copy_from_user函數的目的是從用戶空間拷貝數據到內核空間,失敗返回沒有被拷貝的字節數,成功返回0.這麼簡單的一個函數卻含蓋了許多關於內核方面的知識,比如內核關於異常出錯的處理.從用戶空間拷貝數據到內核中時必須非常小心,如果用戶空間的數據地址是個非法的地址,或是超出用戶空間的範圍,或是那些地址還沒有被映射到,都可能對內核產生很大的影響,如oops,或者被造成系統安全的影響.所以copy_from_user函數的功能就不只是從用戶空間拷貝數據那樣簡單了,它還要做一些指針檢查以及處理這些問題的方法.
下面我們來仔細分析下這個函數.函數原型在[arch/i386/lib/usercopy.c]中
unsigned long
copy_from_user(void *to, const void __user *from, unsigned long n)
{
might_sleep();
if (access_ok(VERIFY_READ, from, n))
n = __copy_from_user(to, from, n);
else
memset(to, 0, n);
return n;
}
copy_from_user(void *to, const void __user *from, unsigned long n)
{
might_sleep();
if (access_ok(VERIFY_READ, from, n))
n = __copy_from_user(to, from, n);
else
memset(to, 0, n);
return n;
}
首先這個函數是可以睡眠的,它調用might_sleep()來處理,它在include/linux/kernel.h中定義,本質也就是調用schedule(),轉到其他進程.接下來就要驗證用戶空間地址的有效性.它在
/include/asm-i386/uaccess.h中定義.
#define access_ok(type,addr,size) (likely(__range_ok(addr,size) == 0)),進一步調用__rang_ok函數來處理,它所做的測試很簡單,就是比較addr+size這個地址的大小是否超出了用戶進程空間的大小,也就是0xbfffffff.可能有讀者會問,只做地址範圍檢查,怎麼不做指針合法性的檢查呢,如果出現前面提到過的問題怎麼辦?這個會在下面的函數中處理,我們慢慢看.在做完地址範圍檢查後,如果成功則調用__copy_from_user函數開始拷貝數據了,如果失敗的話,就把從to指針指向的內核空間地址到to+size範圍填充爲0.
/include/asm-i386/uaccess.h中定義.
#define access_ok(type,addr,size) (likely(__range_ok(addr,size) == 0)),進一步調用__rang_ok函數來處理,它所做的測試很簡單,就是比較addr+size這個地址的大小是否超出了用戶進程空間的大小,也就是0xbfffffff.可能有讀者會問,只做地址範圍檢查,怎麼不做指針合法性的檢查呢,如果出現前面提到過的問題怎麼辦?這個會在下面的函數中處理,我們慢慢看.在做完地址範圍檢查後,如果成功則調用__copy_from_user函數開始拷貝數據了,如果失敗的話,就把從to指針指向的內核空間地址到to+size範圍填充爲0.
__copy_from_user也在uaceess.h中定義,
static inline unsigned long
__copy_from_user(void *to, const void __user *from, unsigned long n)
{
might_sleep();
return __copy_from_user_inatomic(to, from, n);
}
這裏繼續調用__copy_from_user_inatomic.
static inline unsigned long
__copy_from_user_inatomic(void *to, const void __user *from, unsigned long n)
{
if (__builtin_constant_p(n)) {
unsigned long ret;
switch (n) {
case 1:
__get_user_size(*(u8 *)to, from, 1, ret, 1);
return ret;
case 2:
__get_user_size(*(u16 *)to, from, 2, ret, 2);
return ret;
case 4:
__get_user_size(*(u32 *)to, from, 4, ret, 4);
return ret;
}
}
return __copy_from_user_ll(to, from, n);
}
case 1:
__get_user_size(*(u8 *)to, from, 1, ret, 1);
return ret;
case 2:
__get_user_size(*(u16 *)to, from, 2, ret, 2);
return ret;
case 4:
__get_user_size(*(u32 *)to, from, 4, ret, 4);
return ret;
}
}
return __copy_from_user_ll(to, from, n);
}
這裏先判斷要拷貝的字節大小,如果是8,16,32大小的話,則調用__get_user_size來拷貝數據.這樣做是一種程序設計上的優化了。
#define __get_user_size(x,ptr,size,retval,errret) \
do { \
retval = 0; \
__chk_user_ptr(ptr); \
switch (size) { \
case 1: __get_user_asm(x,ptr,retval,"b","b","=q",errret);break; \
case 2: __get_user_asm(x,ptr,retval,"w","w","=r",errret);break; \
case 4: __get_user_asm(x,ptr,retval,"l","","=r",errret);break; \
default: (x) = __get_user_bad(); \
} \
} while (0)
#define __get_user_asm(x, addr, err, itype, rtype, ltype, errret) \
__asm__ __volatile__( \
"1: mov"itype" %2,%"rtype"1\n" \
"2:\n" \
".section .fixup,\"ax\"\n" \
"3: movl %3,%0\n" \
" xor"itype" %"rtype"1,%"rtype"1\n" \
" jmp 2b\n" \
".previous\n" \
".section __ex_table,\"a\"\n" \
" .align 4\n" \
" .long 1b,3b\n" \
".previous" \
: "=r"(err), ltype (x) \
: "m"(__m(addr)), "i"(errret), "0"(err))
實際上在完成一些宏的轉換後,也就是利用movb,movw,movl指令傳輸數據了,對於
內嵌彙編中的.section .fixup, .section __ex_table,我們呆會要仔細講。
如果不是那些特殊大小時,則調用__copy_from_user_ll處理。
__asm__ __volatile__( \
"1: mov"itype" %2,%"rtype"1\n" \
"2:\n" \
".section .fixup,\"ax\"\n" \
"3: movl %3,%0\n" \
" xor"itype" %"rtype"1,%"rtype"1\n" \
" jmp 2b\n" \
".previous\n" \
".section __ex_table,\"a\"\n" \
" .align 4\n" \
" .long 1b,3b\n" \
".previous" \
: "=r"(err), ltype (x) \
: "m"(__m(addr)), "i"(errret), "0"(err))
實際上在完成一些宏的轉換後,也就是利用movb,movw,movl指令傳輸數據了,對於
內嵌彙編中的.section .fixup, .section __ex_table,我們呆會要仔細講。
如果不是那些特殊大小時,則調用__copy_from_user_ll處理。
unsigned long
__copy_from_user_ll(void *to, const void __user *from, unsigned long n)
{
if (movsl_is_ok(to, from, n))
__copy_user_zeroing(to, from, n);
else
n = __copy_user_zeroing_intel(to, from, n);
return n;
}
__copy_from_user_ll(void *to, const void __user *from, unsigned long n)
{
if (movsl_is_ok(to, from, n))
__copy_user_zeroing(to, from, n);
else
n = __copy_user_zeroing_intel(to, from, n);
return n;
}
直接調用__copy_user_zeroing開始真正的拷貝數據了,繞了那麼多彎,總算快看到出路了。copy_from_user函數的精華部分也就都在這了。
#define __copy_user_zeroing(to,from,size) \
do { \
int __d0, __d1, __d2; \
__asm__ __volatile__( \
" cmp $7,%0\n" \
" jbe 1f\n" \
" movl %1,%0\n" \
" negl %0\n" \
" andl $7,%0\n" \
" subl %0,%3\n" \
"4: rep; movsb\n" \
" movl %3,%0\n" \
" shrl $2,%0\n" \
" andl $3,%3\n" \
" .align 2,0x90\n" \
"0: rep; movsl\n" \
" movl %3,%0\n" \
"1: rep; movsb\n" \
"2:\n" \
".section .fixup,\"ax\"\n" \
"5: addl %3,%0\n" \
" jmp 6f\n" \
"3: lea 0(%3,%0,4),%0\n" \
"6: pushl %0\n" \
" pushl %%eax\n" \
" xorl %%eax,%%eax\n" \
" rep; stosb\n" \
" popl %%eax\n" \
" popl %0\n" \
" jmp 2b\n" \
".previous\n" \
".section __ex_table,\"a\"\n" \
" .align 4\n" \
" .long 4b,5b\n" \
" .long 0b,3b\n" \
" .long 1b,6b\n" \
".previous" \
: "=&c"(size), "=&D" (__d0), "=&S" (__d1), "=r"(__d2) \
: "3"(size), "0"(size), "1"(to), "2"(from) \
: "memory"); \
} while (0)
do { \
int __d0, __d1, __d2; \
__asm__ __volatile__( \
" cmp $7,%0\n" \
" jbe 1f\n" \
" movl %1,%0\n" \
" negl %0\n" \
" andl $7,%0\n" \
" subl %0,%3\n" \
"4: rep; movsb\n" \
" movl %3,%0\n" \
" shrl $2,%0\n" \
" andl $3,%3\n" \
" .align 2,0x90\n" \
"0: rep; movsl\n" \
" movl %3,%0\n" \
"1: rep; movsb\n" \
"2:\n" \
".section .fixup,\"ax\"\n" \
"5: addl %3,%0\n" \
" jmp 6f\n" \
"3: lea 0(%3,%0,4),%0\n" \
"6: pushl %0\n" \
" pushl %%eax\n" \
" xorl %%eax,%%eax\n" \
" rep; stosb\n" \
" popl %%eax\n" \
" popl %0\n" \
" jmp 2b\n" \
".previous\n" \
".section __ex_table,\"a\"\n" \
" .align 4\n" \
" .long 4b,5b\n" \
" .long 0b,3b\n" \
" .long 1b,6b\n" \
".previous" \
: "=&c"(size), "=&D" (__d0), "=&S" (__d1), "=r"(__d2) \
: "3"(size), "0"(size), "1"(to), "2"(from) \
: "memory"); \
} while (0)
這個函數的前一部分比較簡單,也就是拷貝數據.關於後一部分就會涉及到我們前面提到過的那些情況了,如果用戶空間的地址沒被映射怎麼辦呢?在一些老的內核版本中是用verify_area()來驗證地址地址合法性的,比如在早期的linux 0.11內核.
[linux0.11/kenrel/fork.c]
// 進程空間寫前驗證函數。在現代CPU中,其控制寄存器CR0有個寫保護標誌位(wp:16),內核可以通過設置
// 該位來禁止特權級0的代碼向用戶空間只讀頁面執行寫數據,否則將導致寫保護異常。
// addr爲內存物理地址
void verify_area(void * addr,int size)
{
unsigned long start;
// 進程空間寫前驗證函數。在現代CPU中,其控制寄存器CR0有個寫保護標誌位(wp:16),內核可以通過設置
// 該位來禁止特權級0的代碼向用戶空間只讀頁面執行寫數據,否則將導致寫保護異常。
// addr爲內存物理地址
void verify_area(void * addr,int size)
{
unsigned long start;
start = (unsigned long) addr;
size += start & 0xfff; // start & 0xfff爲起始地址addr在頁面中的偏移,2^12=4096
start &= 0xfffff000; // start爲頁開始地址,即頁面邊界值。此時start爲當前進程空間中的邏輯地址start += get_base(current->ldt[2]); // get_base(current->ldt[2])爲進程數據段在線性地址空間中的開始地址,在加上start,變爲系統這個線性空間中的地址
size += start & 0xfff; // start & 0xfff爲起始地址addr在頁面中的偏移,2^12=4096
start &= 0xfffff000; // start爲頁開始地址,即頁面邊界值。此時start爲當前進程空間中的邏輯地址start += get_base(current->ldt[2]); // get_base(current->ldt[2])爲進程數據段在線性地址空間中的開始地址,在加上start,變爲系統這個線性空間中的地址
頁邊界 addr ----size----- 頁邊界
+--------------------------------------------------------+
| ... | start&0xfff | | | ... |
+--------------------------------------------------------+
| start |
start-----------size-------------
+--------------------------------------------------------+
| ... | start&0xfff | | | ... |
+--------------------------------------------------------+
| start |
start-----------size-------------
while (size>0) {
size -= 4096;
write_verify(start); // 以頁爲單位,進行寫保護驗證,如果頁爲只讀,則將其變爲可寫
start += 4096;
}
}
size -= 4096;
write_verify(start); // 以頁爲單位,進行寫保護驗證,如果頁爲只讀,則將其變爲可寫
start += 4096;
}
}
[linux0.11/mm/memory.c]
// 驗證線性地址是否可寫
void write_verify(unsigned long address)
{
unsigned long page;
// 驗證線性地址是否可寫
void write_verify(unsigned long address)
{
unsigned long page;
// 如果對應頁表爲空的話,直接返回
if (!( (page = *((unsigned long *) ((address>>20) & 0xffc)) )&1))
return;
page &= 0xfffff000;
page += ((address>>10) & 0xffc);
// 經過運算後page爲頁表項的內容,指向實際的一頁物理地址
if ((3 & *(unsigned long *) page) == 1) // 驗證頁面是否可寫,不可寫則執行un_wp_page,取消寫保護.
un_wp_page((unsigned long *) page);
return;
}
if (!( (page = *((unsigned long *) ((address>>20) & 0xffc)) )&1))
return;
page &= 0xfffff000;
page += ((address>>10) & 0xffc);
// 經過運算後page爲頁表項的內容,指向實際的一頁物理地址
if ((3 & *(unsigned long *) page) == 1) // 驗證頁面是否可寫,不可寫則執行un_wp_page,取消寫保護.
un_wp_page((unsigned long *) page);
return;
}
但是如果每次在用戶空間複製數據時,都要做這種檢查是很浪費時間的,畢竟壞指針是很少存在的,在新內核中的做法是,在從用戶空間複製數據時,取消驗證指針合法性的檢查,只多地址範圍的檢查,就象access_ok()所做的那樣,一但碰上了壞指針,就要頁異常出錯處理程序去處理它了.我們去看看do_page_fault函數.
[arch/asm-i386/mm/fault.c/do_page_falut()]
fastcall void do_page_fault(struct pt_regs *regs, unsigned long error_code)
{
...
...
if (!down_read_trylock(&mm->mmap_sem)) {
if ((error_code & 4) == 0 &&
!search_exception_tables(regs->eip))
goto bad_area_nosemaphore;
down_read(&mm->mmap_sem);
}
...
...
bad_area_nosemaphore:
...
fastcall void do_page_fault(struct pt_regs *regs, unsigned long error_code)
{
...
...
if (!down_read_trylock(&mm->mmap_sem)) {
if ((error_code & 4) == 0 &&
!search_exception_tables(regs->eip))
goto bad_area_nosemaphore;
down_read(&mm->mmap_sem);
}
...
...
bad_area_nosemaphore:
...
no_context:
if (fixup_exception(regs))
return;
...
...
}
return;
...
...
}
error_code保存的是出錯碼,(error_code & 4) == 0代表產生異常的原因是在內核中.它調用fixup_exception(regs)來處理這個問題.既然出錯了,那麼如何來修復它呢?先看下fixup_exception()函數的實現:
[arch/asm-i386/mm/extable.c]
int fixup_exception(struct pt_regs *regs)
{
const struct exception_table_entry *fixup;
...
fixup = search_exception_tables(regs->eip);
if (fixup) {
regs->eip = fixup->fixup;
return 1;
}
...
}
int fixup_exception(struct pt_regs *regs)
{
const struct exception_table_entry *fixup;
...
fixup = search_exception_tables(regs->eip);
if (fixup) {
regs->eip = fixup->fixup;
return 1;
}
...
}
[kernel/extable.c]
const struct exception_table_entry *search_exception_tables(unsigned long addr)
{
const struct exception_table_entry *e;
const struct exception_table_entry *search_exception_tables(unsigned long addr)
{
const struct exception_table_entry *e;
e = search_extable(__start___ex_table, __stop___ex_table-1, addr);
if (!e)
e = search_module_extables(addr);
return e;
}
if (!e)
e = search_module_extables(addr);
return e;
}
[/lib/extable.c]
const struct exception_table_entry *
search_extable(const struct exception_table_entry *first,
const struct exception_table_entry *last,
unsigned long value)
{
while (first <= last) {
const struct exception_table_entry *mid;
const struct exception_table_entry *
search_extable(const struct exception_table_entry *first,
const struct exception_table_entry *last,
unsigned long value)
{
while (first <= last) {
const struct exception_table_entry *mid;
mid = (last - first) / 2 + first;
if (mid->insn < value)
first = mid + 1;
else if (mid->insn > value)
last = mid - 1;
else
return mid;
}
return NULL;
}
first = mid + 1;
else if (mid->insn > value)
last = mid - 1;
else
return mid;
}
return NULL;
}
在內核中有個異常出錯地址表,在地址表中有個出錯地址的修復地址也氣對應,它結構如下:
[/include/asm-i386/uaccess.h]
struct exception_table_entry
{
unsigned long insn, fixup;
};
insn是產生異常指令的地址,fixup用來修復出錯地址的地址,也就是當異常發生後,用它的地址來替換異常指令發生的地址。__copy_user_zeroing中的.section __ex_table代表異常出錯地址表的地址,.section .fixup代表修復的地址。他們都是elf文件格式中的2個特殊節。
".section __ex_table,\"a\"\n" \
" .align 4\n" \
" .long 4b,5b\n" \
" .long 0b,3b\n" \
" .long 1b,6b\n"
4b,5b的意思是當出錯地址在4b標號對應的地址上時,就轉入5b標號對應的地址去接着運行,也就是修復的地址。依次類推。所以理解這一點後,fixup_exception()函數就很容易看明白了就是根據出錯地址搜索異常地址表,找到對應的修復地址,跳轉到那裏去執行就ok了。
ok,到這裏copy_from_user函數也就分析完了,如果有什麼不明白的話,可以通過閱讀/usr/src/linux/Documentation/exception.txt來得到更多關於異常處理方面的知識。
[轉自:http://blog.chinaunix.net/uid-20469034-id-1943565.html]