在任意进程中修改内存保护属性的技术研究<\/h1>

引言<\/h2>
在现代操作系统中，每个进程都有自己的虚拟地址空间，由内存页组成，每个页都有保护标志（读取、写入和执行）。在Linux系统中，修改内存保护属性的标准方法是使用`mprotect<\/code>或pkey_mprotect<\/code>系统调用，但这些调用只能作用于当前进程。本文将详细介绍三种在任意进程中修改内存保护属性的方法。<\/p>`

方法一：代码注入<\/h2>
原理概述<\/h3>
通过ptrace<\/code>机制让目标进程从其自身上下文中调用mprotect<\/code>。<\/p>
实现步骤<\/h3>


附加到目标进程<\/strong>：<\/p>

使用ptrace<\/code>附加到目标进程<\/li>
如果进程有多个线程，需要停止所有其他线程<\/li>
<\/ul>
<\/li>

寻找可执行内存区域<\/strong>：<\/p>

检查\/proc\/PID\/maps<\/code>找到可执行内存区域<\/li>
在该区域写入系统调用操作码0f 05<\/code><\/li>
<\/ul>
<\/li>

设置寄存器<\/strong>：<\/p>

rax<\/code>设置为mprotect<\/code>的系统调用号(10)<\/li>
参数分别存储在：

rdi<\/code>: 起始地址<\/li>
rsi<\/code>: 长度<\/li>
rdx<\/code>: 所需的保护标志<\/li>
<\/ul>
<\/li>
rip<\/code>设置为步骤2中使用的地址<\/li>
<\/ul>
<\/li>

恢复进程<\/strong>：<\/p>

系统调用返回后恢复进程<\/li>
恢复被覆盖的内存和寄存器<\/li>
从进程分离并恢复正常执行<\/li>
<\/ul>
<\/li>
<\/ol>
局限性<\/h3>

无法绕过seccomp<\/code>保护机制<\/li>
如果进程启用了seccomp<\/code>并限制了mprotect<\/code>调用，内核将终止进程<\/li>
<\/ul>
方法二：模拟内核模块中的mprotect<\/h2>
原理概述<\/h3>
在内核模式下实现mprotect<\/code>功能，绕过用户模式的限制。<\/p>
实现步骤<\/h3>


获取任务结构<\/strong>：<\/p>
pid_struct =<\/span> find_get_pid(params.pid);
<\/span><\/span>task =<\/span> get_pid_task(pid_struct, PIDTYPE_PID);
<\/span><\/span>mm =<\/span> get_task_mm(task);
<\/span><\/span><\/code><\/pre><\/li>

查找内存区域<\/strong>：<\/p>

使用find_vma<\/code>函数通过地址搜索内存映射<\/li>
操作vm_area_struct<\/code>结构：

vm_flags<\/code>: 体系结构无关的保护标志<\/li>
vm_page_prot<\/code>: 体系结构相关的保护标志<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

修改保护属性<\/strong>：<\/p>

更改vm_flags<\/code>为所需保护标志<\/li>
调用vma_set_page_prot_func<\/code>更新vm_page_prot<\/code><\/li>
调用change_protection_func<\/code>更新页表中的保护位<\/li>
<\/ul>
<\/li>
<\/ol>
问题与局限性<\/h3>

仅实现了mprotect<\/code>的基本功能，缺少完整实现<\/li>
使用了未导出的内核函数(vma_set_page_prot_func<\/code>和change_protection_func<\/code>)<\/li>
依赖内核内部结构，容易随内核版本变化而失效<\/li>
<\/ol>
方法三：使用目标进程的内存映射<\/h2>
原理概述<\/h3>
在内核线程中使用目标进程的内存上下文执行mprotect<\/code>。<\/p>
实现步骤<\/h3>


获取内存映射对象<\/strong>：<\/p>

与方法二相同，获取目标进程的mm_struct<\/code><\/li>
<\/ul>
<\/li>

创建工作队列<\/strong>：<\/p>

使用内核的工作队列接口创建内核线程<\/li>
在自定义工作例程中：
use_mm(suprotect_work-><\/span>mm);
<\/span><\/span>suprotect_work-><\/span>ret_value =<\/span> do_mprotect_pkey(
<\/span><\/span>    suprotect_work-><\/span>start,
<\/span><\/span>    suprotect_work-><\/span>len,
<\/span><\/span>    suprotect_work-><\/span>prot,
<\/span><\/span>    -<\/span>1<\/span>);
<\/span><\/span>unuse_mm(suprotect_work-><\/span>mm);
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>

调度工作<\/strong>：<\/p>

当收到修改请求时，调度工作队列执行<\/li>
<\/ul>
<\/li>
<\/ol>
优点与局限性<\/h3>
优点<\/strong>：<\/p>

不直接操作内部结构，更稳定<\/li>
在内核线程上下文中执行，绕过用户模式限制<\/li>
<\/ul>
局限性<\/strong>：<\/p>

仍然需要使用kallsyms<\/code>获取未导出的do_mprotect_pkey<\/code>函数<\/li>
需要内核线程支持<\/li>
<\/ul>
技术要点总结<\/h2>


内存保护基础<\/strong>：<\/p>

内存页保护标志：读(R)、写(W)、执行(X)<\/li>
x64架构下无法创建只写内存页（总是可读）<\/li>
<\/ul>
<\/li>

Linux与Windows对比<\/strong>：<\/p>

Windows：VirtualProtectEx<\/code>可直接操作其他进程<\/li>
Linux：mprotect<\/code>只能操作当前进程<\/li>
<\/ul>
<\/li>

关键技术<\/strong>：<\/p>

ptrace<\/code>机制：观察和控制其他进程执行<\/li>
seccomp<\/code>限制：阻止特定系统调用<\/li>
内核任务结构：task_struct<\/code>和mm_struct<\/code><\/li>
内存区域管理：vm_area_struct<\/code>结构<\/li>
<\/ul>
<\/li>

内核模块开发要点<\/strong>：<\/p>

使用find_get_pid<\/code>和get_task_mm<\/code>获取进程信息<\/li>
工作队列接口创建内核线程<\/li>
use_mm<\/code>\/unuse_mm<\/code>切换内存上下文<\/li>
<\/ul>
<\/li>
<\/ol>
最佳实践建议<\/h2>


方法选择<\/strong>：<\/p>

无seccomp<\/code>限制：优先使用方法一（代码注入）<\/li>
有seccomp<\/code>限制：使用方法三（内存映射）<\/li>
方法二（模拟内核模块）仅适用于学习研究<\/li>
<\/ul>
<\/li>

稳定性考虑<\/strong>：<\/p>

避免直接依赖未导出内核函数<\/li>
考虑内核版本兼容性<\/li>
<\/ul>
<\/li>

安全考虑<\/strong>：<\/p>

需要root权限<\/li>
操作其他进程内存需谨慎<\/li>
<\/ul>
<\/li>
<\/ol>
扩展思考<\/h2>


性能影响<\/strong>：<\/p>

方法一涉及进程暂停\/恢复，对性能影响较大<\/li>
方法三使用工作队列，性能较好<\/li>
<\/ul>
<\/li>

未来发展<\/strong>：<\/p>

内核API变化可能影响方法二和三<\/li>
seccomp<\/code>机制可能进一步加强<\/li>
<\/ul>
<\/li>

替代方案<\/strong>：<\/p>

考虑使用LD_PRELOAD<\/code>注入代码<\/li>
研究process_vm_writev<\/code>等系统调用<\/li>
<\/ul>
<\/li>
<\/ol>
通过这三种方法的比较研究，我们深入理解了Linux内存管理和进程间操作的核心机制，为系统级开发和调试提供了重要技术参考。<\/p>

在任意进程中修改内存保护属性的技术研究<\/h1>

原理概述<\/h3>
通过`ptrace<\/code>机制让目标进程从其自身上下文中调用mprotect<\/code>。<\/p>`

方法二：模拟内核模块中的mprotect<\/h2>

原理概述<\/h3>
在内核模式下实现`mprotect<\/code>功能，绕过用户模式的限制。<\/p>`

方法三：使用目标进程的内存映射<\/h2>

原理概述<\/h3>
在内核线程中使用目标进程的内存上下文执行`mprotect<\/code>。<\/p>`

在任意进程中修改内存保护属性的技术研究<\/h1>

原理概述<\/h3> 通过ptrace<\/code>机制让目标进程从其自身上下文中调用mprotect<\/code>。<\/p>

方法二：模拟内核模块中的mprotect<\/h2>

原理概述<\/h3> 在内核模式下实现mprotect<\/code>功能，绕过用户模式的限制。<\/p>

方法三：使用目标进程的内存映射<\/h2>

原理概述<\/h3> 在内核线程中使用目标进程的内存上下文执行mprotect<\/code>。<\/p>

原理概述<\/h3>
通过`ptrace<\/code>机制让目标进程从其自身上下文中调用mprotect<\/code>。<\/p>`

原理概述<\/h3>
在内核模式下实现`mprotect<\/code>功能，绕过用户模式的限制。<\/p>`

原理概述<\/h3>
在内核线程中使用目标进程的内存上下文执行`mprotect<\/code>。<\/p>`