linux在系统调用进入内核时，为什么要将参数从用户空间拷贝到内核空间？不能直接访问，或是使用memcpy吗？非要使用copy_from_user才行吗？ 第1页

在现代通用操作系统里面，cpu运行指令时，它的运级别分为用户态和内核态这两个态，内核要保护应用程序，不能让用户态的数据对内核进行污染。

那用户态要委托内核完成某个服务时（比如打开文件，访问文件内容），必须通过系统调用完成。系统调用传参，跟函数传参是比较类似的，分为基础类型和内存块类型这两类。

1. 对于基础类型，通过寄存器可以直接拷贝传递

2. 对内存块类型，C语言没有语言类型上的支持，必须通过指针进行传递，然后再访问指针指向的内存空间

如果你在Linux下要写一个字符驱动，必须定义一个file_operations结构，实现该文件的写操作细节，它的签名如下：

ssize_t XXX_drviver_write(struct file *filp, const char __user *buf, size_t len, loff_t *ppos)

上述的len参数为基础类型，而buf就是内存块类型，你在该函数应该实现将buf指向并且长度为len的缓冲区写到驱动所表示的文件里面。

这里会遇到几个问题：

1. buf 指针是不是一个合法地址

2. 如果buf 指针是一个合法地地，但是该buf指针的空间，内核还没有给它分配物理地址空间怎么办

3. 如果黑客故意将buf值写成一个精心构造的内核地址，那驱动需要往该buf拷贝数据时（通过是read操作），那不是将数据写到内核态了吗？那黑客就可以通过这个问题来修改内核代码，控制内核执行，达成目标。

如果直接使用memcpy，上述这3个问题都无法解决。如果遇到的是场景1)和2)，那么内核会Oops，如果是3)，则攻击很可能成功。

copy_from_user和copy_to_user就是用来保证内核态安全地访问（读和写）用户态内存空间。

copy_from_user/copy_to_user 的实现原理非常简单，如下：

1. 如果buf空间属于内核态空间，直接返回出错，不处理（这是解决上述场景3）

2. copy_from_user/copy_to_user使用精心布置的访存汇编实现，并指这个汇编指令所在的地址全部登记起来（称为extable表）。运行时出现上述场景1)和2)，首先会发生缺页异常，进入内核do_page_fault流程；然后检查出错的PC地址是不是早已在extable登记好的，如果是，同表示该缺页异常是copy_from_user/copy_to_user函数产生的。最后才检查该地址是否为该进程的合法地址，如果是则分配物理页并处理，否则就是非法地址，把进程给杀死(发送sigsegv信号)。