XNU内核堆安全特性解读

1.1 简介

XNU的内核内存分配器层次比较多， 因为它是一个混合的内核，bsd、mach层都有自己的内存分配器接口， 但最底层的都是调用zone allocotr分配器。它的内存分配器设计非常简单，大概是我读过的众多主流os内核中无论数据结构还是分配算法都是最简单的一个。我时常在想XNU内核给MacOS提供了流畅的操作性，但是只从zone的内存分配器来看并不能支撑这个结论，或许慢慢随着笔者对XNU内核的深入理解，答案也会慢慢水落石出。不过本次我们将探讨下zone内存分配器的安全特性以及设计不足，值得肯定的是zone内存分配器在调试和安全特性上的支持已经远远甩出了FREEBSD内核，于linux的slab内存分配器也有过之而无不及， 各有春秋。

1.2 zone分配器的基本结构

Zone分配器的最基本管理结构为struct zone_page_metadata， 它相当于linux slab的slab管理结构体。

struct zone_page_metadata {

结构成员中最重要的是freelist_offset, 它保存的是下一个空闲的item地址。 一个item在内存中的结构图为：

----------------------------------------------------------------------------------

|redzone|redzone|...| next pointer| posion| posion|...| backup pointer|redzone|redzone|

----------------------------------------------------------------------------------

---

1.3 堆溢出检测

业界常用的检测堆溢出的算法为在一个item前后填充若干redzone值，申请或释放内存时对redzone值进行检测，以发现是否有溢出行为的发生。XNU内核只有在打开KASAN_ZALLOC内核选项时才会填充redzone。

osfmk/kern/zalloc.c：

Zone依据内存分配器的不同阶段，调用kasan_poison时构造的item前后redzone填充值也不相同。

san/kasan.h

Redzone的填充值与其他OS的实现一样都使用了默认值， exploit程序很容易对其绕过，在笔者给linux slab开发的内核加固补丁AKSP中，堆redzone使用了随机值，进一步提升了安全性。

1.4 DOUBLE FREE检测

Zone内存分配器可以做简单的double free检测。

osfmk/kern/zalloc.c：

[1] 处通过参数element获取struct zone_page_metadata管理体地址，然后获取其保存的下一个空闲item地址old_head, 在[3]进行比对， 如果相等说明有重复释放的行为。

这种算法只能检测简单的double free操作，也就是连续释放两次相同的item地址。

Free(addr1);

Free(addr1);

对于下面这种情况就检测不到了。

Free(addr1);

Free(addr2);

Free(addr1);

在笔者给linux slab开发的内核加固补丁AKSP中，可以检测上述或者更复杂的多重释放问题。

1.5 UAF检测

业界常用的UFA检测算法是给item填充固定的poison值，在申请内存时检测posion是否改变以此来发现UAF的行为。

osfmk/kern/zalloc.c

[1] 处首先取得poison的首地址，注意item的第一个地址为加密后的next pointer值，它是与zp_nopoison_cookie异或计算的结果，所以要跳过第一个地址， [2]处取得posion的最后一个地址，在前面的item内存结构视图中可以看到item的最后一个地址保存的是next_pointer的值，它是与zp_poisoned_cookie或者zp_nopoison_cookie异或计算的结果。

zp_poisoned_cookie与zp_nopoison_cookie是在zone子系统初始化时动态随机生成的，所有的zone共用同一个值。[3]处与默认填充的poison值进行比对, 如果比对失败，说明这个item在分配之前已经被改写过了。

前面分析过item的第一个地址保存的是next pointer的一个混淆值， 在item的最后还保存了一个next pointer的混淆值副本。所以除了填充poison的方法， zone内存分配器还可以使用next pointer和其副本的对比，来发现UAF的行为。

static inline vm_offset_t

由于next pointer的副本根据是否需要填充poison使用不同的xor值，所以分别进行了两次比对。

在进行完UAF检查后，zalloc_poison_element还会堆next pointer进行擦除，以后防止地址泄露，并且从泄露的地址推测zp_nopoison_cookie随机值。

void

1.6 item地址随机化

内核堆的攻击技术链中，item的地址初始化顺序十分重要， exploit以此来精确控制要覆盖的item地址， linux slab使用了洗牌算法将slab里item的初始化顺序完全打乱。但是XNU内核使用的item随机化只有两种情况， 正向顺序或逆向顺序，这只能在一定程度上缓解地址随机化问题，相比linux的洗牌算法会变弱了很多。

random_free_to_zone(

random_bool_gen_bits产生一些随机的0或1，从而选择是正向顺序分配还是逆向顺序分配item地址。

1.7 内存拷贝检查

Zone内存分配器提供了一个启动参数-no-copyio-zalloc-check, 当发生从用户空间向内核空间拷贝数据时，会检测内核空间是否属于zone的空间，如果属于那么拷贝的字节数就不能大于zone的item size，这是一个非常棒的安全检测功能。有点类似linux slab的hardened user copy算法， 只不过它防止的是从内核向用户空间拷贝敏感的数据，限制了拷贝的范围。

1.8 双向安全链表

尽管针对内核堆溢出的攻击中， 很少见到改写双向链表节点的攻击手段。但是为了防患于未然，或者说养成良好的安全编程习惯， NT和linux内核都使用了安全双向链表检查，而XNU未提供此能力。