每经编辑｜陈毅元帅    

当地时间2025-10-30,于是我就叔叔拯救动漫

在浩瀚的Linux内核世界中，总有一些“小”漏洞，却能掀起惊涛骇浪。DirtyCOW（CVE-2016-5195）无疑是其中的佼佼者。這个看似不起眼的文件写时复制（Copy-on-Write，COW）機制的缺陷，却在2016年引起了安全界的广泛关注，因為它允许低权限用户获得root权限，可谓是“麻雀虽小，五脏俱全”的典型。

今天，我们就来一次深入的“解剖”，从函数、操作到文件，一步步揭開DirtyCOW的面纱，并分享一些调试的心得。

揭开COW的神秘面纱：它是如何工作的？

在深入DirtyCOW之前，我们必须先理解Linux内核中的写时复制（COW）机制。COW是一种优化内存使用的技术。当一个进程需要复制一个内存區域（例如fork()系统调用时），内核并不会立即将数据复制到新的内存空间。相反，它会为新进程分配与原进程共享的物理内存页面。

只有当其中一个进程试图修改这个共享内存页面時，内核才会创建一个页面的副本，并将修改限制在副本上，原有的页面则不受影响。这种“懒加载”式的復制，极大地提高了内存利用率和进程创建的效率。

DirtyCOW的“脏”在哪里？

DirtyCOW漏洞的核心，就在于对COW机制的误用和竞态条件。简单来说，当一个進程修改一个写时復制的内存页面時，原本应该触發内核创建副本的操作，在特定时序下出现了偏差。如果攻击者能够在一个进程写入共享页面之前，抢先完成对该页面的修改，那么修改就会直接应用到原始页面上，而不是副本，从而绕过了COW的保护，实现了任意文件写入。

关键函数与流程：深入内核的旅程

要理解DirtyCOW的exploit，离不开对几个关键内核函数的深入分析。其中，__do_fault()函数是重中之重。这个函数负責处理缺页异常（pagefault）。当CPU访问一个不存在于物理内存中的虚拟地址時，就会触發缺页异常，内核會调用__do_fault()来解决这个问题。

在DirtyCOW的场景下，攻击者會利用madvise(MADV_DONTNEED)和msync()等系统调用，配合文件映射（mmap）和写操作，试图在内核准备为写入操作创建页面副本的过程中，通过一系列的内存操作和文件描述符的切换，制造一个竞态条件。

具體的流程大致是这样的：

内存映射与写入准备:攻击者首先通过mmap将一个目标文件映射到进程的地址空间。然后，尝试对映射的内存区域進行写入。触发缺页异常:在写入过程中，如果对应的物理页面尚未被分配，或者由于其他原因触发了缺页异常，就会调用__do_fault()。

COW机制的介入:__do_fault()會检查当前内存页面的权限和共享属性。如果是一个写時復制的页面，并且是可写操作，理论上应该触发页面復制。竞态窗口的出现:攻击者利用pagemap文件（/proc/self/pagemap）等工具，精确地控制内存页面的状态。

他们会在内核准备执行页面复制的微妙时刻，通过对/proc/self/pagemap的写入操作，强行修改目标文件的底层物理页面。“脏”数据的诞生:一旦竞态条件成功，攻击者写入的数据就會直接覆盖目标文件的底层页面，绕过了COW机制的隔离。

此時，原本只应修改副本的写操作，却“脏”染了共享的原始页面。

调试的艺術：拨开迷雾的利器

调试DirtyCOW这样的内核漏洞，绝对是一场与时间的赛跑，更是对耐心和细致的终极考验。GDB+QEMU组合是内核调试的黄金搭档。通过QEMU模拟目标Linux环境，并在GDB中连接到QEMU的内核進程，我们可以像调试用户态程序一样，在内核代码中设置断点、单步执行、查看寄存器和内存。

在调试DirtyCOW時，我们往往需要关注以下几个关键点：

__do_fault()的执行路径:在__do_fault()函数中，仔细跟踪页面的flags、vma（virtualmemoryarea）的属性，以及pte（pagetableentry）的变化，是理解漏洞发生機制的关键。

内存页面的引用计数:关注页面引用计数（refcount）的变化，可以帮助我们理解在竞态条件下，页面是被错误地共享还是被不当释放。mmap和msync的行为:观察這两个系统调用在不同场景下的参数和返回值，以及它们对内存映射区域和文件状态的影响。

pagemap文件的交互:理解/proc/self/pagemap如何反映物理内存页面的状态，以及如何利用它来观察或干预页面的复制过程。

调试过程中，我们可能会遇到各种挑战，例如：

巨量的日志:内核日志信息庞杂，需要有针对性地过滤和分析。精确的时序控制:竞态条件往往發生在一瞬间，想要稳定复现需要反復尝试和精细调整。内核版本的差异:不同版本的内核，__do_fault()的实现细节可能有所不同，需要针对具体版本进行分析。

每一次成功的断点命中，每一次对变量的精准追踪，都如同在黑暗中点亮一盏灯，讓我们离真相更近一步。通过不断的尝试和迭代，我们才能逐渐构建起对DirtyCOW漏洞的全面认识。

在第一部分，我们初步了解了DirtyCOW漏洞的背景，它与Linux内核的写時复制（COW）机制息息相关，并且深入探讨了关键的内核函数，特别是__do_fault()在漏洞触發过程中的作用。我们也简要介绍了使用GDB+QEMU进行内核调试的思路。

现在，我们将继续深入，聚焦于具体的函数操作、文件交互以及更精细的调试技巧，力求为读者呈现一个更立体、更具操作性的DirtyCOW学習图景。

精细函数操作：深入page_mkwrite与do_wp_page

除了__do_fault()，在DirtyCOW的exploit中，还有几个函数扮演着至关重要的角色。当__do_fault()确定需要进行写操作，并且需要创建一个页面的副本時，它会调用handle_mm_fault()，而handle_mm_fault()最终会导向page_mkwrite()。

page_mkwrite()的主要职责是确保页面是可写的，并且如果需要，会尝试分配新的页面。

在page_mkwrite()中，会涉及到do_wp_page()函数。do_wp_page()是COW機制中处理写保护页面的核心函数。当一个進程试图写入一个被标记為写保护的页面时，do_wp_page()会被调用。它的任务是：

检查页面是否是共享的:如果页面是共享的，那么就需要进行復制。分配新页面:分配一个新的物理页面。复制页面内容:将原页面内容復制到新页面。更新页表:修改页表，将进程的虚拟地址指向新分配的页面，并设置相应的權限。释放原页面(如果不再被共享):如果原页面不再被其他進程共享，则将其释放。

DirtyCOW漏洞的精妙之处在于，它利用了page_mkwrite()和do_wp_page()在处理写操作時的竞态。攻击者通过快速地重复执行写操作，并结合其他内存操作（例如madvise(MADV_FREE)），试图让内核在准备復制页面时，出现一个短暂的窗口。

在这个窗口内，如果攻击者能够通过某种方式（通常是利用pagemap文件）直接修改底层物理页面的数据，那么这个“脏”数据就可能被错误地应用到原始页面上，而不是新复制的副本。

文件操作的艺术：pagemap的双刃剑

在DirtyCOW的exploit中，/proc/self/pagemap文件扮演着一个非常特殊的角色。它允许用户空间程序直接读取和修改内核内存页面的物理地址信息。通过pagemap，攻击者可以：

判断页面状态:检查一个虚拟地址对应的物理页面是否存在，是否已经被分配，以及它的属性。获取物理地址:找到目标文件的特定内存页面在物理内存中的地址。直接修改页面:在竞态窗口中，通过向pagemap写入特定数据，直接修改物理页面的内容。

這就像给攻击者打开了一扇“后门”，绕过了正常的内存访问和修改流程。攻击者利用pagemap的强大能力，可以在内核尚未完成COW復制和写保护处理之前，将恶意数据“塞”入目标文件的底层页面。

pagemap的使用也并非易事。它要求对内存管理和物理地址有深入的理解。更重要的是，通过pagemap直接修改内存极其危险，稍有不慎就可能导致系统崩溃或数据损坏。這充分體现了DirtyCOW漏洞的“力量”与“危险”并存的特点。

调试的进阶：断点、日志与反汇编的交响曲

随着对漏洞機制理解的深入，我们的调试策略也需要随之升级。

条件断点:针对__do_fault()、page_mkwrite()或do_wp_page()，设置条件断点。例如，只在特定虚拟地址范围或特定标志位满足時才触發断点。这可以极大地减少不必要的断点命中，将我们的注意力集中在关键时刻。日志记录:在关键函数入口和出口处，添加临时的printk语句，记录重要的变量值，如pte、vma、flags等。

虽然这需要重新编译内核，但却是理解函数内部逻辑最直接有效的方法。反汇编视图:当我们不确定某个C代码片段在汇编层面是如何实现的，或者怀疑编译器优化导致了意想不到的行為時，GDB的反汇编视图（disassemble）就成了我们的利器。通过对照汇编指令，我们可以更准确地理解CPU的执行流程。

内存视图:使用GDB的x命令（examine）来查看内存區域的内容。這对于理解文件内容、内存结构以及漏洞触發時的内存状态至关重要。追踪特定文件描述符:在调试过程中，需要追踪与pagemap文件交互的文件描述符，以及与目标文件映射相关的structfile和structvm_area_struct，以便更清晰地把握数据流向。

实戰中的考量：理解上下文，把握時序

DirtyCOW漏洞的成功与否，很大程度上取决于对执行时序的精确控制。这意味着：

理解多线程/多進程的影响:在多任务环境下，其他进程或線程的操作可能会干扰到漏洞的利用。理解进程调度的行为，以及内核同步机制，对于编写稳定exploit至关重要。内核版本适應性:如前所述，不同版本的内核，COW的实现细节可能存在差异。

exploit需要针对特定内核版本進行适配和测试。硬件架构的影响:虽然COW機制在逻辑上是通用的，但在底层实现上，不同的CPU架构（如x86、ARM）可能存在细微差别，尤其是在内存管理单元（MMU）和页表处理方面。

总结与展望

DirtyCOW漏洞的学习，不仅仅是对一个CVE的研究，更是一次深入Linux内核的探险。从COW機制的原理，到关键函数__do_fault()、page_mkwrite()、do_wp_page()的工作流程，再到pagemap文件這一“双刃剑”般的存在，每一步都充满了挑戰与乐趣。

通过结合GDB+QEMU的调试技巧，我们得以在微观层面观察内核的行為，理解漏洞触發的微妙时机。每一次成功的调试，都是一次知识的积累，一次对系统底层運行機制的更深层次的认知。

DirtyCOW已经成为歷史，但它留给我们的思考却是永恒的。它警示着我们，即使是看似成熟的系统，也可能隐藏着深刻的缺陷；它也激励着我们，不断地去探索、去理解、去学习，因为在技术的深处，总有未知的風景等待着我们去發现。希望这份学习与调试记录，能够為您在Linux内核安全研究的道路上，点亮一盏明灯。

2025-10-30,人与畜禽dna的dna免费人与动物伦理,金融监管总局：2025年上半年保险公司原保险保费收入3.7万亿元，同比增长5.1%

1.动漫黄金网站免费版官网,GPT-5并未取悦消费者 却吸引了企业市场的关注TheAsainGayTubetwink伸了个懒腰,新世界发展涨幅扩大至15.1%

图片来源：每经记者 阿尼斯 摄

2.班主任哭着说不能在深了+91黄台App,斯蒂芬·米兰：若出任美联储理事，将从白宫职位上休无薪假

3.一插二膜+叶倩彤少白mp3免费收听下载,用友BIP企业AI全栈云 On 天翼云联合解决方案正式发布

语文课代表穿jk让我c视频+51黑料反差裱,泽连斯基：未与俄罗斯就和平谈判进行接触

1秒看懂云缨流眼泪翻白眼咬铁球超萌画面的推荐与精彩剧情分析

封面图片来源：图片来源：每经记者 名称 摄