Linux x64 堆栈在信号处理程序中展开,以修改 return 地址
Linux x64 stack unwinding inside signal handler, to modify return address
我正在尝试修改调用堆栈上的 return 地址(向下一些级别)。当我在信号处理程序中时,我需要这样做。因此,我正在执行以下操作:
#include <csignal>
#include <cstdint>
#include <iostream>
// To print stacktrace
#include <execinfo.h>
#include <stdlib.h>
void printAround(uint64_t* p, int min=0, int max=3) {
for(int i = min; i <= max; ++i) {
std::cout << std::dec << ((i >= 0) ? " " : "") << i << ": "
<< std::hex
<< reinterpret_cast<uint64_t>(*(p + i))
<< std::dec << std::endl;
}
std::cout << "================================================" << std::endl;
}
void sigHandler(int signum) {
register uint64_t* EBP asm ("rbp");
printAround(EBP);
uint64_t *oldEBP = reinterpret_cast<uint64_t*>(*EBP);
printAround(oldEBP);
oldEBP = reinterpret_cast<uint64_t*>(*oldEBP);
printAround(oldEBP);
/* PRINT STACK TRACE!! POSSIBLY UNSAFE! */
void *array[10];
size_t size;
char **strings;
size_t i;
size = backtrace(array, 10);
strings = backtrace_symbols(array, size);
std::cout << "\nObtained " << size << " stack frames.\n";
for (i = 0; i < size; i++) {
std::cout << strings[i] << "\n";
}
free(strings);
/* END PRINT STACK TRACE !! */
}
int foo(void) {
std::raise(SIGTRAP);
return 5;
}
int baz(void) {
return foo() + 10;
}
int bar(void) {
return baz() + 15;
}
int main(int argc, char **argv) {
// SIGTRAP is 0xCC
std::signal(SIGTRAP, &sigHandler);
return bar();
}
对应的输出为:
0: 7ffda9664a10
1: 7faf5777c4b0
2: 1
3: 0
================================================
0: 7ffda9664a20
1: 557f2a7bdf21
2: 7ffda9664a30
3: 557f2a7bdf2f
================================================
0: 7ffda9664a30
1: 557f2a7bdf2f
2: 7ffda9664a50
3: 557f2a7bdf59
================================================
Obtained 9 stack frames.
./main(+0xe41) [0x557f2a7bde41]
/lib/x86_64-linux-gnu/libc.so.6(+0x354b0) [0x7faf5777c4b0]
/lib/x86_64-linux-gnu/libc.so.6(gsignal+0x38) [0x7faf5777c428]
./main(+0xf11) [0x557f2a7bdf11] => foo
./main(+0xf21) [0x557f2a7bdf21] => baz
./main(+0xf2f) [0x557f2a7bdf2f] => bar
./main(+0xf59) [0x557f2a7bdf59] => main
/lib/x86_64-linux-gnu/libc.so.6(__libc_start_main+0xf0) [0x7faf57767830]
./main(+0xba9) [0x557f2a7bdba9]
偏移量 0 是前一个堆栈的基指针,偏移量 1 是 return 地址。
正如在输出中看到的那样,第一个 return 地址是 libc 中的第一个函数,但下一个已经是 baz 而不是 foo 或另一个 libc功能如我所料。
当我删除信号处理程序并将打印堆栈的逻辑放在 foo 中时,我看到了我的所有函数:foo、baz、bar、 main...
我在这里错过了什么?我确实需要将 return 地址修改为触发信号的 中的函数,即 foo,但是在我的堆栈展开逻辑中跳过了这个地址 :(
P.S。我知道在信号处理程序中使用回溯 [2] 是不安全的,因为它会导致未定义的行为!似乎我在这里很幸运,当我删除所有回溯逻辑时问题仍然存在!
此外,如果有人有任何其他解决此问题的想法,我很高兴与您分享。我尝试将 __builtin_frame_address() 与参数 >0 一起使用,但这在信号处理程序 [1] 中崩溃了。好像有点不一样,具体是什么我也找不到资料了。
[1] https://gcc.gnu.org/onlinedocs/gcc/Return-Address.html
[2]https://www.gnu.org/software/libc/manual/html_node/Backtraces.html
嗯,我从哪里开始...
首先,恐怕 x64 默认没有帧指针,所以没有简单的方法通过 rbps 链来重建堆栈。此外,即使您使用 -fno-omit-frame-pointer 重新编译所有参与代码(包括 Glibc!),信号处理程序的框架也可能由内核以非常特殊的方式设置,因此不能保证您能够通过框架解除它指针。顺便说一句,这可能是 __builtin_frame_address 运行时失败的原因。
接下来你提到你想通过在编译器背后更改 return 地址来放松。没有什么比运行时崩溃更好的方法了。编译器在函数框架中保存了大量的关键信息。此信息由调用函数和被调用函数之间的严格契约保存(所谓的 "calling convention")。通过更改 return 地址,您将丢弃所有这些信息,并且很可能 return 将寄存器中的随机垃圾作为目标代码。
实现堆栈展开的唯一明智的方法是使用(或至少re-implement)现有的展开器(在libgcc, libunwind or, preferably, in libbacktrace中)。
从信号处理程序中修改 return 地址的解决方案首先需要一种不同的方法来注册信号处理程序。
首先输入代码:
#include <csignal>
#include <cstdint>
#include <iostream>
void signal_handler(int signal, siginfo_t *si, void *context)
{
const int return_delta = 2;
((ucontext_t*)context)->uc_mcontext.gregs[REG_RIP] += return_delta;
}
int foo(void)
{
asm(".byte 0xcc\n");
// "for(;;) ;" in a way that prevents the compiler from recognizing the
// remainder of the function as dead code and optimizing it away...
asm(".byte 0xEB\n");
asm(".byte 0xFE\n");
return 5;
}
int baz(void) {
return foo() + 10;
}
int bar(void) {
return baz() + 15;
}
int main(int argc, char **argv)
{
struct sigaction sa = {0};
sigemptyset(&sa.sa_mask);
sa.sa_sigaction = signal_handler;
sa.sa_flags = SA_SIGINFO;
// Install signal handler
sigaction(SIGTRAP, &sa, NULL);
// So that we see some output
size_t i{1000};
while(i--) {
std::cout << bar() << std::endl;
}
return 0;
}
sigaction 结合 sigaction 可用于将更多信息传递给信号处理程序。如果这样做,siginfo_t 将传递给信号处理程序,其中包含有关信号本身的各种信息。
另外一个 void *context 被传递给注册的信号处理程序,其中包含有关寄存器和堆栈状态的信息。您可以根据需要使用它来将 return 地址操纵到信号提升功能中。
请注意,这是高度特定于平台的,您应该使用 ucontext.h 来查看结构如何查找您的特定平台。
我正在尝试修改调用堆栈上的 return 地址(向下一些级别)。当我在信号处理程序中时,我需要这样做。因此,我正在执行以下操作:
#include <csignal>
#include <cstdint>
#include <iostream>
// To print stacktrace
#include <execinfo.h>
#include <stdlib.h>
void printAround(uint64_t* p, int min=0, int max=3) {
for(int i = min; i <= max; ++i) {
std::cout << std::dec << ((i >= 0) ? " " : "") << i << ": "
<< std::hex
<< reinterpret_cast<uint64_t>(*(p + i))
<< std::dec << std::endl;
}
std::cout << "================================================" << std::endl;
}
void sigHandler(int signum) {
register uint64_t* EBP asm ("rbp");
printAround(EBP);
uint64_t *oldEBP = reinterpret_cast<uint64_t*>(*EBP);
printAround(oldEBP);
oldEBP = reinterpret_cast<uint64_t*>(*oldEBP);
printAround(oldEBP);
/* PRINT STACK TRACE!! POSSIBLY UNSAFE! */
void *array[10];
size_t size;
char **strings;
size_t i;
size = backtrace(array, 10);
strings = backtrace_symbols(array, size);
std::cout << "\nObtained " << size << " stack frames.\n";
for (i = 0; i < size; i++) {
std::cout << strings[i] << "\n";
}
free(strings);
/* END PRINT STACK TRACE !! */
}
int foo(void) {
std::raise(SIGTRAP);
return 5;
}
int baz(void) {
return foo() + 10;
}
int bar(void) {
return baz() + 15;
}
int main(int argc, char **argv) {
// SIGTRAP is 0xCC
std::signal(SIGTRAP, &sigHandler);
return bar();
}
对应的输出为:
0: 7ffda9664a10
1: 7faf5777c4b0
2: 1
3: 0
================================================
0: 7ffda9664a20
1: 557f2a7bdf21
2: 7ffda9664a30
3: 557f2a7bdf2f
================================================
0: 7ffda9664a30
1: 557f2a7bdf2f
2: 7ffda9664a50
3: 557f2a7bdf59
================================================
Obtained 9 stack frames.
./main(+0xe41) [0x557f2a7bde41]
/lib/x86_64-linux-gnu/libc.so.6(+0x354b0) [0x7faf5777c4b0]
/lib/x86_64-linux-gnu/libc.so.6(gsignal+0x38) [0x7faf5777c428]
./main(+0xf11) [0x557f2a7bdf11] => foo
./main(+0xf21) [0x557f2a7bdf21] => baz
./main(+0xf2f) [0x557f2a7bdf2f] => bar
./main(+0xf59) [0x557f2a7bdf59] => main
/lib/x86_64-linux-gnu/libc.so.6(__libc_start_main+0xf0) [0x7faf57767830]
./main(+0xba9) [0x557f2a7bdba9]
偏移量 0 是前一个堆栈的基指针,偏移量 1 是 return 地址。
正如在输出中看到的那样,第一个 return 地址是 libc 中的第一个函数,但下一个已经是 baz 而不是 foo 或另一个 libc功能如我所料。
当我删除信号处理程序并将打印堆栈的逻辑放在 foo 中时,我看到了我的所有函数:foo、baz、bar、 main...
我在这里错过了什么?我确实需要将 return 地址修改为触发信号的 中的函数,即 foo,但是在我的堆栈展开逻辑中跳过了这个地址 :(
P.S。我知道在信号处理程序中使用回溯 [2] 是不安全的,因为它会导致未定义的行为!似乎我在这里很幸运,当我删除所有回溯逻辑时问题仍然存在!
此外,如果有人有任何其他解决此问题的想法,我很高兴与您分享。我尝试将 __builtin_frame_address() 与参数 >0 一起使用,但这在信号处理程序 [1] 中崩溃了。好像有点不一样,具体是什么我也找不到资料了。
[1] https://gcc.gnu.org/onlinedocs/gcc/Return-Address.html
[2]https://www.gnu.org/software/libc/manual/html_node/Backtraces.html
嗯,我从哪里开始...
首先,恐怕 x64 默认没有帧指针,所以没有简单的方法通过 rbps 链来重建堆栈。此外,即使您使用 -fno-omit-frame-pointer 重新编译所有参与代码(包括 Glibc!),信号处理程序的框架也可能由内核以非常特殊的方式设置,因此不能保证您能够通过框架解除它指针。顺便说一句,这可能是 __builtin_frame_address 运行时失败的原因。
接下来你提到你想通过在编译器背后更改 return 地址来放松。没有什么比运行时崩溃更好的方法了。编译器在函数框架中保存了大量的关键信息。此信息由调用函数和被调用函数之间的严格契约保存(所谓的 "calling convention")。通过更改 return 地址,您将丢弃所有这些信息,并且很可能 return 将寄存器中的随机垃圾作为目标代码。
实现堆栈展开的唯一明智的方法是使用(或至少re-implement)现有的展开器(在libgcc, libunwind or, preferably, in libbacktrace中)。
从信号处理程序中修改 return 地址的解决方案首先需要一种不同的方法来注册信号处理程序。
首先输入代码:
#include <csignal>
#include <cstdint>
#include <iostream>
void signal_handler(int signal, siginfo_t *si, void *context)
{
const int return_delta = 2;
((ucontext_t*)context)->uc_mcontext.gregs[REG_RIP] += return_delta;
}
int foo(void)
{
asm(".byte 0xcc\n");
// "for(;;) ;" in a way that prevents the compiler from recognizing the
// remainder of the function as dead code and optimizing it away...
asm(".byte 0xEB\n");
asm(".byte 0xFE\n");
return 5;
}
int baz(void) {
return foo() + 10;
}
int bar(void) {
return baz() + 15;
}
int main(int argc, char **argv)
{
struct sigaction sa = {0};
sigemptyset(&sa.sa_mask);
sa.sa_sigaction = signal_handler;
sa.sa_flags = SA_SIGINFO;
// Install signal handler
sigaction(SIGTRAP, &sa, NULL);
// So that we see some output
size_t i{1000};
while(i--) {
std::cout << bar() << std::endl;
}
return 0;
}
sigaction 结合 sigaction 可用于将更多信息传递给信号处理程序。如果这样做,siginfo_t 将传递给信号处理程序,其中包含有关信号本身的各种信息。
另外一个 void *context 被传递给注册的信号处理程序,其中包含有关寄存器和堆栈状态的信息。您可以根据需要使用它来将 return 地址操纵到信号提升功能中。
请注意,这是高度特定于平台的,您应该使用 ucontext.h 来查看结构如何查找您的特定平台。