很多人曾经说过,linux下的病毒没有windows多的原因在于linux使用的人不多,人们不屑于开发linux下的病毒,看到这个言论我笑了,想必很多人都有过explorer被注入的经历吧,explorer被替换然后怎么也删除不掉,或者一个system32下的一个顽固文件怎么也删除不掉,更不幸的是,它就是一个木马,此时,网上流行的一些工具就显得有用了,比如icesword,这些工具不得不动用内核驱动来靠内核的超高特权来删除那些文件,windows的注册表也是一个难缠的东西,一旦注册表被篡改,后果将不堪设想,因此注册表备份工具就显得必要,这一切的关键在于windows内核的架构,windows的启动过程非常的复杂,不仅是内核的启动,更有很多的用户空间的服务是用户所不能控制的,比如winlogon进程,在用户可以接手系统之前,很多的用户空间服务已经启动了,即便是安全模式也是这样,既然用户空间的东西可以在用户接手系统之前启动,那么如果这些是恶意程序的话,你的系统将乖乖的随黑客的心而动,恐怖吧,十分恐怖!windows的文件映射是一个十分令人又爱又恨的机制,它可以使你的重要文件在被访问期间不能被删除,当然也可以使病毒被使用期间不能被删除...这一切都是因为windows将文件的删除和文件保护以及系统安全统一在了一起,这是它微内核的架构所决定的,windows总是尽自己最大的努力保持系统的完整,而往往结构却适得其反,windows作为一个商品,它不希望初级用户由于自己的误操作删除了一个系统文件造成系统不能启动然后把过错归于微软,它需要考虑的问题太多了。linux呢,恰恰不是这样,它对于文件的保护采用了懒惰的机制,并且将最大的自由交给用户,它不阻止你删除任何文件,因为系统的根本归根结底都是磁盘的文件,所以它甚至允许你删除内核本身,结果就是下次不能再启动了,删除了内核本身难道还能继续运行下去,是的,可以,这就是linux的vfs对文件删除管理的懒惰机制,如果有人在用该文件,那么系统是不会删除它的,另外一个原因就是linux内核是大内核,并且全部映射到物理内存,对于内核而言没有分页内存的概念,即便磁盘的文件没有了,只要内存中还有就不会出现问题。对于文件的删除操作,不管是什么文件一律平等对待,linux系统看到的只是一个引用计数,一旦引用计数为0了,就要删除该文件了,如果有人使用着该文件,那么它的引用计数最起码是1,最起码也要等到该使用者不再使用的时候才可以删除该文件,这样的结果就是当你删除一个文件的时候,你放心的进行删除操作,系统等到没有用该文件的时候执行最终的删除,因此在linux中没有删除不了的文件,linux不对文件的删除处理提供任何的保护,不耦合任何别的机制,删除的语义很简单,就是递减一个引用计数。
另外一点就是,linux的内核和用户空间分得很清晰,用户甚至可以在启动时定义自己的init=XXX参数使得用户空间的第一个进程是自己定义的,这种内核空间和内核空间的不耦合是十分重要的,内核在init内核线程中通过execve一个用户进程让用户接手系统,这个进程是可以自己定义的,不过一般是/sbin/init进程,这样的结果就是即使用户空间全部被注入了,那么你第一,可以删除这些肮脏的文件;第二,可以设置一个你自己定义的干净的init进程,需要做的就是重新启动一下系统,一切就搞定了,linux中强大shell命令使得你可以很简单的备份一份干净的无病毒的根文件系统,因此在linux下杀毒将是一件很简单的事情。用户可以自主控制用户空间的第一个进程是这里的要点,在windows下这是很难的,你想替换smss程序,试试看,系统会提示你“请确定磁盘未满或未被写保护而且文件未被使用”,并且system32下的dllcache也是一个让你又爱又恨的目录,不信的话,请手动删除一下IE试试看。
要点就是不要试图保护文件不被删除,操作系统的用户空间应该提供系统保护机制而不是让文件系统承担这个责任,不管那个文件有多重要,系统也不要提供保护它不被删除的机制,特别是内核更不能,因为如果良民可以通过这种方式得到保护,那么强盗也可以。
linux中通过两个引用计数管理了文件的存在与删除,这就是i_count以及i_nlink,前者的意义是当前的使用者,后者的意义是当前的介质链接数量,这二者的意义也可以理解成前者是文件在内存的引用计数,而后者是文件在磁盘的引用计数,只有在二者都为0的情况下,介质的删除操作才真正进行,也可以说,i_nlink是文件被删除的充分条件,而i_count是文件被删除的必要条件,最后我会说明,若不是为了别的管理需要,用一个引用计数就够了而没有必要用两个。在删除一个文件的时候,最终要调用iput,我们看一下这个函数:
void iput(struct inode *inode)
{
if (inode) {
struct super_operations *op = inode->i_sb->s_op;
if (op && op->put_inode)
op->put_inode(inode);
if (atomic_dec_and_lock(&inode->i_count, &inode_lock)) //文件的内存的引用计数为0的话才进行最终的删除
iput_final(inode);
}
}
iput_final中主要调用一个generic_drop_inode,紧接着看一下这个generic_drop_inode:
static void generic_drop_inode(struct inode *inode)
{
if (!inode->i_nlink)
generic_delete_inode(inode);
else
generic_forget_inode(inode);
}
可以看出,内存引用计数为0是一个前提条件,毕竟内存引用计数代表着进程对文件的访问,只有在没有进程对该文件进行访问的情况下才可以权衡接下来的删除操作:
void generic_delete_inode(struct inode *inode)
{
struct super_operations *op = inode->i_sb->s_op;
list_del_init(&inode->i_list);
inode->i_state|=I_FREEING;
inodes_stat.nr_inodes--;
spin_unlock(&inode_lock);
if (inode->i_data.nrpages)
truncate_inode_pages(&inode->i_data, 0);
security_inode_delete(inode);
if (op->delete_inode) {
void (*delete)(struct inode *) = op->delete_inode;
if (!is_bad_inode(inode))
DQUOT_INIT(inode);
delete(inode); //这个文件系统相关的delete回调函数最终销毁了磁盘的inode
} else
clear_inode(inode);
spin_lock(&inode_lock);
hlist_del_init(&inode->i_hash);
spin_unlock(&inode_lock);
wake_up_inode(inode);
if (inode->i_state != I_CLEAR)
BUG();
destroy_inode(inode);
}
以上函数可以看出,销毁介质inode的操作是文件系统的超级块操作的一个回调函数,这是合理的,因为文件系统的超级块就是管理全局的,所有常规文件的块分配,空闲块管理都要由它来进行,因此这理应是它的职责,具体例子就是有些文件系统是伪文件系统,而且还伪装成块文件,比如内存文件系统,它根本就没有非易失介质,因此也就没有必要提供真实的delete回调函数了。总之,一个文件系统是什么样子,应该怎样进行管理,它的超级块最清楚。linux的vfs其实是一幅很美丽的图画,不同的文件系统有着不同的行为,vfs核心负责协调它们使它们更好的合作,已到达最终系统的安全,稳定和高效。
删除文件的操作只有一个就是unlink,仅仅从名字上看看不出它是删除的意思,实际上linux中任何的删除文件的操作最终都要归结到这个unlink,这个系统调用的实质就是递减文件磁盘的引用计数,也就是递减i_nlink计数器,按照道理来说文件的删除和文件解除链接有着不同的意义,但是它们却统一到了一个一致的系统调用,这二者是从不同角度来讲的同一个意思,删除是从文件本身来说的,而解除链接是从用户角度来讲的,现在就看一下这个被两个语义一起使用的系统调用:
asmlinkage long sys_unlink(const char __user * pathname)
{
...
if (!IS_ERR(dentry)) {
if (nd.last.name[nd.last.len])
goto slashes;
inode = dentry->d_inode;
if (inode)
atomic_inc(&inode->i_count);
error = vfs_unlink(nd.dentry->d_inode, dentry); //调用具体文件系统的unlink函数
exit2:
dput(dentry);
}
up(&nd.dentry->d_inode->i_sem);
if (inode)
iput(inode);
...
}
static int ext2_unlink(struct inode * dir, struct dentry *dentry)
{
struct inode * inode = dentry->d_inode;
...
ext2_dec_count(inode); //递减了该inode的i_nlink的引用计数
err = 0;
out:
return err;
}
刚才说了其实用一个引用计数就可以搞定一切,此话怎讲呢?这里姑且不讨论太复杂的inode问题,仅以文件讨论,我们把文件的初始引用计数设置为1,一旦打开一个文件就递增引用计数,一旦关闭就递减之,只有在unlink的情况才递增一次,递减两次,总的递减一次,这里也不讨论文件映射,仅以为凡是操作文件必须是先打开再访问,这样的话,如果一个进程访问一个文件后关闭之,它递减的该文件的引用计数仅仅是它为了访问该文件open时递增的那一次,和打开前的引用计数相等,无论哪一种情况,只要该文件的引用计数为0则删除之,这种机制简单的阐明了linux中文件删除的懒惰机制,正是这种机制使得linux下的病毒无处藏匿。如果仅仅管理文件删除,那么一个引用计数当然就够了,但是unix/linux一般不会让一个实体身兼数职的,如果现实中需要别的意义,那么就会抽象出一个新的新的数据结构用于此新意义,在文件的管理中,i_nlink的出现就是为了管理文件的硬链接的。
本文转自 dog250 51CTO博客,原文链接:http://blog.51cto.com/dog250/1273351
