Приклад мінімального відтворення при аналізі демонтажу
main.c
void myfunc(char *const src, int len) {
int i;
for (i = 0; i < len; ++i) {
src[i] = 42;
}
}
int main(void) {
char arr[] = {'a', 'b', 'c', 'd'};
int len = sizeof(arr);
myfunc(arr, len + 1);
return 0;
}
GitHub вище за течією .
Складіть і запустіть:
gcc -fstack-protector -g -O0 -std=c99 main.c
ulimit -c unlimited && rm -f core
./a.out
не вдається за бажанням:
*** stack smashing detected ***: ./a.out terminated
Aborted (core dumped)
Тестовано на Ubuntu 16.04, GCC 6.4.0.
Розбирання
Тепер ми розглянемо розбирання:
objdump -D a.out
який містить:
int main (void){
400579: 55 push %rbp
40057a: 48 89 e5 mov %rsp,%rbp
# Allocate 0x10 of stack space.
40057d: 48 83 ec 10 sub $0x10,%rsp
# Put the 8 byte canary from %fs:0x28 to -0x8(%rbp),
# which is right at the bottom of the stack.
400581: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax
400588: 00 00
40058a: 48 89 45 f8 mov %rax,-0x8(%rbp)
40058e: 31 c0 xor %eax,%eax
char arr[] = {'a', 'b', 'c', 'd'};
400590: c6 45 f4 61 movb $0x61,-0xc(%rbp)
400594: c6 45 f5 62 movb $0x62,-0xb(%rbp)
400598: c6 45 f6 63 movb $0x63,-0xa(%rbp)
40059c: c6 45 f7 64 movb $0x64,-0x9(%rbp)
int len = sizeof(arr);
4005a0: c7 45 f0 04 00 00 00 movl $0x4,-0x10(%rbp)
myfunc(arr, len + 1);
4005a7: 8b 45 f0 mov -0x10(%rbp),%eax
4005aa: 8d 50 01 lea 0x1(%rax),%edx
4005ad: 48 8d 45 f4 lea -0xc(%rbp),%rax
4005b1: 89 d6 mov %edx,%esi
4005b3: 48 89 c7 mov %rax,%rdi
4005b6: e8 8b ff ff ff callq 400546 <myfunc>
return 0;
4005bb: b8 00 00 00 00 mov $0x0,%eax
}
# Check that the canary at -0x8(%rbp) hasn't changed after calling myfunc.
# If it has, jump to the failure point __stack_chk_fail.
4005c0: 48 8b 4d f8 mov -0x8(%rbp),%rcx
4005c4: 64 48 33 0c 25 28 00 xor %fs:0x28,%rcx
4005cb: 00 00
4005cd: 74 05 je 4005d4 <main+0x5b>
4005cf: e8 4c fe ff ff callq 400420 <__stack_chk_fail@plt>
# Otherwise, exit normally.
4005d4: c9 leaveq
4005d5: c3 retq
4005d6: 66 2e 0f 1f 84 00 00 nopw %cs:0x0(%rax,%rax,1)
4005dd: 00 00 00
Зверніть увагу на корисні коментарі автоматично доданий objdump
«S штучного інтелекту модуль .
Якщо ви запустите цю програму кілька разів через GDB, ви побачите, що:
- канарка щоразу отримує інше випадкове значення
- останній цикл -
myfunc
це саме те, що змінює адресу канарки
Канари рандомізовані, встановивши його за допомогою %fs:0x28
, яке містить випадкове значення, як пояснено в:
Налагодження спроб
Відтепер ми змінюємо код:
myfunc(arr, len + 1);
бути замість цього:
myfunc(arr, len);
myfunc(arr, len + 1); /* line 12 */
myfunc(arr, len);
щоб бути цікавішим.
Тоді ми спробуємо зрозуміти, чи зможемо ми визначити + 1
виклик винуватця методом, більш автоматизованим, ніж просто читання та розуміння всього вихідного коду.
gcc -fsanitize=address
щоб увімкнути Sanitizer адреси Google (ASan)
Якщо ви перекомпілюєте цей прапор і запустите програму, він виводить:
#0 0x4008bf in myfunc /home/ciro/test/main.c:4
#1 0x40099b in main /home/ciro/test/main.c:12
#2 0x7fcd2e13d82f in __libc_start_main (/lib/x86_64-linux-gnu/libc.so.6+0x2082f)
#3 0x400798 in _start (/home/ciro/test/a.out+0x40079
Слідом за кольором ще більше.
Це чітко визначає проблемну лінію 12.
Вихідний код для цього знаходиться за адресою: https://github.com/google/sanitizers, але, як ми бачили з прикладу, він уже передається в GCC.
ASan також може виявити інші проблеми з пам'яттю, такі як витоки пам'яті: Як знайти витік пам'яті в коді / проекті C ++?
Valgrind SGCheck
Як зазначають інші , Вальгринд не дуже хороший у вирішенні подібної проблеми.
У нього є експериментальний інструмент під назвою SGCheck :
SGCheck - це інструмент для пошуку перевитрат стека та глобальних масивів. Це працює за допомогою евристичного підходу, отриманого на основі спостереження за ймовірними формами доступу до стеку та глобального масиву.
Тож я не дуже здивувався, коли не знайшов помилки:
valgrind --tool=exp-sgcheck ./a.out
Повідомлення про помилку має виглядати приблизно так : у Valgrind відсутня помилка
ГДБ
Важливим зауваженням є те, що якщо ви запускаєте програму через GDB або вивчаєте core
файл після факту:
gdb -nh -q a.out core
тоді, як ми бачили на зборах, GDB повинен вказати вам на завершення функції, яка перевірила канарку:
(gdb) bt
#0 0x00007f0f66e20428 in __GI_raise (sig=sig@entry=6) at ../sysdeps/unix/sysv/linux/raise.c:54
#1 0x00007f0f66e2202a in __GI_abort () at abort.c:89
#2 0x00007f0f66e627ea in __libc_message (do_abort=do_abort@entry=1, fmt=fmt@entry=0x7f0f66f7a49f "*** %s ***: %s terminated\n") at ../sysdeps/posix/libc_fatal.c:175
#3 0x00007f0f66f0415c in __GI___fortify_fail (msg=<optimized out>, msg@entry=0x7f0f66f7a481 "stack smashing detected") at fortify_fail.c:37
#4 0x00007f0f66f04100 in __stack_chk_fail () at stack_chk_fail.c:28
#5 0x00000000004005f6 in main () at main.c:15
(gdb) f 5
#5 0x00000000004005f6 in main () at main.c:15
15 }
(gdb)
І тому проблема, ймовірно, в одному з дзвінків, який зробила ця функція.
Далі ми намагаємося визначити точний невдалий дзвінок, спочатку однократно посилившись відразу після встановлення канарки:
400581: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax
400588: 00 00
40058a: 48 89 45 f8 mov %rax,-0x8(%rbp)
і переглядаючи адресу:
(gdb) p $rbp - 0x8
$1 = (void *) 0x7fffffffcf18
(gdb) watch 0x7fffffffcf18
Hardware watchpoint 2: *0x7fffffffcf18
(gdb) c
Continuing.
Hardware watchpoint 2: *0x7fffffffcf18
Old value = 1800814336
New value = 1800814378
myfunc (src=0x7fffffffcf14 "*****?Vk\266", <incomplete sequence \355\216>, len=5) at main.c:3
3 for (i = 0; i < len; ++i) {
(gdb) p len
$2 = 5
(gdb) p i
$3 = 4
(gdb) bt
#0 myfunc (src=0x7fffffffcf14 "*****?Vk\266", <incomplete sequence \355\216>, len=5) at main.c:3
#1 0x00000000004005cc in main () at main.c:12
Тепер це залишає нас за правильною інструкцією, що порушує: len = 5
і i = 4
, в цьому конкретному випадку, вказує нам на винуватця лінії 12.
Однак, backtrace зіпсований і містить трохи сміття. Правильне відступлення виглядатиме так:
#0 myfunc (src=0x7fffffffcf14 "abcd", len=4) at main.c:3
#1 0x00000000004005b8 in main () at main.c:11
тож, можливо, це може зіпсувати стек і завадити вам побачити слід.
Крім того, цей метод вимагає знати, що є останнім викликом функції перевірки канарів, інакше у вас з'являться помилкові позитиви, що не завжди буде здійснено, якщо ви не використовуєте зворотну налагодження .