Выполнение кода в динамически выделяемой памяти

22.08.2009, 23:16. **Показов** 2313. **Ответов** 4

Студворк — интернет-сервис помощи студентам

Есть код...

C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
#include <stdlib.h> 
#include <stdio.h> 
#include <string.h> 
#include <sys/mman.h> 
#include <errno.h> 
 
#define PAGESIZE 4096 
 
void f1() 
{ 
    printf("+++++++++++++++++++++++++++\n"); 
} 
 
void f2() 
{ 
    printf("---------------------------\n"); 
} 
 
typedef void (*FunType)(); 
 
 
int main() 
{ 
 
    f1();     
 
    const int size = 1024; 
 
    char* data = new char[size+PAGESIZE-1]; 
 
    char* buff  = (char *)(((int) data + PAGESIZE-1) & ~(PAGESIZE-1)); 
 
    memcpy(buff, (const void*)f2, size); 
     
    if(mprotect(buff, size, PROT_READ | PROT_WRITE | PROT_EXEC) != 0) 
        printf("mprotect error \n"); 
 
    FunType fun = (FunType)buff;     
 
    fun(); 
 
    delete data; 
 
    return 0; 
};

mprotect выполняется без ошибки, но при вызове функции ошибка segmentation fault

Как можно выполнить код из кучи ?

С уважением Пётр.

Evg · 24.08.2009, 23:39

Покажи стек

Ну и надо понимать, что mprotect ставит признаки с точностью до страницы. С ходу и не скажу, что в твоём случае будет - установка на всю страницу или не установка вообще. Ну и случай, когда попадаем по границе страницы.

Далее. После того, как ты переписал код процедуры, надо по'flush'ить кэш данных - т.е. выполнить операцию, которая дождётся, пока исполнятся все операции записи в память (это на ассемблере пишется вставка). Нужно это для того, что все современные архитектуры делат память условно на данные и код и есть две независимые системы кэширования памяти для данных и для команд.

Ещё могло кердыкнуться в процессе копирования. Ты копируешь 1024 байта (т.е. заведомо больше, чем код твоей программы), а потому в этом месте могли вылезти за границу страницы

Добавлено через 31 минуту
Посмотрел в исходниках gcc. Для i386 по ходу дела flush не нужен. Про копирование - я невнимательно исходник посмотрел, у тебя всё нормально.

Запустил из-под отладчика - скопированный код реально начал исполняться, но упал где-то потом

Добавлено через 15 минут
Ещё одно предположении. Операция вызова на i386 работает по относительному адресу? Если да, то скопировав код программы ты тем самым испортишь код, поскольку теперь вызов printf начнёт ссылаться на другой адрес

Добавлено через 6 минут
В общем, догадка подтвердилась. Дело именно в операциях CALL по имени. В этом случае на i386 строится переход по относительному адресу. При этом доступ к переменным делается по абсолютному адресу, поэтому все процедурные вызовы надо делать через указатели на процедуру. Следующий код у меня отработал

C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
#include <stdlib.h> 
#include <stdio.h> 
#include <string.h> 
#include <sys/mman.h> 
#include <errno.h> 
 
#define PAGESIZE 4096 
 
int aa = 12;
int (*fptr) (const char*, ...) = printf;
 
void f2 ()
{ 
  fptr ("--- %d ------------------------\n", aa); 
} 
 
typedef void (*FunType)();
char ARR[PAGESIZE*2];
 
int main() 
{ 
  const int size = 1024; 
  char *buff = (char *)(((int)ARR + PAGESIZE-1) & ~(PAGESIZE-1)); 
 
  memcpy (buff, (const void*)f2, size); 
  if (mprotect (buff, PAGESIZE, PROT_READ | PROT_WRITE | PROT_EXEC) != 0)
    fprintf (stderr, "mprotect error \n");
 
  FunType fun = (FunType)buff;     
  fun (); 
 
  return 0; 
}

При этом надо понимать, что на другой архитектуре код может и не отработать корректно. Изза описанной выше проблемы с кэшем, или доступ к переменным будет по относиетльным адресам. Или ещё там чего

25.08.2009, 12:12

Evg большое спасибо вам за пояснения.
Сделал все так-как вы рекомендовали, все заработало без проблем.
Заинтересовали ваши размышления о flush кэше данных. А какой последовательностью инструкций этого можно добиться ?
Если вам нетрудно можете носом ткнуть в "посмотрел в исходниках gcc. Для i386 по ходу дела flush не нужен.".
С уважением Петр Семкин.

Evg · 25.08.2009, 14:03

Сообщение от GPelya

Заинтересовали ваши размышления о flush кэше данных. А какой последовательностью инструкций этого можно добиться ?

По ходу дела для i386 это не нужно.

А в общем случае проблема такая. malloc'ом ты выделяешь память, которая с точки зрения ОС находится в сегменте данных, соотвественно на страницах памяти проставлен соотвествующий признак. Поэтому аппаратно записи в эти страницы идут через кэш данных. А при чтении кода, всё оседает в кэше команд. При этом может получиться такая ситуация, что при копировании твоего кода в страницу с данными всё осело в кэше данных и в реальную память не попало. Поэтому при дальнейшем обращении в эту память, но из исполняющих устройств, аппаратура не произведёт flush кэша, потому как считает, что код и данные разведены. Либо наоборот - данные реально попали в память, но в момент исполнения что-то застряло в кэше команд. Для таких архитектур надо принудительно сбрасывать кэш в память (или там происходит прочистка, хер его знает)

Сообщение от GPelya

Если вам нетрудно можете носом ткнуть в "посмотрел в исходниках gcc. Для i386 по ходу дела flush не нужен."

В gcc есть такая хрень как вложенные процедуры. При взятии указателя на вложенную процедуру в run-time в стеке генерится некий кусочек кода, который является трамплином и реальное упарвление через указатель на процедуру будет передаваться на этот трамплин. Сам трамплин в свою очередь делает небольшие телодвижения по дополнительному формированию static chain (хз как это по русски можно выразить) - чтобы из вложенной процедуры можно было иметь доступ к локалам охватывающей процедуры

Я смотрел в исходники gcc-2.95.3. Файл gcc-2.95.3/gcc/config/i386/i386.h макрос INITIALIZE_TRAMPOLINE. Видим, что там лепится только код перехода, ноне делается никаких попыток прочистить кэш. Возможно, что этого не нужно из-за того, что в дальнейшем будет вызван mprotect и к тому времени кэш данных гарантированно сбросится в память

Если же мы посмотрим, как это сделанона sparc'е (gcc-2.95.3/gcc/config/sparc/sparc.h), то макрос дёргает процедуру sparc_initialize_trampoline (или sparc64_.., что неважно). Далее рядом в файле sparc.c смотрим процедуру sparc_initialize_trampoline, в конце которой видим "emit_insn (gen_flush ...". Код этого самого gen_flush смотрим в файле sparc.md - ищем "define_insn "flush"" (вместе с кавычками вокруг flush).

Поскольку на i386 этого нет, то там видимо кэш по другому устроен. Или контроллер памяти, в котором нет разделения на данные и код

@_mayor · 29.08.2009, 17:38

а как в обходите стандарт iso для этого случая: (const void*)f2

покажите плиз строку вызова g++ и его версию

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11680&d=1772460536 Одним из. . .	Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .	SDL3 для Web (WebAssembly): Сборка библиотек: SDL3, Box2D, FreeType, SDL3_ttf, SDL3_mixer и SDL3_image из исходников с помощью CMake и Emscripten 8Observer8 27.02.2026 Недавно вышла версия 3. 4. 2 библиотеки SDL3. На странице официальной релиза доступны исходники, готовые DLL (для x86, x64, arm64), а также библиотеки для разработки под Android, MinGW и Visual Studio. . . .
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .

GPelya
	25.08.2009, 12:12
	Evg большое спасибо вам за пояснения. Сделал все так-как вы рекомендовали, все заработало без проблем. Заинтересовали ваши размышления о flush кэше данных. А какой последовательностью инструкций этого можно добиться ? Если вам нетрудно можете носом ткнуть в "посмотрел в исходниках gcc. Для i386 по ходу дела flush не нужен.". С уважением Петр Семкин.

@_mayor 1 / 1 / 1 Регистрация: 29.08.2009 Сообщений: 63
	29.08.2009, 17:38
	а как в обходите стандарт iso для этого случая: (const void*)f2 покажите плиз строку вызова g++ и его версию 0