我的书签
添加书签
移除书签16.3 防止缓冲区溢出的方法
下面一些方法防止缓冲区溢出。MSVC使用以下编译选项:
/RTCs Stack Frame runtime checking/GZ Enable stack checks (/RTCs)
一种方法是在函数局部变量和序言之间写入随机值。在函数退出之前检查该值。如果该值不一致则挂起而不执行RET。进程将被挂起。 该随机值有时被称为“探测值”。 如果使用MSVC编译简单的例子(16.1),使用RTC1和RTCs选项,将能看到函数调用@_RTC_CheckStackVars@8函数来检测“探测值“。
我们来看GCC如何处理这些。我们使用alloca()(4.2.4)例子:
#include <malloc.h>#include <stdio.h>void f(){char *buf=(char*)alloca (600);_snprintf (buf, 600, "hi! %d, %d, %d", 1, 2, 3);puts (buf);};
我们不使用任何附加编译选项,只使用默认选项,GCC 4.7.3将插入“探测“检测代码:
Listing 16.3: GCC 4.7.3
.LC0:.string "hi! %d, %d, %d"f:push ebpmov ebp, esppush ebxsub esp, 676lea ebx, [esp+39]and ebx, -16mov DWORD PTR [esp+20], 3mov DWORD PTR [esp+16], 2mov DWORD PTR [esp+12], 1mov DWORD PTR [esp+8], OFFSET FLAT:.LC0 ; "hi! %d, %d, %d"mov DWORD PTR [esp+4], 600mov DWORD PTR [esp], ebxmov eax, DWORD PTR gs:20 ; canarymov DWORD PTR [ebp-12], eaxxor eax, eaxcall _snprintfmov DWORD PTR [esp], ebxcall putsmov eax, DWORD PTR [ebp-12]xor eax, DWORD PTR gs:20 ; canaryjne .L5mov ebx, DWORD PTR [ebp-4]leaveret.L5:call __stack_chk_fail
随机值存在于gs:20。它被写入到堆栈,在函数的结尾与gs:20的探测值对比,如果不一致,__stack_chk_fail函数将被调用,控制台(Ubuntu 13.04 x86)将输出以下信息:
*** buffer overflow detected ***: ./2_1 terminated======= Backtrace: =========/lib/i386-linux-gnu/libc.so.6(__fortify_fail+0x63)[0xb7699bc3]/lib/i386-linux-gnu/libc.so.6(+0x10593a)[0xb769893a]/lib/i386-linux-gnu/libc.so.6(+0x105008)[0xb7698008]/lib/i386-linux-gnu/libc.so.6(_IO_default_xsputn+0x8c)[0xb7606e5c]/lib/i386-linux-gnu/libc.so.6(_IO_vfprintf+0x165)[0xb75d7a45]/lib/i386-linux-gnu/libc.so.6(__vsprintf_chk+0xc9)[0xb76980d9]/lib/i386-linux-gnu/libc.so.6(__sprintf_chk+0x2f)[0xb7697fef]./2_1[0x8048404]/lib/i386-linux-gnu/libc.so.6(__libc_start_main+0xf5)[0xb75ac935]======= Memory map: ========08048000-08049000 r-xp 00000000 08:01 2097586 /home/dennis/2_108049000-0804a000 r--p 00000000 08:01 2097586 /home/dennis/2_10804a000-0804b000 rw-p 00001000 08:01 2097586 /home/dennis/2_1094d1000-094f2000 rw-p 00000000 00:00 0 [heap]b7560000-b757b000 r-xp 00000000 08:01 1048602 /lib/i386-linux-gnu/libgcc_s.so.1b757b000-b757c000 r--p 0001a000 08:01 1048602 /lib/i386-linux-gnu/libgcc_s.so.1b757c000-b757d000 rw-p 0001b000 08:01 1048602 /lib/i386-linux-gnu/libgcc_s.so.1b7592000-b7593000 rw-p 00000000 00:00 0b7593000-b7740000 r-xp 00000000 08:01 1050781 /lib/i386-linux-gnu/libc-2.17.sob7740000-b7742000 r--p 001ad000 08:01 1050781 /lib/i386-linux-gnu/libc-2.17.sob7742000-b7743000 rw-p 001af000 08:01 1050781 /lib/i386-linux-gnu/libc-2.17.sob7743000-b7746000 rw-p 00000000 00:00 0b775a000-b775d000 rw-p 00000000 00:00 0b775d000-b775e000 r-xp 00000000 00:00 0 [vdso]b775e000-b777e000 r-xp 00000000 08:01 1050794 /lib/i386-linux-gnu/ld-2.17.sob777e000-b777f000 r--p 0001f000 08:01 1050794 /lib/i386-linux-gnu/ld-2.17.sob777f000-b7780000 rw-p 00020000 08:01 1050794 /lib/i386-linux-gnu/ld-2.17.sobff35000-bff56000 rw-p 00000000 00:00 0 [stack]Aborted (core dumped)
gs被叫做段寄存器,这些寄存器被广泛用在MS-DOS和扩展DOS时代。现在的作用和以前不同。简要的说,gs寄存器在linux下一直指向TLS(48)–存储线程的各种信息(win32环境下,fs寄存器同样的作用,指向TIB8 9)。 更多信息请参考linux源码arch/x86/include/asm/stackprotector.h(至少3.11版本)。
16.3.1 Optimizing Xcode (LLVM) + thumb-2 mode
我们回头看简单的数组例子(16.1)。我们来看LLVM如何检查“探测值“。
_mainvar_64 = -0x64var_60 = -0x60var_5C = -0x5Cvar_58 = -0x58var_54 = -0x54var_50 = -0x50var_4C = -0x4Cvar_48 = -0x48var_44 = -0x44var_40 = -0x40var_3C = -0x3Cvar_38 = -0x38var_34 = -0x34var_30 = -0x30var_2C = -0x2Cvar_28 = -0x28var_24 = -0x24var_20 = -0x20var_1C = -0x1Cvar_18 = -0x18canary = -0x14var_10 = -0x10PUSH {R4-R7,LR}ADD R7, SP, #0xCSTR.W R8, [SP,#0xC+var_10]!SUB SP, SP, #0x54MOVW R0, #aObjc_methtype ; "objc_methtype"MOVS R2, #0MOVT.W R0, #0MOVS R5, #0ADD R0, PCLDR.W R8, [R0]LDR.W R0, [R8]STR R0, [SP,#0x64+canary]MOVS R0, #2STR R2, [SP,#0x64+var_64]STR R0, [SP,#0x64+var_60]MOVS R0, #4STR R0, [SP,#0x64+var_5C]MOVS R0, #6STR R0, [SP,#0x64+var_58]MOVS R0, #8STR R0, [SP,#0x64+var_54]MOVS R0, #0xASTR R0, [SP,#0x64+var_50]MOVS R0, #0xCSTR R0, [SP,#0x64+var_4C]MOVS R0, #0xESTR R0, [SP,#0x64+var_48]MOVS R0, #0x10STR R0, [SP,#0x64+var_44]MOVS R0, #0x12STR R0, [SP,#0x64+var_40]MOVS R0, #0x14STR R0, [SP,#0x64+var_3C]MOVS R0, #0x16STR R0, [SP,#0x64+var_38]MOVS R0, #0x18STR R0, [SP,#0x64+var_34]MOVS R0, #0x1ASTR R0, [SP,#0x64+var_30]MOVS R0, #0x1CSTR R0, [SP,#0x64+var_2C]MOVS R0, #0x1ESTR R0, [SP,#0x64+var_28]MOVS R0, #0x20STR R0, [SP,#0x64+var_24]MOVS R0, #0x22STR R0, [SP,#0x64+var_20]MOVS R0, #0x24STR R0, [SP,#0x64+var_1C]MOVS R0, #0x26STR R0, [SP,#0x64+var_18]MOV R4, 0xFDA ; "a[%d]=%d"MOV R0, SPADDS R6, R0, #4ADD R4, PCB loc_2F1C; second loop beginloc_2F14ADDS R0, R5, #1LDR.W R2, [R6,R5,LSL#2]MOV R5, R0loc_2F1CMOV R0, R4MOV R1, R5BLX _printfCMP R5, #0x13BNE loc_2F14LDR.W R0, [R8]LDR R1, [SP,#0x64+canary]CMP R0, R1ITTTT EQ ; canary still correct?MOVEQ R0, #0ADDEQ SP, SP, #0x54LDREQ.W R8, [SP+0x64+var_64],#4POPEQ {R4-R7,PC}BLX ___stack_chk_fail
首先可以看到,LLVM循环展开写入数组,LLVM认为先计算出数组元素的值速度更快。 在函数的结尾我们能看到“探测值“的检测—局部存储的值与R8指向的标准值对比。如果相等4指令块将通过”ITTTT EQ“触发,R0写入0,函数退出。如果不相等,指令块将不会被触发,跳向___stack_chk_fail函数,结束进程。
16.4 One more word about arrays
现在我们来理解下面的C/C++代码为什么不能正常使用10:
void f(int size){int a[size];...};
这是因为在编译阶段编译器不知道数组的具体大小无论是在堆栈或者数据段,无法分配具体空间。 如果你需要任意大小的数组,应该通过malloc()分配空间,然后访问内存块来访问你需要的类型数组。或者使用C99标准[15,6.7.5/2],但它内部看起来更像alloca()(4.2.4)。
当前内容版权归 Dennis Yurichev 或其关联方所有,如需对内容或内容相关联开源项目进行关注与资助,请访问 Dennis Yurichev .
