baron · 3月30日 · 四川

防止stack buffer overflows攻击的方法 : ShadowCallStack

快速连接

👉👉👉【精选】ARMv8/ARMv9架构入门到精通-目录 👈👈👈


 title=

1、介绍

ShadowCallStack 是一个检测通道,目前只为 aarch64 实现,它可以保护程序免受返回地址覆盖(例如堆栈缓冲区溢出 : stack buffer overflows)。它的工作原理是将函数的返回地址保存到函数序言中单独分配的“shadow call stack”,子函数并从函数结语中的shadow call stack加载返回地址。

2、用法

要启用 ShadowCallStack,只需将-fsanitize=shadow-call-stack 标志传递给编译和链接命令行。在 aarch64 上,默认使用x18,即-ffixed-x18

3、相关API

(1)、__has_feature(shadow_call_stack)

在某些情况下,可能需要根据是否启用 ShadowCallStack 来执行不同的代码。宏__has_feature(shadow_call_stack)可用于此目的

#if defined(__has_feature)
#  if __has_feature(shadow_call_stack)
// code that builds only under ShadowCallStack
#  endif
#endif
(2)、__attribute__((no_sanitize("shadow-call-stack")))

用于__attribute__((no_sanitize("shadow-call-stack")))函数声明以指定ShadowCallStack检测不应应用于该函数

4、示例

示例代码

int foo() {
  return bar() + 1;
}

编译时生成以下 aarch64 程序集

stp     x29, x30, [sp, #-16]!
mov     x29, sp
bl      bar
add     w0, w0, #1
ldp     x29, x30, [sp], #16
ret

添加-fsanitize=shadow-call-stack将输出以下程序集

str     x30, [x18], #8
stp     x29, x30, [sp, #-16]!
mov     x29, sp
bl      bar
add     w0, w0, #1
ldp     x29, x30, [sp], #16
ldr     x30, [x18, #-8]!
ret

5、总结

传统的aarch64程序,在一进入子函数时,就会将LR、FP(x30、x29)保存到SP指向的栈中,在函数结束返回之前,再从栈中恢复这两个寄存器。
然后加入-fsanitize=shadow-call-stack编译选项后,在一进入子函数时,增加一步骤将LR(X30)也保存到X18寄存器指向的地址中,在函数返回时,再从X18指向的地址处恢复LR。
这种使用单独的地址(X18指向的地址)来保存LR的值,就可以有效地避免了 stack buffer overflows对LR值的攻击

6、参考

Clang 13 documentation


关注"Arm精选"公众号,备注进ARM交流讨论区。
图片1.png

推荐阅读
关注数
9466
内容数
212
以易懂、渐进、有序的方式,深入探讨ARMv8/ARMv9架构的核心概念。我们将从基础知识开始,逐步深入,覆盖最新的架构,不再纠缠于过时技术。本系列内容包含但不限于ARM基础、SOC芯片基础、Trustzone、gic、异常和中断、AMBA、Cache、MMU等内容,并将持续更新。
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息