系統(tǒng)調(diào)用參考_中科大_syscall(1)

1、Linux操作系統(tǒng)分析操作系統(tǒng)分析中國科學(xué)技術(shù)大學(xué)計(jì)算機(jī)系中國科學(xué)技術(shù)大學(xué)計(jì)算機(jī)系陳香蘭（陳香蘭（051287161312）Autumn 2009系統(tǒng)調(diào)用系統(tǒng)調(diào)用2022-5-1Linux OS Analysis3/36系統(tǒng)調(diào)用的意義系統(tǒng)調(diào)用的意義操作系統(tǒng)為用戶態(tài)進(jìn)程與硬件設(shè)備進(jìn)行交互提供了一組接口系統(tǒng)調(diào)用把用戶從底層的硬件編程中解放出來極大的提高了系統(tǒng)的安全性使用戶程序具有可移植性2022-5-1Linux OS Analysis4/36API和系統(tǒng)調(diào)用和系統(tǒng)調(diào)用應(yīng)用編程接口(application program interface, API)和系統(tǒng)調(diào)用是不同的API只是一個(gè)函數(shù)定義系統(tǒng)調(diào)

2、用通過軟中斷向內(nèi)核發(fā)出一個(gè)明確的請求Libc庫定義的一些API引用了封裝例程(wrapper routine，唯一目的就是發(fā)布系統(tǒng)調(diào)用)一般每個(gè)系統(tǒng)調(diào)用對應(yīng)一個(gè)封裝例程庫再用這些封裝例程定義出給用戶的API2022-5-1Linux OS Analysis5/36不是每個(gè)API都對應(yīng)一個(gè)特定的系統(tǒng)調(diào)用。API可能直接提供用戶態(tài)的服務(wù)如，一些數(shù)學(xué)函數(shù)一個(gè)單獨(dú)的API可能調(diào)用幾個(gè)系統(tǒng)調(diào)用不同的API可能調(diào)用了同一個(gè)系統(tǒng)調(diào)用返回值大部分封裝例程返回一個(gè)整數(shù)，其值的含義依賴于相應(yīng)的系統(tǒng)調(diào)用-1在多數(shù)情況下表示內(nèi)核不能滿足進(jìn)程的請求Libc中定義的errno變量包含特定的出錯(cuò)碼2022-5-1Linux

3、 OS Analysis6/36系統(tǒng)調(diào)用程序及服務(wù)例程系統(tǒng)調(diào)用程序及服務(wù)例程當(dāng)用戶態(tài)進(jìn)程調(diào)用一個(gè)系統(tǒng)調(diào)用時(shí)，CPU切換到內(nèi)核態(tài)并開始執(zhí)行一個(gè)內(nèi)核函數(shù)。在Linux中是通過執(zhí)行int $0 x80來執(zhí)行系統(tǒng)調(diào)用的，這條匯編指令產(chǎn)生向量為128的編程異常（回憶，trapinit中系統(tǒng)調(diào)用入口的初始化）Intel Pentium II中引入了sysenter指令（快速系統(tǒng)調(diào)用），2.6已經(jīng)支持（本課程不考慮這個(gè)）傳參： 內(nèi)核實(shí)現(xiàn)了很多不同的系統(tǒng)調(diào)用，進(jìn)程必須指明需要哪個(gè)系統(tǒng)調(diào)用，這需要傳遞一個(gè)名為系統(tǒng)調(diào)用號系統(tǒng)調(diào)用號的參數(shù)使用eax寄存器2022-5-1Linux OS Analysis7/36所有

4、的系統(tǒng)調(diào)用返回一個(gè)整數(shù)值。正數(shù)或0表示系統(tǒng)調(diào)用成功結(jié)束負(fù)數(shù)表示一個(gè)出錯(cuò)條件這里的返回值與封裝例程返回值的約定不同內(nèi)核沒有設(shè)置或使用errno變量封裝例程在系統(tǒng)調(diào)用返回取得返回值之后設(shè)置這個(gè)變量當(dāng)系統(tǒng)調(diào)用出錯(cuò)時(shí)，返回的那個(gè)負(fù)值將要存放在errno變量中返回給應(yīng)用程序2022-5-1Linux OS Analysis8/36系統(tǒng)調(diào)用處理程序也和其他異常處理程序的結(jié)構(gòu)類似在進(jìn)程的內(nèi)核態(tài)堆棧中保存大多數(shù)寄存器的內(nèi)容(即保存保存恢復(fù)進(jìn)程到用戶態(tài)執(zhí)行所需要的上下文上下文)調(diào)用調(diào)用相應(yīng)的系統(tǒng)調(diào)用服務(wù)例程系統(tǒng)調(diào)用服務(wù)例程處理系統(tǒng)調(diào)用sys_xxx通過ret_from_sys_call()從系統(tǒng)調(diào)用返回返回20

5、22-5-1Linux OS Analysis9/36應(yīng)用程序、封裝例程、系統(tǒng)調(diào)用處理程序及系統(tǒng)調(diào)用服務(wù)例程之間的關(guān)系應(yīng)用程序、封裝例程、系統(tǒng)調(diào)用處理程序及系統(tǒng)調(diào)用服務(wù)例程之間的關(guān)系2022-5-1Linux OS Analysis10/36為了把系統(tǒng)調(diào)用號與相應(yīng)的服務(wù)例程關(guān)聯(lián)起來，內(nèi)核利用了一個(gè)系統(tǒng)調(diào)用分派表(dispatch table)。這個(gè)表存放在sys_call_table數(shù)組中，有若干個(gè)表項(xiàng)(2.6.26中，是356)：第n個(gè)表項(xiàng)對應(yīng)了系統(tǒng)調(diào)用號為n的服務(wù)例程的入口地址的指針觀察sys_call_table（syscall_table_32.S以及entry_32.S）2022-5

6、-1Linux OS Analysis11/36關(guān)于系統(tǒng)調(diào)用表的大小關(guān)于系統(tǒng)調(diào)用表的大小2022-5-1Linux OS Analysis12/36初始化系統(tǒng)調(diào)用初始化系統(tǒng)調(diào)用 內(nèi)核初始化期間調(diào)用trap_init()函數(shù)建立IDT表中向量128對應(yīng)的表項(xiàng)，語句如下：該調(diào)用把下列值存入這個(gè)系統(tǒng)門描述符的相應(yīng)字段:segment selector內(nèi)核代碼段_KERNEL_CS的段選擇符offset指向system_call()異常處理程序的入口地址type置為15。表示這個(gè)異常是一個(gè)陷阱，相應(yīng)的處理程序不禁止可屏蔽中斷DPL(描述符特權(quán)級)置為3。這就允許用戶態(tài)進(jìn)程訪問這個(gè)門，即在用戶程序中使用

7、int $0 x80是合法的2022-5-1Linux OS Analysis13/36system_call()函數(shù)函數(shù)參見entry_32.S2022-5-1Linux OS Analysis14/36參數(shù)傳遞參數(shù)傳遞 系統(tǒng)調(diào)用也需要輸入輸出參數(shù)，例如 實(shí)際的值 用戶態(tài)進(jìn)程地址空間的變量的地址 甚至是包含指向用戶態(tài)函數(shù)的指針的數(shù)據(jù)結(jié)構(gòu)的地址 system_call是linux中所有系統(tǒng)調(diào)用的入口點(diǎn)，每個(gè)系統(tǒng)調(diào)用至少有一個(gè)參數(shù)，即由eax傳遞的系統(tǒng)調(diào)用號 一個(gè)應(yīng)用程序調(diào)用fork()封裝例程，那么在執(zhí)行int $0 x80之前就把eax寄存器的值置為2(即_NR_fork)。 這個(gè)寄存器的設(shè)

8、置是libc庫中的封裝例程進(jìn)行的，因此用戶一般不關(guān)心系統(tǒng)調(diào)用號 進(jìn)入sys_call之后，立即將eax的值壓入內(nèi)核堆棧2022-5-1Linux OS Analysis15/36很多系統(tǒng)調(diào)用需要不止一個(gè)參數(shù)普通C函數(shù)的參數(shù)傳遞是通過把參數(shù)值寫入堆棧(用戶態(tài)堆?；騼?nèi)核態(tài)堆棧)來實(shí)現(xiàn)的。但因?yàn)橄到y(tǒng)調(diào)用是一種特殊函數(shù)，它由用戶態(tài)進(jìn)入了內(nèi)核態(tài)，所以既不能使用用戶態(tài)的堆棧也不能直接使用內(nèi)核態(tài)堆棧用戶態(tài)堆棧用戶態(tài)C函數(shù)內(nèi)核態(tài)堆棧內(nèi)核態(tài)C函數(shù)2022-5-1Linux OS Analysis16/36在int $0 x80匯編指令之前，系統(tǒng)調(diào)用的參數(shù)被寫入CPU的寄存器。然后，在進(jìn)入內(nèi)核態(tài)調(diào)用系統(tǒng)調(diào)用服務(wù)例

9、程之前，內(nèi)核再把存放在CPU寄存器中的參數(shù)拷貝到內(nèi)核態(tài)堆棧中。因?yàn)楫吘狗?wù)例程是C函數(shù)，它還是要到堆棧中去尋找參數(shù)的用戶態(tài)堆棧用戶態(tài)C函數(shù)內(nèi)核態(tài)堆棧內(nèi)核態(tài)C函數(shù)寄存器2022-5-1Linux OS Analysis17/36回想一下在進(jìn)入中斷和異常處理程序前，在內(nèi)核態(tài)堆棧中保存的pt_regs結(jié)構(gòu)，此時(shí)pt_regs結(jié)構(gòu)中的一些寄存器被用來傳遞參數(shù)或者pt_regs結(jié)構(gòu)本身就是參數(shù)2022-5-1Linux OS Analysis18/36參數(shù)傳遞舉例參數(shù)傳遞舉例 處理write系統(tǒng)調(diào)用的sys_write服務(wù)例程聲明如下 該函數(shù)期望在棧頂找到fd，buf和count參數(shù)在封裝sys_wri

10、te()的封裝例程中，將會(huì)在ebx、ecx和edx寄存器中分別填入這些參數(shù)的值，然后在進(jìn)入system_call時(shí)，SAVE_ALL會(huì)把這些寄存器保存在堆棧中，進(jìn)入sys_write服務(wù)例程后，就可以在相應(yīng)的位置找到這些參數(shù)asmlinkage使得編譯器不通過寄存器(x=0)而使用堆棧傳遞參數(shù)參見參見SAVE_ALL2022-5-1Linux OS Analysis19/36由此，使用寄存器傳遞參數(shù)具有如下限制：1）每個(gè)參數(shù)的長度不能超過寄存器的長度，即32位2）在系統(tǒng)調(diào)用號（eax）之外，參數(shù)的個(gè)數(shù)不能超過6個(gè)（ebx，ecx，edx，esi，edi，ebp）？超過6個(gè)怎么辦？2022-5-

11、1Linux OS Analysis20/36傳遞返回值傳遞返回值服務(wù)例程的返回值是將會(huì)被寫入eax寄存器中這個(gè)是在執(zhí)行“return”指令時(shí)，由編譯器自動(dòng)完成的2022-5-1Linux OS Analysis21/36驗(yàn)證參數(shù)驗(yàn)證參數(shù) 在內(nèi)核打算滿足用戶的請求之前，必須仔細(xì)的檢查所有的系統(tǒng)調(diào)用參數(shù)比如前面的write()系統(tǒng)調(diào)用，fd參數(shù)是一個(gè)文件描述符，sys_write()必須檢查這個(gè)fd是否確實(shí)是以前已打開文件的一個(gè)文件描述符，進(jìn)程是否有向fd指向的文件的寫權(quán)限，如果有條件不成立，那這個(gè)處理程序必須返回一個(gè)負(fù)數(shù)2022-5-1Linux OS Analysis22/36 只要一個(gè)參數(shù)

12、指定的是地址，那么內(nèi)核必須檢查它是否在這個(gè)進(jìn)程的地址空間之內(nèi)，有兩種驗(yàn)證方法： 驗(yàn)證這個(gè)線性地址是否屬于進(jìn)程的地址空間 僅僅驗(yàn)證這個(gè)線性地址小于PAGE_OFFSET 對于第一種方法： 費(fèi)時(shí) 大多數(shù)情況下，不必要 對于第二種方法： 高效 可以在后續(xù)的執(zhí)行過程中，很自然的捕獲到出錯(cuò)的情況 從linux2.2開始執(zhí)行第二種檢查2022-5-1Linux OS Analysis23/36對用戶地址參數(shù)的粗略驗(yàn)證對用戶地址參數(shù)的粗略驗(yàn)證在內(nèi)核中，可以訪問到所有的內(nèi)存要防止用戶將一個(gè)內(nèi)核地址作為參數(shù)傳遞給內(nèi)核，這將導(dǎo)致它借用內(nèi)核代碼來讀寫任意內(nèi)存2022-5-1Linux OS Analysis24/3

13、62022-5-1Linux OS Analysis25/36檢查方法：最高地址：addr+size-11、是否超出3G邊界2、是否超出當(dāng)前進(jìn)程的地址邊界對于用戶進(jìn)程：不大于3G對于內(nèi)核線程：可以使用整個(gè)4G2022-5-1Linux OS Analysis26/36訪問進(jìn)程的地址空間訪問進(jìn)程的地址空間系統(tǒng)調(diào)用服務(wù)例程需要非常頻繁的讀寫進(jìn)程地址空間的數(shù)據(jù)2022-5-1Linux OS Analysis27/36訪問進(jìn)程地址空間時(shí)的缺頁訪問進(jìn)程地址空間時(shí)的缺頁內(nèi)核對進(jìn)程傳遞的地址參數(shù)只進(jìn)行粗略的檢查訪問進(jìn)程地址空間時(shí)的缺頁，可以有多種情況 合理的缺頁：來自虛存技術(shù)頁框不存在或者寫時(shí)復(fù)制 由于錯(cuò)

14、誤引起的缺頁 由于非法引起的缺頁2022-5-1Linux OS Analysis28/36非法缺頁的判定非法缺頁的判定內(nèi)核中，只有少數(shù)幾個(gè)函數(shù)/宏會(huì)訪問用戶地址空間對于一次非法缺頁，一定來自于這些函數(shù)/宏可以將訪問用戶地址空間的指令的地址一一列舉出來，當(dāng)發(fā)生非法缺頁時(shí)，根據(jù)引起出錯(cuò)的指令地址來定位Linux使用了異常表的概念 _ex_table, _start_ex_table, _stop_ex_table2022-5-1Linux OS Analysis29/36_ex_table的表項(xiàng)哪條指令訪問了用戶地址空間如果這條指令引起了非法缺頁，該怎么處理Fixup所指向的代碼，稱為修正代碼通

15、常為匯編代碼2022-5-1Linux OS Analysis30/36缺頁異常對非法缺頁的處理缺頁異常對非法缺頁的處理在缺頁異常do_page_fault中，若最后發(fā)現(xiàn)是非法缺頁，就會(huì)執(zhí)行下面的操作假設(shè)找到了修正代碼，會(huì)發(fā)生什么事情？該操作使用引起出錯(cuò)的代碼地址在異常表中進(jìn)行查找，若找到，就返回相應(yīng)的修正代碼地址，填寫在regs-eip中2022-5-1Linux OS Analysis31/36IDT表，進(jìn)入異常處理某內(nèi)核函數(shù)缺頁缺頁處理作為一次故障，要重新執(zhí)行引起出錯(cuò)的代碼正常情況下，這個(gè)eip在發(fā)生異常時(shí)，由硬件保存到堆棧中因此，正常情況下，返回此處非法異常修改堆棧中的eip，指向修正代碼因此，非法缺頁時(shí)，返回此處修正代碼異常處理后，返回eip指定的位置執(zhí)行2022-5-1Linux OS Analysis32/36異常表的生成和修正代碼異常表的生成和修正代碼2022-5-1Linux OS Analysis33/36舉例舉例2022-5-1Linux OS Analysis34/36系統(tǒng)調(diào)用的返回系統(tǒng)