快速连接
👉👉👉【精选】ARMv8/ARMv9架构入门到精通-目录 👈👈👈
1、介绍
ShadowCallStack 是一个检测通道,目前只为 aarch64 实现,它可以保护程序免受返回地址覆盖(例如堆栈缓冲区溢出 : stack buffer overflows)。它的工作原理是将函数的返回地址保存到函数序言中单独分配的“shadow call stack”,子函数并从函数结语中的shadow call stack加载返回地址。
2、用法
要启用 ShadowCallStack,只需将-fsanitize=shadow-call-stack 标志传递给编译和链接命令行。在 aarch64 上,默认使用x18,即-ffixed-x18。
3、相关API
(1)、__has_feature(shadow_call_stack)
在某些情况下,可能需要根据是否启用 ShadowCallStack 来执行不同的代码。宏__has_feature(shadow_call_stack)可用于此目的
#if defined(__has_feature)
# if __has_feature(shadow_call_stack)
// code that builds only under ShadowCallStack
# endif
#endif(2)、__attribute__((no_sanitize("shadow-call-stack")))
用于__attribute__((no_sanitize("shadow-call-stack")))函数声明以指定ShadowCallStack检测不应应用于该函数
4、示例
示例代码
int foo() {
return bar() + 1;
}编译时生成以下 aarch64 程序集
stp x29, x30, [sp, #-16]!
mov x29, sp
bl bar
add w0, w0, #1
ldp x29, x30, [sp], #16
ret添加-fsanitize=shadow-call-stack将输出以下程序集
str x30, [x18], #8
stp x29, x30, [sp, #-16]!
mov x29, sp
bl bar
add w0, w0, #1
ldp x29, x30, [sp], #16
ldr x30, [x18, #-8]!
ret5、总结
传统的aarch64程序,在一进入子函数时,就会将LR、FP(x30、x29)保存到SP指向的栈中,在函数结束返回之前,再从栈中恢复这两个寄存器。
然后加入-fsanitize=shadow-call-stack编译选项后,在一进入子函数时,增加一步骤将LR(X30)也保存到X18寄存器指向的地址中,在函数返回时,再从X18指向的地址处恢复LR。
这种使用单独的地址(X18指向的地址)来保存LR的值,就可以有效地避免了 stack buffer overflows对LR值的攻击
6、参考
关注"Arm精选"公众号,备注进ARM交流讨论区。
