linux学习三越界访问

之前看过了内存管理的数据结构，下面通过越界访问来熟悉下这些数据结构。（之前一直没有让大家去下载内核源代码，因为我列的比较详细，接下来的东西，大家自己去http://www.kernelnewbies.org/下载内核源代码，然后结合起来看）

页式存储管理通过页面目录和页面表将线性地址转换成物理地址。如果在这个过程中遇到某种阻碍。这种阻碍的情况有很多，我们举个实际例子，我们通过系统调用mmap()将一个已打开文件印射到内存，然后又撤销，在虚存空间上留下了个空洞，程序又再次访问这个内存，从而就会导致失败。出错后，会产生一个页面出错异常。CPU就运行到了页面出错异常程序的do_page_fault()的入口处。代码定义于arch/i386/mm/fault.c

代码很长，我就不贴了，我只贴我们所发生的情况而会执行到的代码。

fastcall void __kprobes do_page_fault(struct pt_regs *regs, unsigned long error_code)//越界访问，程序入口。reges中断前，CPU各寄存器副本，error_code详细原因，看英文注释
程序运行此函数，第一个执行的语句是address = read_cr2(); //也可能是__asm__("movl %%cr2, %0":"=r" (address));但2者效果都是将CPU的CR2寄存器的内容读取到address中，CPU将导致映射失败的线性地址放到了寄存器cr2，因此address便是导致映射失败的线性地址。

接下来执行的语句是：tsk = current;其中current是个宏操作，将当前进程的进程控制块（PCB）task_struct返回。有了失败的线性地址和进程这些信息后，我们就可以开始下面的操作了。

我们之前说过我们的映射失败是由于我们撤销了这个内存，之后又再次访问。该方法之间的很多代码是检测是否其它原因造成的映射失败，这里就不讨论了，我们代码将会执行到mm = tsk->mm;看上次数据结构我们便知道mm指向的是映射失败进程的虚存空间描述的数据结构mm_struct。接下来我们程序便会运行到if (!down_read_trylock(&mm->mmap_sem))，这里就是进程间互斥访问mm_struct，前面的数据结构中已经提到了mmap_sem 的作用，判断没人访问就进入mm_struct资源，同时对该资源加锁。

接下来运行到vma = find_vma(mm, address);这个便是寻找虚存空间中第一个地址大于给定地址address的区间。找到后返回虚存区间，对应的数据结构就是vm_area_struct。当然可能存在找不到的情况，不过我们目前这种情况不属于这种，暂不讨论。

接下来我们找到了虚存区间vma,说明我们的地址印射已经建立起来，那么代码就会执行到

if (!vma) //这个就是我们所说的没有找到虚存空间的情况了，我们目前不属于这种情况
        goto bad_area;
if (vma->vm_start <= address)   //已经找到了vma，且vma的起始地址小于等于映射失败地址，就表示该地址落在了这个虚存区间内，我们就进一步转向good_area中去查找原因。这种情况映射已经建立，不是我们目前发生的情况
        goto good_area;
if (!(vma->vm_flags & VM_GROWSDOWN))
        goto bad_area;

我们详细说下第3个 if条件，我们上面的数据结构说到了vm_flags这个项，用于保存区间权限和其它一些属性。vm->flags&VM_GROWSDOW为0表示找到的区间并非堆栈区，我们的情况属于这种情形。这里插下堆栈区，他是高地址上起始的，自上向下扩展。我们发生的情况目前处于读入文件内容，放到数据段，后来又撤销了。这样释放了内存。现在再去访问这个地址，地址很自然是在2个区间之间的那块空洞中。因此我们代码便进入了bad_area中。

bad_area:
    up_read(&mm->mmap_sem); //不需要对mm进行互斥操作了，因此，释放他

bad_area_nosemaphore:
    /* User mode accesses just cause a SIGSEGV */
    if (error_code & 4) {
        /*
         * Valid to do another page fault here because this one came
         * from user space.
         */
        if (is_prefetch(regs, address, error_code))
            return;

        tsk->thread.cr2 = address;
        /* Kernel addresses are always protection faults */
        tsk->thread.error_code = error_code | (address >= TASK_SIZE);
        tsk->thread.trap_no = 14;
        force_sig_info_fault(SIGSEGV, si_code, address, tsk);
        return;
    }

error_code中保存的是失败的详细信息，作者为它加了注释，我们看下注释：

/*
 * error_code:
 *    bit 0 == 0 means no page found, 1 means protection fault
 *    bit 1 == 0 means read, 1 means write
 *    bit 2 == 0 means kernel, 1 means user-mode
 *    bit 3 == 1 means use of reserved bit detected
 *    bit 4 == 1 means fault was an instruction fetch
 */

我们的情况是用户模式下发生的，因此bit2=1,因此我们的代码运行便会进入到 if (error_code & 4)内部，内部代码大致执行的情况是设置task_struct，向该进程发出一个软中断，至此，一次例外服务程序便结束了。

如果有错误或者问题的话，请留言指出。