(diào)用的，這條匯編指令產(chǎn)生向量為128的編程異常傳參：

內(nèi)核實(shí)現(xiàn)了很多不同的系統(tǒng)調(diào)用，進(jìn)程必須傳遞一個(gè)名為系統(tǒng)調(diào)用號(hào)的參數(shù)來(lái)指明需要調(diào)用的系統(tǒng)調(diào)用，eax寄存器就用作這個(gè)目的6所有的系統(tǒng)調(diào)用返回一個(gè)整數(shù)值。這里的返回值與封裝例程返回值的約定是不同的。正數(shù)或0表示系統(tǒng)調(diào)用成功結(jié)束負(fù)數(shù)表示一個(gè)出錯(cuò)條件，此時(shí)這個(gè)負(fù)值將要存放在errno變量中返回給應(yīng)用程序。內(nèi)核沒(méi)有設(shè)置或使用errno變量，封裝例程在系統(tǒng)調(diào)用返回取得返回值之后設(shè)置這個(gè)變量7系統(tǒng)調(diào)用處理程序也其他異常處理程序的結(jié)構(gòu)類似，執(zhí)行下列操作在進(jìn)程的內(nèi)核態(tài)堆棧中保存大多數(shù)寄存器的內(nèi)容(即保存恢復(fù)進(jìn)程到用戶態(tài)執(zhí)行所需要的上下文)調(diào)用名為系統(tǒng)調(diào)用服務(wù)例程的相應(yīng)的C函數(shù)來(lái)處理系統(tǒng)調(diào)用通過(guò)ret_from_sys_call()從系統(tǒng)調(diào)用返回8應(yīng)用程序、封裝例程、系統(tǒng)調(diào)用處理程序及系統(tǒng)調(diào)用服務(wù)例程之間的關(guān)系9為了把系統(tǒng)調(diào)用號(hào)與相應(yīng)的服務(wù)例程關(guān)聯(lián)起來(lái)，內(nèi)核利用了一個(gè)系統(tǒng)調(diào)用分派表(dispatchtable)。這個(gè)表存放在sys_call_table數(shù)組中，有NR_syscalls個(gè)表項(xiàng)(通常是256)：第n個(gè)表項(xiàng)對(duì)應(yīng)了系統(tǒng)調(diào)用號(hào)為n的服務(wù)例程的入口地址的指針觀察sys_call_table10初始化系統(tǒng)調(diào)用內(nèi)核初始化期間調(diào)用trap_init()函數(shù)建立IDT表中向量128對(duì)應(yīng)的表項(xiàng)，語(yǔ)句如下：

set_system_gate(0x80,$system_call); 該調(diào)用把下列值存入這個(gè)系統(tǒng)門(mén)描述符的相應(yīng)字段: segmentselector 內(nèi)核代碼段__KERNEL_CS的段選擇符 offset 指向system_call()異常處理程序的入口地址

type 置為15。表示這個(gè)異常是一個(gè)陷阱，相應(yīng)的處理程序不禁止可屏蔽中斷 DPL(描述符特權(quán)級(jí)) 置為3。這就允許用戶態(tài)進(jìn)程訪問(wèn)這個(gè)門(mén)，即在用戶程序中使用int$0x80是合法的11system_call()函數(shù)12參數(shù)傳遞系統(tǒng)調(diào)用也需要輸入輸出參數(shù)，例如實(shí)際的值用戶態(tài)進(jìn)程地址空間的變量的地址甚至是包含指向用戶態(tài)函數(shù)的指針的數(shù)據(jù)結(jié)構(gòu)的地址system_call是linux中所有系統(tǒng)調(diào)用的入口點(diǎn)，每個(gè)系統(tǒng)調(diào)用至少有一個(gè)參數(shù)，即由eax傳遞的系統(tǒng)調(diào)用號(hào)一個(gè)應(yīng)用程序調(diào)用fork()封裝例程，那么在執(zhí)行int$0x80之前就把eax寄存器的值置為2(即__NR_fork)。這個(gè)寄存器的設(shè)置是libc庫(kù)中的封裝例程進(jìn)行的，因此用戶一般不關(guān)心系統(tǒng)調(diào)用號(hào)13很多系統(tǒng)調(diào)用需要不止一個(gè)參數(shù)普通C函數(shù)的參數(shù)傳遞是通過(guò)把參數(shù)值寫(xiě)入堆棧(用戶態(tài)堆?；騼?nèi)核態(tài)堆棧)來(lái)實(shí)現(xiàn)的。但因?yàn)橄到y(tǒng)調(diào)用是一種特殊函數(shù)，它由用戶態(tài)進(jìn)入了內(nèi)核態(tài)，所以既不能使用用戶態(tài)的堆棧也不能直接使用內(nèi)核態(tài)堆棧用戶態(tài)堆棧用戶態(tài)C函數(shù)內(nèi)核態(tài)堆棧內(nèi)核態(tài)C函數(shù)14在int$0x80匯編指令之前，系統(tǒng)調(diào)用的參數(shù)被寫(xiě)入CPU的寄存器。然后，在進(jìn)入內(nèi)核態(tài)調(diào)用系統(tǒng)調(diào)用服務(wù)例程之前，內(nèi)核再把存放在CPU寄存器中的參數(shù)拷貝到內(nèi)核態(tài)堆棧中。因?yàn)楫吘狗?wù)例程是C函數(shù)，它還是要到堆棧中去尋找參數(shù)的用戶態(tài)堆棧用戶態(tài)C函數(shù)內(nèi)核態(tài)堆棧內(nèi)核態(tài)C函數(shù)寄存器15回想一下在進(jìn)入中斷和異常處理程序前，在內(nèi)核態(tài)堆棧中保存的pt_regs結(jié)構(gòu)，此時(shí)pt_regs結(jié)構(gòu)中的一些寄存器被用來(lái)傳遞參數(shù)或者pt_regs結(jié)構(gòu)本身就是參數(shù)16參數(shù)傳遞舉例處理write系統(tǒng)調(diào)用的sys_write服務(wù)例程聲明如下該函數(shù)期望在棧頂找到fd，buf和count參數(shù) 在封裝sys_write()的封裝例程中，將會(huì)在ebx、ecx和edx寄存器中分別填入這些參數(shù)的值，然后在進(jìn)入system_call時(shí)，SAVE_ALL會(huì)把這些寄存器保存在堆棧中，進(jìn)入sys_write服務(wù)例程后，就可以在相應(yīng)的位置找到這些參數(shù)asmlinkage使得編譯器不通過(guò)寄存器(x=0)而使用堆棧傳遞參數(shù)17SAVE_ALLSys_write需要的參數(shù)18傳遞返回值服務(wù)例程的返回值是將會(huì)被寫(xiě)入eax寄存器中 這個(gè)是在執(zhí)行“return”指令時(shí)，由編譯器自動(dòng)完成的19驗(yàn)證參數(shù)在內(nèi)核打算滿足用戶的請(qǐng)求之前，必須仔細(xì)的檢查所有的系統(tǒng)調(diào)用參數(shù) 比如前面的write()系統(tǒng)調(diào)用，fd參數(shù)是一個(gè)文件描述符，sys_write()必須檢查這個(gè)fd是否確實(shí)是以前已打開(kāi)文件的一個(gè)文件描述符，進(jìn)程是否有向fd指向的文件的寫(xiě)權(quán)限，如果有條件不成立，那這個(gè)處理程序必須返回一個(gè)負(fù)數(shù)20只要一個(gè)參數(shù)指定的是地址，那么內(nèi)核必須檢查它是否在這個(gè)進(jìn)程的地址空間之內(nèi)，有兩種驗(yàn)證方法：驗(yàn)證這個(gè)線性地址是否屬于進(jìn)程的地址空間僅僅驗(yàn)證這個(gè)線性地址小于PAGE_OFFSET對(duì)于第一種方法：費(fèi)時(shí)大多數(shù)情況下，不必要對(duì)于第二種方法：高效可以在后續(xù)的執(zhí)行過(guò)程中，很自然的捕獲到出錯(cuò)的情況從linux2.2開(kāi)始執(zhí)行第二種檢查21對(duì)用戶地址參數(shù)的粗略驗(yàn)證在內(nèi)核中，可以訪問(wèn)到所有的內(nèi)存要防止用戶將一個(gè)內(nèi)核地址作為參數(shù)傳遞給內(nèi)核，這將導(dǎo)致它借用內(nèi)核代碼來(lái)讀寫(xiě)任意內(nèi)存檢查方法：最高地址：addr+size-11、是否超出3G邊界2、是否超出當(dāng)前進(jìn)程的地址邊界對(duì)于用戶進(jìn)程：不大于3G對(duì)于內(nèi)核線程：可以使用整個(gè)4G22訪問(wèn)進(jìn)程的地址空間系統(tǒng)調(diào)用服務(wù)例程需要非常頻繁的讀寫(xiě)進(jìn)程地址空間的數(shù)據(jù)23訪問(wèn)進(jìn)程地址空間時(shí)的缺頁(yè)內(nèi)核對(duì)進(jìn)程傳遞的地址參數(shù)只進(jìn)行粗略的檢查訪問(wèn)進(jìn)程地址空間時(shí)的缺頁(yè)，可以有多種情況合理的缺頁(yè)：來(lái)自虛存技術(shù)由于錯(cuò)誤引起的缺頁(yè)由于非法引起的缺頁(yè)24非法缺頁(yè)的判定在內(nèi)核中，只有少數(shù)幾個(gè)函數(shù)/宏會(huì)訪問(wèn)用戶地址空間對(duì)于一次非法缺頁(yè)，一定來(lái)自于這些函數(shù)/宏可以將訪問(wèn)用戶地址空間的指令的地址一一列舉出來(lái)，當(dāng)發(fā)生非法缺頁(yè)時(shí)，根據(jù)引起出錯(cuò)的指令地址來(lái)定位Linux使用了異常表的概念__ex_table,__start___ex_table,__stop___ex_table25__ex_table的表項(xiàng)哪條指令訪問(wèn)了用戶地址空間如果這條指令引起了非法缺頁(yè)，該怎么處理Fixup所指向的代碼，稱為修正代碼

通常為匯編代碼26缺頁(yè)異常對(duì)非法缺頁(yè)的處理在缺頁(yè)異常do_page_fault中，若最后發(fā)現(xiàn)是非法缺頁(yè)，就會(huì)執(zhí)行下面的操作假設(shè)找到了修正代碼，會(huì)發(fā)生什么事情？該操作使用引起出錯(cuò)的代碼地址在異常表中進(jìn)行查找，若找到，就返回相應(yīng)的修正代碼地址27IDT表，進(jìn)入異常處理某內(nèi)核函數(shù)缺頁(yè)缺頁(yè)處理作為一次故障，要重新執(zhí)行引起出錯(cuò)的代碼正常情況下，這個(gè)eip在發(fā)生異常時(shí)，由硬件保存到堆棧中因此，正常情況下，返回此處非法異常修改堆棧中的eip，指向修正代碼因此，非法缺頁(yè)時(shí)，返回此處修正代碼異常處理后，返回eip指定的位置執(zhí)行28內(nèi)核封裝例程系統(tǒng)調(diào)用主要由用戶態(tài)進(jìn)程使用，但也可以被內(nèi)核線程使用。而內(nèi)核線程是不能使用庫(kù)函數(shù)的，為了簡(jiǎn)化相應(yīng)的封裝例程，linux定義了七個(gè)從_syscall0到_syscall6的一組宏29…3031比如下面一些系統(tǒng)調(diào)用的封裝例程32 write()系統(tǒng)調(diào)用宏展開(kāi)的代碼為：

33編譯后生成的匯編代碼為：34系統(tǒng)調(diào)用的返回參