每经编辑｜陈焕枝    

当地时间2025-11-02,,模特第一馒头穴

在浩瀚的Linux内核世界中，总有一些“小”漏洞，却(que)能掀起惊涛骇浪。DirtyCOW（CVE-2016-5195）无疑是其中的佼佼者。这个看似不起眼的文件写时复(fu)制（Copy-on-Write，COW）机制的缺陷，却在2016年引起了安全界的广泛关注，因为它允许低权限用户获得root权限，可谓是“麻雀虽小，五脏俱全”的典型。

今天，我们就来一次深入的“解剖”，从函数、操作到文件，一步步揭开DirtyCOW的面纱，并分享一些调试的心得。

揭开COW的(de)神秘面纱：它是如何工作的？

在(zai)深入DirtyCOW之前，我(wo)们必须先理解Linux内核中的写时复制（COW）机制。COW是一种优(you)化内存使用的技术。当一个进程需要复制一个内存区域（例如fork()系统调用时），内核并(bing)不会立即(ji)将数据复制到新的内存空间。相反，它会为新进程分配与原进程共享的物理内存页(ye)面。

只有当其(qi)中一个进程试图修改这个共(gong)享内存页面时(shi)，内核才会创建一个页面的副本，并将修改限制在副本上，原有的页面则不受影响。这种“懒加载”式的复制，极大地提高了内存利用率和进程创建的效率。

DirtyCOW的“脏”在哪里？

DirtyCOW漏洞的核心，就在于对COW机制的误用和竞态条件。简单(dan)来说，当一个(ge)进程修改一个写时复制的内存页面时，原本应该触发内核创建副本的操作，在特定时序下出现了偏差。如果攻击者能够在一(yi)个进程写(xie)入共享页面之前，抢先完成对该页面的修改，那么(me)修改就会直接应用到原(yuan)始(shi)页面上，而不是副本，从(cong)而绕过了COW的保护，实现了任意文件(jian)写入。

关键函数与流程：深入内核的旅程

要理解(jie)DirtyCOW的exploit，离不开对几个关键(jian)内(nei)核函数的深入分析。其中，__do_fault()函数是重中之重。这个函(han)数负责处理缺页异常（pagefault）。当CPU访问一个(ge)不存在于物理内存中的虚拟地址时，就会(hui)触(chu)发缺页异常，内核会调用__do_fault()来解决这个问题。

在DirtyCOW的场景下，攻击者会利用madvise(MADV_DONTNEED)和msync()等系统调用，配合文件映射（mmap）和写操作，试图(tu)在内核准备为写入操作创建页面(mian)副(fu)本(ben)的过程中，通过一系列的内存操作和文(wen)件描述符的切换，制造一个竞态条件。

具体的流程大致是这样的：

内(nei)存映射与写入准备:攻击者(zhe)首先通过mmap将一个目标文件映射到进程的(de)地址空间。然后，尝试对映射的内存区域进行写入(ru)。触发缺页异常:在写入过程中，如果对应的物(wu)理页面尚未(wei)被分(fen)配，或者由于其他原因触发了缺页异常，就会调用__do_fault()。

COW机制的(de)介入:__do_fault()会检查当前内存页面的权限和共享属性。如果是一个写时复制的页面，并且是可(ke)写操作，理论上应该触发页面复制。竞(jing)态窗口的出现:攻击者利用pagemap文件（/proc/self/pagemap）等工具，精确地控制内存页面的状态。

他(ta)们会在内核准备执行页面(mian)复制的(de)微妙时刻，通过对/proc/self/pagemap的写入操作，强行修改目标文件的底层物理页面。“脏”数据的诞生(sheng):一旦竞态条件成功，攻击者写入的数据就会直接覆盖目标文件的底层(ceng)页面，绕过了COW机制的隔离。

此时，原本只应修改副本的写(xie)操作，却“脏”染了共享的原始页面。

调试的艺术：拨开迷雾的利器

调试DirtyCOW这样的内核漏洞，绝对是一场与时间的赛跑，更(geng)是对耐心和细致的终极考验。GDB+QEMU组合是内核调试的黄金搭档。通过QEMU模拟目标Linux环境，并在(zai)GDB中连接到QEMU的内核进程，我们可以像调试(shi)用户态程序一样，在内核代码中设置断点、单步执行、查看寄存器和内存。

在调试DirtyCOW时，我们往往需要关(guan)注以下几个关键点：

__do_fault()的执行路径:在__do_fault()函数中，仔细跟踪页面的flags、vma（virtualmemoryarea）的属性，以及pte（pagetableentry）的变化，是理(li)解漏洞发生机(ji)制的关键。

内(nei)存页面的引用计数:关注页面引用(yong)计数（refcount）的变化，可以(yi)帮助我们理解在竞态条件下，页面是被(bei)错误地共享还是被不当释放。mmap和msync的行为:观察这两个系统调用(yong)在不同场景下的参数和返回值，以(yi)及它(ta)们对内存映射区域和(he)文件状态的影响。

pagemap文件的交互:理(li)解/proc/self/pagemap如何反映物理(li)内存页面的状态，以及如何利用它来观察或干预页面的复制过程。

调试过程中，我们(men)可能会(hui)遇到各种挑战，例如：

巨量的日志:内核日志信息庞杂，需要有针对性地过滤和分(fen)析。精确的时序控制:竞态条件往往发生在一瞬间，想要稳定复现需要反复尝试和精(jing)细调整。内核版本(ben)的差异:不同版本的内核，__do_fault()的实现细节可能有所不(bu)同，需要针对具体版(ban)本进行分析。

每一次成功的断点命中，每一次对变量的精准追踪，都如同在黑暗中点(dian)亮一盏灯，让(rang)我们离真(zhen)相更近一步。通过不断的尝试和迭代，我们才能逐渐构建起对DirtyCOW漏洞的全面认识。

在第一部分，我们初步(bu)了解了DirtyCOW漏洞的背(bei)景，它与Linux内核的写时复制（COW）机制息息相关，并且深入(ru)探讨了(le)关键的内核函数，特别(bie)是__do_fault()在漏洞触发过程中的(de)作用(yong)。我们也简(jian)要介绍了使用GDB+QEMU进行内核调试的(de)思路。

现在，我们将继续深入，聚焦于(yu)具体的函数操(cao)作、文件交互以及更精细(xi)的调试技巧，力求为读者呈现(xian)一个更立体、更具操作性的DirtyCOW学(xue)习图(tu)景。

精细函数(shu)操作：深入page_mkwrite与do_wp_page

除了__do_fault()，在DirtyCOW的exploit中，还有几个函数扮演着至关重要的角色(se)。当(dang)__do_fault()确定需要进(jin)行写操作，并且需要创建一个页面的副本时，它会调用handle_mm_fault()，而handle_mm_fault()最终会导(dao)向page_mkwrite()。

page_mkwrite()的主要职(zhi)责是确保页(ye)面是可写的，并且如果需要，会尝试分配新的页面。

在page_mkwrite()中，会涉及到do_wp_page()函数。do_wp_page()是COW机制中处理写保护页面的核心函数。当(dang)一个进(jin)程试图写入一个被标记为写保护的页面时，do_wp_page()会被调用。它(ta)的任务是：

检查页面是否是共享(xiang)的:如果页面(mian)是共(gong)享的，那么就需要进行复制。分配新页面:分配一个新的物理(li)页面。复(fu)制页面内容:将原页面内容复制到新页面。更新页(ye)表:修改页表，将进程的(de)虚拟地(di)址指向新分配的(de)页面，并设置相应的权限。释放原页面(如果不再被共享):如果原页面不再(zai)被(bei)其(qi)他进程共享，则将(jiang)其(qi)释放。

DirtyCOW漏洞的精妙之处在于，它利用了page_mkwrite()和do_wp_page()在处理写操作时的竞态。攻击者通(tong)过快速地重复执(zhi)行写操(cao)作，并结合其他内存操作（例如madvise(MADV_FREE)），试图(tu)让内核在准备复制页面时，出(chu)现一个短暂的窗口。

在这个窗口(kou)内，如果攻击者能够通过某种方式（通常是利用pagemap文(wen)件）直接修改底层物理页(ye)面的数据，那么这个“脏”数据就可(ke)能被错(cuo)误地(di)应用到原始页面上，而不是新复(fu)制的副本。

文件操作的艺术：pagemap的双刃剑(jian)

在DirtyCOW的exploit中，/proc/self/pagemap文件扮演着一个非常(chang)特(te)殊的角色。它允许(xu)用户空间程序直接读取和修改内核内存(cun)页面的物理地址信息(xi)。通(tong)过pagemap，攻击者可以：

判断(duan)页面状态:检查一个虚拟地(di)址(zhi)对应的物理页面是否(fou)存在，是否已经(jing)被分配，以及它的(de)属性。获取物理地址:找到目标文件的特(te)定内存页面在物理内存中的地址。直接修改页面:在竞态窗口中，通过向pagemap写入特定数据，直接修改物理页面的内容。

这就像给攻击(ji)者打开了一(yi)扇“后门”，绕过了正(zheng)常的内存访问和修改流程。攻击者利用pagemap的强大能力，可以在内核尚未完成COW复制和写保护处理之前，将恶意数据“塞”入目标文件的底层页面。

pagemap的使用也并非易事。它要求对内存管理和物(wu)理地址有深入的理解。更重要的是，通过pagemap直接修改内存极其危险，稍有不慎就可能导致系统崩溃(kui)或数(shu)据损坏。这充分体现了DirtyCOW漏洞的“力量”与“危险”并存的特点。

调试的进阶：断点、日志与反汇编的交响曲

随着对漏洞机制理解的深(shen)入，我们的调试策略也(ye)需要随之(zhi)升级。

条件(jian)断点:针对__do_fault()、page_mkwrite()或do_wp_page()，设置条件断点。例如(ru)，只在特定虚拟地址范围(wei)或特定标志位满(man)足时才触发断(duan)点。这(zhe)可(ke)以极大地减(jian)少不必要的断点命中，将我们的注意力集中在关键时刻。日志记录:在关键函数入口和出口处，添加临时的printk语句，记录重要的变量值，如pte、vma、flags等。

虽然这需要重新编(bian)译内核，但却是理解函数内部逻辑最直接有效的(de)方法。反汇编视图:当我们不确定某个C代码片段在汇编(bian)层面是如何实现的(de)，或者怀(huai)疑编译器优(you)化导(dao)致了意想不到(dao)的(de)行为时，GDB的反汇编视图(tu)（disassemble）就(jiu)成了我们的利器。通过对照汇编指令(ling)，我们可以更准确地理解CPU的执行流程。

内存视图:使用GDB的x命令（examine）来查看内存区域的内容。这对于理解文件内容、内存结构以及漏洞(dong)触发时(shi)的(de)内(nei)存状态至关(guan)重要。追踪特定文件描述符:在调试过程中，需要追踪与pagemap文件交(jiao)互的文件描述符，以及与目标文件映射相关的structfile和structvm_area_struct，以便更清晰地把握数据流向。

实战中的考量：理解上下文，把握时序

DirtyCOW漏(lou)洞的成功与否，很大程度上取决于对执行时序的精确控制。这意味着：

理解多线程/多进程的影响:在多任务环境下，其他(ta)进程或线程的操作可能会干扰到漏洞的利用。理解进程调度的(de)行为，以及内核同步机制，对于编写稳定exploit至关重要。内核(he)版本适应性:如前所述，不同版本的内核(he)，COW的实现细节可能存在差异。

exploit需要针对特定内核版本进行适配和(he)测试。硬件架构的影响:虽然COW机制在逻辑上是通用的，但(dan)在底层实现上，不同的CPU架构（如x86、ARM）可能存在细微差别，尤其是(shi)在内存管理单元（MMU）和页表处理方面。

总结与展望

DirtyCOW漏洞的学习，不仅仅(jin)是对一个CVE的研(yan)究，更是(shi)一次深入Linux内核的探险。从COW机制的原理，到关键函数__do_fault()、page_mkwrite()、do_wp_page()的工作流程，再到pagemap文件(jian)这一“双刃剑”般的存在，每一步都充满了挑战与乐趣。

通过结合GDB+QEMU的调试技巧，我们得以在微观层面观察内核的行为，理解漏洞触发的微妙时机。每一(yi)次成功的调试，都是(shi)一次知识的积累，一次对(dui)系统底层运行机制的更深层次的认知。

DirtyCOW已(yi)经成为历史，但它(ta)留给我们的思考却是永恒的。它警示着我们，即使是看似成熟的系统(tong)，也可能隐藏着深刻的缺陷；它也激励着我们，不断地去探索、去理解、去(qu)学习，因为在技术的深处，总有未知的风景等待着我们去发现。希望这份学习与调试记录，能够为您在Linux内核安全研究的道路上，点亮一盏明灯。

2025-11-02,向日葵视频罗志祥总结tiktok总结,悟喜生活拟折让约19.12%配股 最高净筹约1350万港元

1.gamkabu触摸游戏30最新版本更新内容,艾森股份：8月份公司未回购股份原神申鹤狂飙游戏,原创 瑞银：谁来接“空出来”的理事，他就是下一任美联储主席？

图片来源：每经记者 陈绮明 摄

2.男的女的一起轮滑+白嫩美女被各种姿势,在充斥着 “氛围编码” 初创公司的世界里，Uno Platform瞄准了企业开发者

3.原神同人免费网站+wwwaqdprocom91视频,新疆交建：公司网站正处于系统维护阶段

亚洲精品永久1区二区+jk学姐,环球印务：自新董事长上任以来，金年会持续强化治理体系建设与规范运作水平

小樱同意让博人吃饺子,温馨互动暖人心,美食传递温情时刻

封面图片来源：图片来源：每经记者 名称 摄