kmemcheck

最后更新于1年前

kmemcheck

内核中 kmemcheck 介绍

Linux内存管理描述了Linux内核中；本小节是第三部分。在本章中我们遇到了两个与内存管理相关的概念：

固定映射地址;
输入输出重映射.

固定映射地址代表中的一类特殊区域，这类地址的物理映射地址是在期间计算出来的。输入输出重映射表示把输入/输出相关的内存映射到虚拟内存。

例如，查看/proc/iomem命令：

$ sudo cat /proc/iomem

00000000-00000fff : reserved
00001000-0009d7ff : System RAM
0009d800-0009ffff : reserved
000a0000-000bffff : PCI Bus 0000:00
000c0000-000cffff : Video ROM
000d0000-000d3fff : PCI Bus 0000:00
000d4000-000d7fff : PCI Bus 0000:00
000d8000-000dbfff : PCI Bus 0000:00
000dc000-000dffff : PCI Bus 0000:00
000e0000-000fffff : reserved
...
...
...

iomem 命令的输出显示了系统中每个物理设备所映射的内存区域。第一列为物理设备分配的内存区域，第二列为对应的各种不同类型的物理设备。再例如：

$ sudo cat /proc/ioports

0000-0cf7 : PCI Bus 0000:00
  0000-001f : dma1
  0020-0021 : pic1
  0040-0043 : timer0
  0050-0053 : timer1
  0060-0060 : keyboard
  0064-0064 : keyboard
  0070-0077 : rtc0
  0080-008f : dma page reg
  00a0-00a1 : pic2
  00c0-00df : dma2
  00f0-00ff : fpu
    00f0-00f0 : PNP0C04:00
  03c0-03df : vga+
  03f8-03ff : serial
  04d0-04d1 : pnp 00:06
  0800-087f : pnp 00:01
  0a00-0a0f : pnp 00:04
  0a20-0a2f : pnp 00:04
  0a30-0a3f : pnp 00:04
...
...
...

#include <stdlib.h>
#include <stdio.h>

struct A {
        int a;
};

int main(int argc, char **argv) {
        struct A *a = malloc(sizeof(struct A));
        printf("a->a = %d\n", a->a);
        return 0;
}

在上面的程序中我们给结构体A分配了内存，然后我们尝试打印它的成员a。如果我们不使用其他选项来编译该程序：

gcc test.c -o test

~$   valgrind --leak-check=yes ./test
==28469== Memcheck, a memory error detector
==28469== Copyright (C) 2002-2015, and GNU GPL'd, by Julian Seward et al.
==28469== Using Valgrind-3.11.0 and LibVEX; rerun with -h for copyright info
==28469== Command: ./test
==28469== 
==28469== Conditional jump or move depends on uninitialised value(s)
==28469==    at 0x4E820EA: vfprintf (in /usr/lib64/libc-2.22.so)
==28469==    by 0x4E88D48: printf (in /usr/lib64/libc-2.22.so)
==28469==    by 0x4005B9: main (in /home/alex/test)
==28469== 
==28469== Use of uninitialised value of size 8
==28469==    at 0x4E7E0BB: _itoa_word (in /usr/lib64/libc-2.22.so)
==28469==    by 0x4E8262F: vfprintf (in /usr/lib64/libc-2.22.so)
==28469==    by 0x4E88D48: printf (in /usr/lib64/libc-2.22.so)
==28469==    by 0x4005B9: main (in /home/alex/test)
...
...
...

实际上 kmemcheck 在内核空间做的事情，和 valgrind 在用户空间做的事情是一样的，都是用来检测未初始化的内存。

要想在内核中启用该机制，需要在配置内核时开启 CONFIG_KMEMCHECK 选项：

Kernel hacking
  -> Memory Debugging

config X86
  ...
  ...
  ...
  select HAVE_ARCH_KMEMCHECK
  ...
  ...
  ...

因此，对于其他的体系结构来说是没有 kmemcheck 功能的。

现在我们知道了 kmemcheck 可以检测内核中未初始化内存的使用情况，也知道了如何开启这个功能。那么 kmemcheck 是怎么做检测的呢？当内核尝试分配内存时，例如如下一段代码：

struct my_struct *my_struct = kmalloc(sizeof(struct my_struct), GFP_KERNEL);

目前我们只是从理论层面考察了 kmemcheck，接下来我们看一下Linux内核是怎么来实现该机制的。

`kmemcheck` 机制在Linux内核中的实现

我们先分析该机制的初始化过程。我们已经知道要在内核中使能 kmemcheck 机制，需要开启内核的CONFIG_KMEMCHECK 配置项。除了这个选项，我们还需要给内核command line传递一个 kmemcheck 参数：

kmemcheck=0 (disabled)
kmemcheck=1 (enabled)
kmemcheck=2 (one-shot mode)

前面两个值得含义很明确，但是最后一个需要解释。这个选项会使 kmemcheck 进入一种特殊的模式：在第一次检测到未初始化内存的使用之后，就会关闭 kmemcheck 。实际上该模式是内核的默认选项：

static int __init param_kmemcheck(char *str)
{
	int val;
	int ret;

	if (!str)
		return -EINVAL;

	ret = kstrtoint(str, 0, &val);
	if (ret)
		return ret;
	kmemcheck_enabled = val;
	return 0;
}

early_param("kmemcheck", param_kmemcheck);

从前面的介绍我们知道 param_kmemcheck 可能存在三种情况：0 (使能), 1 (禁止) or 2 (一次性)。 param_kmemcheck 的实现很简单：将command line传递的 kmemcheck 参数的值由字符串转换为整数，然后赋值给变量 kmemcheck_enabled 。

int __init kmemcheck_init(void)
{
    ...
    ...
    ...
}

early_initcall(kmemcheck_init);

kmemcheck_init 的主要目的就是调用 kmemcheck_selftest 函数，并检查它的返回值：

if (!kmemcheck_selftest()) {
	printk(KERN_INFO "kmemcheck: self-tests failed; disabling\n");
	kmemcheck_enabled = 0;
	return -EINVAL;
}

printk(KERN_INFO "kmemcheck: Initialized\n");

如果如下代码被调用:

struct my_struct *my_struct = kmalloc(sizeof(struct my_struct), GFP_KERNEL);

if (kmemcheck_enabled && !(cachep->flags & SLAB_NOTRACK)) {
	kmemcheck_alloc_shadow(page, cachep->gfporder, flags, nodeid);

    if (cachep->ctor)
		kmemcheck_mark_uninitialized_pages(page, nr_pages);
	else
		kmemcheck_mark_unallocated_pages(page, nr_pages);
}

void kmemcheck_alloc_shadow(struct page *page, int order, gfp_t flags, int node)
{
    struct page *shadow;

   	shadow = alloc_pages_node(node, flags | __GFP_NOTRACK, order);

   	for(i = 0; i < pages; ++i)
		page[i].shadow = page_address(&shadow[i]);

   	kmemcheck_hide_pages(page, pages);
}

void kmemcheck_hide_pages(struct page *p, unsigned int n)
{
	unsigned int i;

	for (i = 0; i < n; ++i) {
		unsigned long address;
		pte_t *pte;
		unsigned int level;

		address = (unsigned long) page_address(&p[i]);
		pte = lookup_address(address, &level);
		BUG_ON(!pte);
		BUG_ON(level != PG_LEVEL_4K);

		set_pte(pte, __pte(pte_val(*pte) & ~_PAGE_PRESENT));
		set_pte(pte, __pte(pte_val(*pte) | _PAGE_HIDDEN));
		__flush_tlb_one(address);
	}
}

static noinline void
__do_page_fault(struct pt_regs *regs, unsigned long error_code,
		unsigned long address)
{
    ...
    ...
    ...
	if (kmemcheck_active(regs))
		kmemcheck_hide(regs);
    ...
    ...
    ...
}

bool kmemcheck_active(struct pt_regs *regs)
{
	struct kmemcheck_context *data = this_cpu_ptr(&kmemcheck_context);

	return data->balance > 0;
}

kmemcheck_context 结构体代表 kmemcheck 机制的当前状态。其内部保存了未初始化的地址，地址的数量等信息。其成员 balance 代表了 kmemcheck 的当前状态，换句话说，balance 表示 kmemcheck 是否已经隐藏了内存页。如果 data->balance 大于0， kmemcheck_hide 函数会被调用。这意味着 kmemecheck 已经设置了内存页的 present 标记，但是我们需要再次隐藏内存页以便触发下一次的缺页中断。 kmemcheck_hide 函数会清理内存页的 present 标记，这表示一次 kmemcheck 会话已经完成，新的缺页中断会再次被触发。在第一步，由于 data->balance 值为0，所以 kmemcheck_active 会返回false，所以 kmemcheck_hide 也不会被调用。接下来，我们看 do_page_fault 的下一行代码：

if (kmemcheck_fault(regs, address, error_code))
		return;

if (regs->flags & X86_VM_MASK)
		return false;
if (regs->cs != __KERNEL_CS)
		return false;

如果检测失败，表明这不是 kmemcheck 相关的缺页中断，kmemcheck_fault 会返回false。如果检测成功，接下来查找发生异常的地址的页表项，如果找不到页表项，函数返回false:

pte = kmemcheck_pte_lookup(address);
if (!pte)
	return false;

kmemcheck_fault 最后一步是调用 kmemcheck_access 函数，该函数检查对指定内存页的访问，并设置该内存页的present标记。 kmemcheck_access 函数做了大部分工作，它检查引起缺页异常的当前指令，如果检查到了错误，那么会把该错误的上下文保存到环形队列中：

static struct kmemcheck_error error_fifo[CONFIG_KMEMCHECK_QUEUE_SIZE];

static DECLARE_TASKLET(kmemcheck_tasklet, &do_wakeup, 0);

do_wakeup 函数调用 kmemcheck_error_recall 函数以便将 kmemcheck 检测到的错误信息输出。

kmemcheck_show(regs);

kmemcheck_fault 函数结束时会调用 kmemcheck_show 函数，该函数会再次设置内存页的present标记。

if (unlikely(data->balance != 0)) {
	kmemcheck_show_all();
	kmemcheck_error_save_bug(regs);
	data->balance = 0;
	return;
}

kmemcheck_show_all 函数会针对每个地址调用 kmemcheck_show_addr ：

static unsigned int kmemcheck_show_all(void)
{
	struct kmemcheck_context *data = this_cpu_ptr(&kmemcheck_context);
	unsigned int i;
	unsigned int n;

	n = 0;
	for (i = 0; i < data->n_addrs; ++i)
		n += kmemcheck_show_addr(data->addr[i]);

	return n;
}

kmemcheck_show_addr 函数内容如下:

int kmemcheck_show_addr(unsigned long address)
{
	pte_t *pte;

	pte = kmemcheck_pte_lookup(address);
	if (!pte)
		return 0;

	set_pte(pte, __pte(pte_val(*pte) | _PAGE_PRESENT));
	__flush_tlb_one(address);
	return 1;
}

if (!(regs->flags & X86_EFLAGS_TF))
	data->flags = regs->flags;

我们之所以这么处理，是因为我们在内存页的缺页中断处理完后需要再次隐藏内存页。当 TF 标记被设置后，处理器在执行被中断程序的第一条指令时会进入单步模式，这会触发 debug 异常。从这个地方开始，内存页会被隐藏起来，执行流程继续。由于内存页不可见，那么访问内存页的时候又会触发缺页中断，然后kmemcheck 就有机会继续检测/收集并显示内存错误信息。

到这里 kmemcheck 的工作机制就介绍完毕了。