linux内核地址随机化-kaslr

kaslr是什么？

kaslr(kernel address space layout ramdomization)，即内核地址随机化，是一种内核安全特性。

正常情况下，kernel image会按照vmlinux链接脚本中的链接地址去映射虚拟地址，如果开启kaslr，则会重新再映射一次，映射到 链接地址 + offset的新地址上去。如果offset每次开机都随机生成，那么每次开机后，kernel image最后映射的虚拟地址都不一样，这就是内核地址随机化。

例如，在Android中，bootloader中会随机生成一个随机数seed，通过fdt传给kernel，kernel根据这个seed生成地址偏移offset，然后去做重映射。

kaslr的作用是什么？

通过反汇编vmlinux得不到内核中函数或者汇编语句的真正地址，因为攻击者并不知道kaslr的offset。

如何绕过kalsr？

可以通过某些方法泄露内核全局变量的真正地址并打印到dmesg中，这样就可以破解offset的值了。

kaslr源码分析

搞清楚一个特性最好的办法就是直接分析源码，看了源码才知道这么多有趣的点：
https://lore.kernel.org/patchwork/cover/639469/

1. 支持kaslr之前，kernel加载到system RAM的某个位置，它之前的内存kernel是无法管理的，所以一般将kernel加载到system RAM的 起始位置+TEXT_OFFSET（0x080000）处，因为kaslr修改成可以随意加载到system RAM的任何位置，只要满足对齐要求就可以；
2. 支持kaslr之前，kernel image是映射到线性映射区域的，因为kaslr才修改成映射到vmalloc区域；
3. 为了支持kaslr，内核要编译成PIE(Position Independent Execuable)，才能重映射

源码比较多，涉及的知识也比较多，要分析难度还是很大的，以后有时间再更新源码分析

kaslr效果实测

可以看出开启klaslr后，.text/.rodata/.init/.data/.bss这些段相对于链接地址都加上了一个offset:0x1543e

未开启内核地址随机化

Virtual kernel memory layout：
  modules：0xffffff8000000000 - 0xffffff8008000000 (128MB)
  vmalloc: 0xffffff8008000000 - 0xffffffbebfff0000 (250GB)
  .text:   0xffffff8008080000 - 0xffffff8009e00000 (30208KB)
  .rodata: 0xffffff8009e04000 - 0xffffff800a800000 (10224KB)
  .init:   0xffffff800a800000 - 0xffffff800aa00000 (2048KB)
  .data:   0xffffff800aa00000 - 0xffffff800ae04200 (4113KB)
  .bss:    0xffffff800ae04200 - 0xffffff800b3750d0 (5572KB)
  fixed:   0xffffffbefe7fd000 - 0xffffffbefec00000 (4108KB)
memory:    0xffffffc000000000 - 0xffffffc1c0000000 (7168MB)

开启内核地址随机化

Virtual kernel memory layout：
  modules：0xffffff8000000000 - 0xffffff8008000000 (128MB)
  vmalloc: 0xffffff8008000000 - 0xffffffbebfff0000 (250GB)
  .text:   0xffffff9543e80000 - 0xffffff9545980000 (27648KB)
  .rodata: 0xffffff9545980000 - 0xffffff9546360000 (10112KB)
  .init:   0xffffff9546360000 - 0xffffff9546730000 (3904KB)
  .data:   0xffffff9546730000 - 0xffffff9546b08808 (3939KB)
  .bss:    0xffffff9546b08808 - 0xffffff95475f47a0 (11184KB)
  fixed:   0xffffffbefe7fd000 - 0xffffffbefec00000 (4108KB)
memory:    0xffffffdcc0000000 - 0xffffffde80000000 (7168MB)