LINUX之 Copy_from_user函数详细分析
2017-07-31 14:43
525 查看
来自http://hi.baidu.com/wzt85/blog/item/1f29731ba4b317ffae513316.html
copy_from_user函数的目的是从用户空间拷贝数据到内核空间,失败返回没有被拷贝的字节数,成功返回0.
这么简单的一个函数却含盖了许多关于内核方面的知识,比如内核关于异常出错的处理.从用户空间拷贝
数据到内核中时必须非常小心,如果用户空间的数据地址是个非法的地址,或是超出用户空间的范围,或是
那些地址还没有被映射到,都可能对内核产生很大的影响,如oops,或者被造成系统安全的影响.所以
copy_from_user函数的功能就不只是从用户空间拷贝数据那样简单了,它还要做一些指针检查以及处理这些
问题的方法.下面我们来仔细分析下这个函数.函数原型在[arch/i386/lib/usercopy.c]中
unsigned long
copy_from_user(void *to, const void __user *from, unsigned long n)
{
might_sleep();
if (access_ok(VERIFY_READ, from, n))
n = __copy_from_user(to, from, n);
else
memset(to, 0, n);
return n;
}
首先这个函数是可以睡眠的,它调用might_sleep()来处理,它在include/Linux/kernel.h中定义,
本质也就是调用schedule(),转到其他进程.接下来就要验证用户空间地址的有效性.它在
[/include/asm-i386/uaccess.h]中定义.
#define access_ok(type,addr,size) (likely(__range_ok(addr,size) == 0)),进一步调用__rang_ok
函数来处理,它所做的测试很简单,就是比较addr+size这个地址的大小是否超出了用户进程空间的大小,
也就是0xbfffffff.可能有读者会问,只做地址范围检查,怎么不做指针合法性的检查呢,如果出现前面
提到过的问题怎么办?这个会在下面的函数中处理,我们慢慢看.在做完地址范围检查后,如果成功则调用
__copy_from_user函数开始拷贝数据了,如果失败的话,就把从to指针指向的内核空间地址到to+size范围
填充为0.__copy_from_user也在uaceess.h中定义,
static inline unsigned long
__copy_from_user(void *to, const void __user *from, unsigned long n)
{
might_sleep();
return __copy_from_user_inatomic(to, from, n);
}
这里继续调用__copy_from_user_inatomic.
static inline unsigned long
__copy_from_user_inatomic(void *to, const void __user *from, unsigned long n)
{
if (__builtin_constant_p(n)) {
unsigned long ret;
switch (n) {
case 1:
__get_user_size(*(u8 *)to, from, 1, ret, 1);
return ret;
case 2:
__get_user_size(*(u16 *)to, from, 2, ret, 2);
return ret;
case 4:
__get_user_size(*(u32 *)to, from, 4, ret, 4);
return ret;
}
}
return __copy_from_user_ll(to, from, n);
}
这里先判断要拷贝的字节大小,如果是8,16,32大小的话,则调用__get_user_size来拷贝数据.
这样做是一种程序设计上的优化了。
#define __get_user_size(x,ptr,size,retval,errret) /
do { /
retval = 0; /
__chk_user_ptr(ptr); /
switch (size) { /
case 1: __get_user_asm(x,ptr,retval,"b","b","=q",errret);break; /
case 2: __get_user_asm(x,ptr,retval,"w","w","=r",errret);break; /
case 4: __get_user_asm(x,ptr,retval,"l","","=r",errret);break; /
default: (x) = __get_user_bad(); /
} /
} while (0)
#define __get_user_asm(x, addr, err, itype, rtype, ltype, errret) /
__asm__ __volatile__( /
"1: mov"itype" %2,%"rtype"1/n" /
"2:/n" /
".section .fixup,/"ax/"/n" /
"3: movl %3,%0/n" /
" xor"itype" %"rtype"1,%"rtype"1/n" /
" jmp 2b/n" /
".previous/n" /
".section __ex_table,/"a/"/n" /
" .align 4/n" /
" .long 1b,3b/n" /
".previous" /
: "=r"(err), ltype (x) /
: "m"(__m(addr)), "i"(errret), "0"(err))
实际上在完成一些宏的转换后,也就是利用movb,movw,movl指令传输数据了,对于
内嵌汇编中的.section .fixup, .section __ex_table,我们呆会要仔细讲。
如果不是那些特殊大小时,则调用__copy_from_user_ll处理。
unsigned long
__copy_from_user_ll(void *to, const void __user *from, unsigned long n)
{
if (movsl_is_ok(to, from, n))
__copy_user_zeroing(to, from, n);
else
n = __copy_user_zeroing_intel(to, from, n);
return n;
}
直接调用__copy_user_zeroing开始真正的拷贝数据了,绕了那么多弯,总算快看到
出路了。copy_from_user函数的精华部分也就都在这了。
#define __copy_user_zeroing(to,from,size) /
do { /
int __d0, __d1, __d2; /
__asm__ __volatile__( /
" cmp $7,%0/n" /
" jbe 1f/n" /
" movl %1,%0/n" /
" negl %0/n" /
" andl $7,%0/n" /
" subl %0,%3/n" /
"4: rep; movsb/n" /
" movl %3,%0/n" /
" shrl $2,%0/n" /
" andl $3,%3/n" /
" .align 2,0x90/n" /
"0: rep; movsl/n" /
" movl %3,%0/n" /
"1: rep; movsb/n" /
"2:/n" /
".section .fixup,/"ax/"/n" /
"5: addl %3,%0/n" /
" jmp 6f/n" /
"3: lea 0(%3,%0,4),%0/n" /
"6: pushl %0/n" /
" pushl %%eax/n" /
" xorl %%eax,%%eax/n" /
" rep; stosb/n" /
" popl %%eax/n" /
" popl %0/n" /
" jmp 2b/n" /
".previous/n" /
".section __ex_table,/"a/"/n" /
" .align 4/n" /
" .long 4b,5b/n" /
" .long 0b,3b/n" /
" .long 1b,6b/n" /
".previous" /
: "=&c"(size), "=&D" (__d0), "=&S" (__d1), "=r"(__d2) /
: "3"(size), "0"(size), "1"(to), "2"(from) /
: "memory"); /
} while (0)
这个函数的前一部分比较简单,也就是拷贝数据.关于后一部分就会涉及到我们前面
提到过的那些情况了,如果用户空间的地址没被映射怎么办呢?在一些老的内核版本
中是用verify_area()来验证地址地址合法性的,比如在早期的linux 0.11内核.
[linux0.11/kenrel/fork.c]
// 进程空间写前验证函数。在现代CPU中,其控制寄存器CR0有个写保护标志位(wp:16),内核可以通过设置
// 该位来禁止特权级0的代码向用户空间只读页面执行写数据,否则将导致写保护异常。
// addr为内存物理地址
void verify_area(void * addr,int si
bb20
ze)
{
unsigned long start;
start = (unsigned long) addr;
size += start & 0xfff; // start & 0xfff为起始地址addr在页面中的偏移,2^12=4096
start &= 0xfffff000; // start为页开始地址,即页面边界值。此时start为当前进程空间中的逻辑地址
start += get_base(current->ldt[2]); // get_base(current->ldt[2])为进程数据段在线性地址空间中的开始地址,在加上start,变为系统这个线性空间中的地址
页边界 addr ----size----- 页边界
+--------------------------------------------------------+
| ... | start&0xfff | | | ... |
+--------------------------------------------------------+
| start |
start-----------size-------------
while (size>0) {
size -= 4096;
write_verify(start); // 以页为单位,进行写保护验证,如果页为只读,则将其变为可写
start += 4096;
}
}
[linux0.11/mm/memory.c]
// 验证线性地址是否可写
void write_verify(unsigned long address)
{
unsigned long page;
// 如果对应页表为空的话,直接返回
if (!( (page = *((unsigned long *) ((address>>20) & 0xffc)) )&1))
return;
page &= 0xfffff000;
page += ((address>>10) & 0xffc);
// 经过运算后page为页表项的内容,指向实际的一页物理地址
if ((3 & *(unsigned long *) page) == 1) // 验证页面是否可写,不可写则执行un_wp_page,取消写保护.
un_wp_page((unsigned long *) page);
return;
}
但是如果每次在用户空间复制数据时,都要做这种检查是很浪费时间的,毕竟坏指针是很少
存在的,在新内核中的做法是,在从用户空间复制数据时,取消验证指针合法性的检查,
只多地址范围的检查,就象access_ok()所做的那样,一但碰上了坏指针,就要页异常出错处理
程序去处理它了.我们去看看do_page_fault函数.
[arch/asm-i386/mm/fault.c/do_page_falut()]
fastcall void do_page_fault(struct pt_regs *regs, unsigned long error_code)
{
...
...
if (!down_read_trylock(&mm->mmap_sem)) {
if ((error_code & 4) == 0 &&
!search_exception_tables(regs->eip))
goto bad_area_nosemaphore;
down_read(&mm->mmap_sem);
}
...
...
bad_area_nosemaphore:
...
no_context:
if (fixup_exception(regs))
return;
...
...
}
error_code保存的是出错码,(error_code & 4) == 0代表产生异常的原因是在内核中.
它调用fixup_exception(regs)来处理这个问题.既然出错了,那么如何来修复它呢?
先看下fixup_exception()函数的实现:
[arch/asm-i386/mm/extable.c]
int fixup_exception(struct pt_regs *regs)
{
const struct exception_table_entry *fixup;
...
fixup = search_exception_tables(regs->eip);
if (fixup) {
regs->eip = fixup->fixup;
return 1;
}
...
}
[kernel/extable.c]
const struct exception_table_entry *search_exception_tables(unsigned long addr)
{
const struct exception_table_entry *e;
e = search_extable(__start___ex_table, __stop___ex_table-1, addr);
if (!e)
e = search_module_extables(addr);
return e;
}
[/lib/extable.c]
const struct exception_table_entry *
search_extable(const struct exception_table_entry *first,
const struct exception_table_entry *last,
unsigned long value)
{
while (first <= last) {
const struct exception_table_entry *mid;
mid = (last - first) / 2 + first;
if (mid->insn < value)
first = mid + 1;
else if (mid->insn > value)
last = mid - 1;
else
return mid;
}
return NULL;
}
在内核中有个异常出错地址表,在地址表中有个出错地址的修复地址也气对应,它结构如下:
[/include/asm-i386/uaccess.h]
struct exception_table_entry
{
unsigned long insn, fixup;
};
insn是产生异常指令的地址,fixup用来修复出错地址的地址,也就是当异常发生后,用它的
地址来替换异常指令发生的地址。__copy_user_zeroing中的.section __ex_table代表异常出错
地址表的地址,.section .fixup代表修复的地址。他们都是elf文件格式中的2个特殊节。
".section __ex_table,/"a/"/n" /
" .align 4/n" /
" .long 4b,5b/n" /
" .long 0b,3b/n" /
" .long 1b,6b/n"
4b,5b的意思是当出错地址在4b标号对应的地址上时,就转入5b标号对应的地址去接着运行,
也就是修复的地址。依次类推。所以理解这一点后,fixup_exception()函数就很容易看明白了
就是根据出错地址搜索异常地址表,找到对应的修复地址,跳转到那里去执行就ok了。
ok,到这里copy_from_user函数也就分析完了,如果有什么不明白的话,可以通过阅读
/usr/src/linux/Documentation/exception.txt来得到更多关于异常处理方面的知识。
copy_from_user函数的目的是从用户空间拷贝数据到内核空间,失败返回没有被拷贝的字节数,成功返回0.
这么简单的一个函数却含盖了许多关于内核方面的知识,比如内核关于异常出错的处理.从用户空间拷贝
数据到内核中时必须非常小心,如果用户空间的数据地址是个非法的地址,或是超出用户空间的范围,或是
那些地址还没有被映射到,都可能对内核产生很大的影响,如oops,或者被造成系统安全的影响.所以
copy_from_user函数的功能就不只是从用户空间拷贝数据那样简单了,它还要做一些指针检查以及处理这些
问题的方法.下面我们来仔细分析下这个函数.函数原型在[arch/i386/lib/usercopy.c]中
unsigned long
copy_from_user(void *to, const void __user *from, unsigned long n)
{
might_sleep();
if (access_ok(VERIFY_READ, from, n))
n = __copy_from_user(to, from, n);
else
memset(to, 0, n);
return n;
}
首先这个函数是可以睡眠的,它调用might_sleep()来处理,它在include/Linux/kernel.h中定义,
本质也就是调用schedule(),转到其他进程.接下来就要验证用户空间地址的有效性.它在
[/include/asm-i386/uaccess.h]中定义.
#define access_ok(type,addr,size) (likely(__range_ok(addr,size) == 0)),进一步调用__rang_ok
函数来处理,它所做的测试很简单,就是比较addr+size这个地址的大小是否超出了用户进程空间的大小,
也就是0xbfffffff.可能有读者会问,只做地址范围检查,怎么不做指针合法性的检查呢,如果出现前面
提到过的问题怎么办?这个会在下面的函数中处理,我们慢慢看.在做完地址范围检查后,如果成功则调用
__copy_from_user函数开始拷贝数据了,如果失败的话,就把从to指针指向的内核空间地址到to+size范围
填充为0.__copy_from_user也在uaceess.h中定义,
static inline unsigned long
__copy_from_user(void *to, const void __user *from, unsigned long n)
{
might_sleep();
return __copy_from_user_inatomic(to, from, n);
}
这里继续调用__copy_from_user_inatomic.
static inline unsigned long
__copy_from_user_inatomic(void *to, const void __user *from, unsigned long n)
{
if (__builtin_constant_p(n)) {
unsigned long ret;
switch (n) {
case 1:
__get_user_size(*(u8 *)to, from, 1, ret, 1);
return ret;
case 2:
__get_user_size(*(u16 *)to, from, 2, ret, 2);
return ret;
case 4:
__get_user_size(*(u32 *)to, from, 4, ret, 4);
return ret;
}
}
return __copy_from_user_ll(to, from, n);
}
这里先判断要拷贝的字节大小,如果是8,16,32大小的话,则调用__get_user_size来拷贝数据.
这样做是一种程序设计上的优化了。
#define __get_user_size(x,ptr,size,retval,errret) /
do { /
retval = 0; /
__chk_user_ptr(ptr); /
switch (size) { /
case 1: __get_user_asm(x,ptr,retval,"b","b","=q",errret);break; /
case 2: __get_user_asm(x,ptr,retval,"w","w","=r",errret);break; /
case 4: __get_user_asm(x,ptr,retval,"l","","=r",errret);break; /
default: (x) = __get_user_bad(); /
} /
} while (0)
#define __get_user_asm(x, addr, err, itype, rtype, ltype, errret) /
__asm__ __volatile__( /
"1: mov"itype" %2,%"rtype"1/n" /
"2:/n" /
".section .fixup,/"ax/"/n" /
"3: movl %3,%0/n" /
" xor"itype" %"rtype"1,%"rtype"1/n" /
" jmp 2b/n" /
".previous/n" /
".section __ex_table,/"a/"/n" /
" .align 4/n" /
" .long 1b,3b/n" /
".previous" /
: "=r"(err), ltype (x) /
: "m"(__m(addr)), "i"(errret), "0"(err))
实际上在完成一些宏的转换后,也就是利用movb,movw,movl指令传输数据了,对于
内嵌汇编中的.section .fixup, .section __ex_table,我们呆会要仔细讲。
如果不是那些特殊大小时,则调用__copy_from_user_ll处理。
unsigned long
__copy_from_user_ll(void *to, const void __user *from, unsigned long n)
{
if (movsl_is_ok(to, from, n))
__copy_user_zeroing(to, from, n);
else
n = __copy_user_zeroing_intel(to, from, n);
return n;
}
直接调用__copy_user_zeroing开始真正的拷贝数据了,绕了那么多弯,总算快看到
出路了。copy_from_user函数的精华部分也就都在这了。
#define __copy_user_zeroing(to,from,size) /
do { /
int __d0, __d1, __d2; /
__asm__ __volatile__( /
" cmp $7,%0/n" /
" jbe 1f/n" /
" movl %1,%0/n" /
" negl %0/n" /
" andl $7,%0/n" /
" subl %0,%3/n" /
"4: rep; movsb/n" /
" movl %3,%0/n" /
" shrl $2,%0/n" /
" andl $3,%3/n" /
" .align 2,0x90/n" /
"0: rep; movsl/n" /
" movl %3,%0/n" /
"1: rep; movsb/n" /
"2:/n" /
".section .fixup,/"ax/"/n" /
"5: addl %3,%0/n" /
" jmp 6f/n" /
"3: lea 0(%3,%0,4),%0/n" /
"6: pushl %0/n" /
" pushl %%eax/n" /
" xorl %%eax,%%eax/n" /
" rep; stosb/n" /
" popl %%eax/n" /
" popl %0/n" /
" jmp 2b/n" /
".previous/n" /
".section __ex_table,/"a/"/n" /
" .align 4/n" /
" .long 4b,5b/n" /
" .long 0b,3b/n" /
" .long 1b,6b/n" /
".previous" /
: "=&c"(size), "=&D" (__d0), "=&S" (__d1), "=r"(__d2) /
: "3"(size), "0"(size), "1"(to), "2"(from) /
: "memory"); /
} while (0)
这个函数的前一部分比较简单,也就是拷贝数据.关于后一部分就会涉及到我们前面
提到过的那些情况了,如果用户空间的地址没被映射怎么办呢?在一些老的内核版本
中是用verify_area()来验证地址地址合法性的,比如在早期的linux 0.11内核.
[linux0.11/kenrel/fork.c]
// 进程空间写前验证函数。在现代CPU中,其控制寄存器CR0有个写保护标志位(wp:16),内核可以通过设置
// 该位来禁止特权级0的代码向用户空间只读页面执行写数据,否则将导致写保护异常。
// addr为内存物理地址
void verify_area(void * addr,int si
bb20
ze)
{
unsigned long start;
start = (unsigned long) addr;
size += start & 0xfff; // start & 0xfff为起始地址addr在页面中的偏移,2^12=4096
start &= 0xfffff000; // start为页开始地址,即页面边界值。此时start为当前进程空间中的逻辑地址
start += get_base(current->ldt[2]); // get_base(current->ldt[2])为进程数据段在线性地址空间中的开始地址,在加上start,变为系统这个线性空间中的地址
页边界 addr ----size----- 页边界
+--------------------------------------------------------+
| ... | start&0xfff | | | ... |
+--------------------------------------------------------+
| start |
start-----------size-------------
while (size>0) {
size -= 4096;
write_verify(start); // 以页为单位,进行写保护验证,如果页为只读,则将其变为可写
start += 4096;
}
}
[linux0.11/mm/memory.c]
// 验证线性地址是否可写
void write_verify(unsigned long address)
{
unsigned long page;
// 如果对应页表为空的话,直接返回
if (!( (page = *((unsigned long *) ((address>>20) & 0xffc)) )&1))
return;
page &= 0xfffff000;
page += ((address>>10) & 0xffc);
// 经过运算后page为页表项的内容,指向实际的一页物理地址
if ((3 & *(unsigned long *) page) == 1) // 验证页面是否可写,不可写则执行un_wp_page,取消写保护.
un_wp_page((unsigned long *) page);
return;
}
但是如果每次在用户空间复制数据时,都要做这种检查是很浪费时间的,毕竟坏指针是很少
存在的,在新内核中的做法是,在从用户空间复制数据时,取消验证指针合法性的检查,
只多地址范围的检查,就象access_ok()所做的那样,一但碰上了坏指针,就要页异常出错处理
程序去处理它了.我们去看看do_page_fault函数.
[arch/asm-i386/mm/fault.c/do_page_falut()]
fastcall void do_page_fault(struct pt_regs *regs, unsigned long error_code)
{
...
...
if (!down_read_trylock(&mm->mmap_sem)) {
if ((error_code & 4) == 0 &&
!search_exception_tables(regs->eip))
goto bad_area_nosemaphore;
down_read(&mm->mmap_sem);
}
...
...
bad_area_nosemaphore:
...
no_context:
if (fixup_exception(regs))
return;
...
...
}
error_code保存的是出错码,(error_code & 4) == 0代表产生异常的原因是在内核中.
它调用fixup_exception(regs)来处理这个问题.既然出错了,那么如何来修复它呢?
先看下fixup_exception()函数的实现:
[arch/asm-i386/mm/extable.c]
int fixup_exception(struct pt_regs *regs)
{
const struct exception_table_entry *fixup;
...
fixup = search_exception_tables(regs->eip);
if (fixup) {
regs->eip = fixup->fixup;
return 1;
}
...
}
[kernel/extable.c]
const struct exception_table_entry *search_exception_tables(unsigned long addr)
{
const struct exception_table_entry *e;
e = search_extable(__start___ex_table, __stop___ex_table-1, addr);
if (!e)
e = search_module_extables(addr);
return e;
}
[/lib/extable.c]
const struct exception_table_entry *
search_extable(const struct exception_table_entry *first,
const struct exception_table_entry *last,
unsigned long value)
{
while (first <= last) {
const struct exception_table_entry *mid;
mid = (last - first) / 2 + first;
if (mid->insn < value)
first = mid + 1;
else if (mid->insn > value)
last = mid - 1;
else
return mid;
}
return NULL;
}
在内核中有个异常出错地址表,在地址表中有个出错地址的修复地址也气对应,它结构如下:
[/include/asm-i386/uaccess.h]
struct exception_table_entry
{
unsigned long insn, fixup;
};
insn是产生异常指令的地址,fixup用来修复出错地址的地址,也就是当异常发生后,用它的
地址来替换异常指令发生的地址。__copy_user_zeroing中的.section __ex_table代表异常出错
地址表的地址,.section .fixup代表修复的地址。他们都是elf文件格式中的2个特殊节。
".section __ex_table,/"a/"/n" /
" .align 4/n" /
" .long 4b,5b/n" /
" .long 0b,3b/n" /
" .long 1b,6b/n"
4b,5b的意思是当出错地址在4b标号对应的地址上时,就转入5b标号对应的地址去接着运行,
也就是修复的地址。依次类推。所以理解这一点后,fixup_exception()函数就很容易看明白了
就是根据出错地址搜索异常地址表,找到对应的修复地址,跳转到那里去执行就ok了。
ok,到这里copy_from_user函数也就分析完了,如果有什么不明白的话,可以通过阅读
/usr/src/linux/Documentation/exception.txt来得到更多关于异常处理方面的知识。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Copy_from_user函数详细分析
- Copy_from_user函数详细分析
- Copy_from_user函数详细分析
- Copy_from_user函数详细分析
- copy_from_user函数详细分析
- Copy_from_user函数详细分析
- 转载_Copy_from_user函数详细分析
- Linux内核(1)——copy_to_user和copy_from_user两个函数的分析[转]
- Copy_from_user函数详细分析
- Copy_from_user函数详细分析
- copy_to_user和copy_from_user两个函数的分析
- 基于ARM 构架(带MMU)的copy_from_user与copy_to_user详细分析
- copy_to_user和copy_from_user两个函数的分析
- copy_to_user和copy_from_user两个函数的分析
- copy_to_user和copy_from_user两个函数的分析
- copy_to_user和copy_from_user两个函数的分析(转)
- copy_to_user和copy_from_user两个函数的分析(转)
- copy_to_user和copy_from_user两个函数的分析
- copy_to_user和copy_from_user两个函数的分析
- linux驱动开发--copy_to_user 、copy_from_user函数实现内核空间数据与用户空间数据的相互访问