FreeBSDのUptimeが偽装できないかを検討する
===

# 初めに(やりたいこと)

uptimeが3000daysを超えるように見せたい

``` 
  kanai@:/home/kanai % uptime
  10:35PM  up 9 mins, 3 users, load averages: 0.40, 0.84, 0.54
           ^^^^^^^^^ココ！
``` 

# 調査

uptimeコマンドはwコマンドのhard-linkとわかります。

``` 
  kanai@:/usr/src/usr.bin % ls -1i /usr/bin/w /usr/bin/uptime
  1134480 /usr/bin/uptime
  1134480 /usr/bin/w
``` 

そのため、追うべきコードは、

``` 
 /usr/src/usr.bin/w
``` 

になります。

あたりをつけたいので、kdumpします。

``` 
 kanai@:/home/kanai % ktrace w
 kanai@:/home/kanai % kdump | grep time | grep CALL
 89994 w        CALL  gettimeofday(0xbfbfdbb4,0)
 89994 w        CALL  clock_gettime(0xd,0xbfbfdbd8)
 89994 w        CALL  clock_gettime(0x4,0xbfbfdc90)
 89994 w        CALL  clock_gettime(0,0xbfbfbeec)
 89994 w        CALL  clock_gettime(0,0xbfbfbeec)
 89994 w        CALL  clock_gettime(0,0xbfbfbeec)
``` 

clock_gettimeがあやしいです。第一引数に違和感があります。manをひきます。

``` 
  int clock_getres(clockid_t clock_id, struct timespec *tp);
``` 

ということで/usr/include/time.hを見ます。

``` 
  #define CLOCK_MONOTONIC 4
  CLOCK_MONOTONIC which increments in SI seconds
  #define CLOCK_SECOND    13
  CLOCK_SECOND which returns the current second without performing a full time counter query
``` 

CLOCK_MONOTONICというのがよくわかりません。あきらめて、/usr/src/usr.bin/w/w.cを見ます。

``` 
        /*
         * Print how long system has been up.
         */
        if (clock_gettime(CLOCK_MONOTONIC, &tp) != -1) {
                uptime = tp.tv_sec;
``` 

やはり、合っていたみたいです。では、これを書き換えればいいよね、ということで、

.. literalinclude:: Src/clock_settime.c
  :language: c
  :linenos:

すると、

::

  kanai@:/home/kanai % ./a.out
  2258
  2258

CLOCK_MONOTONICは書き込み不可属性に見えます。/usr/src/sys/kern/kern_time.cを追います。

::

  kern_clock_settime()より
        if (clock_id != CLOCK_REALTIME)
                return (EINVAL);

なるほど。clock_idがCLOCK_REALTIME == 0 の場合はsettimeできないようです。
では、CLOCK_MONOTONICは何を追っているのでしょうか？

::

  kern_clock_gettime()より
        case CLOCK_REALTIME:            /* Default to precise. */
        case CLOCK_REALTIME_PRECISE:
                nanotime(ats);
                break;
        case CLOCK_MONOTONIC:           /* Default to precise. */
        case CLOCK_MONOTONIC_PRECISE:
        case CLOCK_UPTIME:
        case CLOCK_UPTIME_PRECISE:
                nanouptime(ats);
                break;

nanouptime()を見ます。/usr/src/sys/kern/kern_tc.cにありました。

::

 /*
 * Functions for reading the time.  We have to loop until we are sure that
 * the timehands that we operated on was not updated under our feet.  See
 * the comment in <sys/time.h> for a description of these 12 functions.
 */
 binuptime(struct bintime *bt)
 {
         struct timehands *th;
         u_int gen;  
 
         do {
                 th = timehands;
                 gen = th->th_generation;
                 *bt = th->th_offset;
                 bintime_addx(bt, th->th_scale * tc_delta(th));
         } while (gen == 0 || gen != th->th_generation);
 }
 void
 nanouptime(struct timespec *tsp)
 {
         struct bintime bt;
 
         binuptime(&bt);
         bintime2timespec(&bt, tsp);
 }

bintime_addxはsys/time.hで

::

 static __inline void
 bintime_addx(struct bintime *bt, uint64_t x)
 {
        uint64_t u;

        u = bt->frac;
        bt->frac += x;
        if (u > bt->frac)
                bt->sec++;
 }

とのことです。さて、よく見ると、th = timehandsが気になるので、上の定義をみると、

::

  static struct timehands *volatile timehands = &th0;
  static struct timehands th0;
  static struct timehands th0 = {
        &dummy_timecounter,
        0,
        (uint64_t)-1 / 1000000,
        0,
        {1, 0},
        {0, 0},
        {0, 0},
        1,
        &th1
 };

となっているので、どうも、th0がtimehandsでuptimecounterっぽいことがわかります。
もうちょっと追います。

::

 static uint64_t
 tc_cpu_ticks(void)
 {
        static uint64_t base;
        static unsigned last;
        unsigned u;
        struct timecounter *tc;
 
        tc = timehands->th_counter;
        u = tc->tc_get_timecount(tc) & tc->tc_counter_mask;
        if (u < last)
                base += (uint64_t)tc->tc_counter_mask + 1;
        last = u;
        return (u + base);
 }

これでカウントして、tc_windup()で処理しているっぽいのですが、かなりまじめに追わないと行けなそうです。
他の手がないか確認します。tc_init()を見ていると、SYSCTL_STATIC_CHILDRENがあります。なるほど。
その手があったかsysctl。それっぽいのがあるか見ます。

::

 kanai@:/ % sysctl -a | grep time | head -1
 kern.boottime: { sec = 1366723591, usec = 385546 } Tue Apr 23 22:26:31 2013

これに書き込めれば勝ち！なのですが、

::

 static int sysctl_kern_boottime(SYSCTL_HANDLER_ARGS);
 SYSCTL_PROC(_kern, KERN_BOOTTIME, boottime, CTLTYPE_STRUCT|CTLFLAG_RD,
   NULL, 0, sysctl_kern_boottime, "S,timeval", "System boottime");

で、CTLFLAG_RWは立っていませんでした。

中間まとめ
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

uptimeはkern_tc.cのtimehands構造体がキーポイントとなるが、
それに対する直接アクセスのsyscallはない
また、cpuが直接インクリメントしている構造体なので、かなりまじめに読まないと読めない。
ここまで来るとつらくなってくるので、kernelをdebugモードでコンパイルし直して、
gdbでattachしながら試行錯誤することにします。

kgdb
^^^^^^

対象のホストでkernelを再構築します。このとき、KDBをオプションで指定します。

::

 cd /usr/src/sys/i386/
 sudo cp GENERIC HOGETAN
 sudo vi HOGETAN 
 kanai@:/usr/src/sys/i386/conf % diff GENERIC HOGETAN
 24c24
 < ident         GENERIC
 ---
 > ident         HOGETAN
 67a68,69
 > options         GDB
 > options         DDB
 sudo config -g HOGETAN
 cd ../compile/HOGETAN
 make cleandepend && make depend
 sudo make
 sudo make install
 reboot


boot -d
します。


で、ここで、VirtualBoxを以下のように仕込みます。

ターゲット対象のFreeBSD(Kernelを再コンパイルしたやつ)

::

 設定 > システム > マザーボード > IO APICを有効化をチェック
 設定 > シリアルポート
  ポート番号：Com1
  ポートモード：ホストにパイプ
  パイプ作成：OFF
  ポート/ファイルパス：\\.\pipe\com_1

適当なFreeBSD

::

 設定 > システム > マザーボード > IO APICを有効化をチェック
 設定 > シリアルポート
  ポート番号：Com1
  ポートモード：ホストにパイプ
  パイプ作成：ON
  ポート/ファイルパス：\\.\pipe\com_1

0x80にする
gdbとうつ