由损坏的堆栈触发时捕获 SIGSEGV
Catching SIGSEGV when triggered by corrupt stack
我一直在研究一些有问题的代码,想安装一个 SIGSEGV 处理程序来获取有关崩溃的更多信息。但是,我注意到我的处理程序没有被调用。
我一直在寻找原因,它似乎与损坏的堆栈指针值有关(它肯定不会被屏蔽)。这是我编写的一些概念验证代码来验证:
static void catch_function(int sig, siginfo_t *info, void *cntxt)
{
puts("handler works");
}
void main(int argc, char **argv)
{
struct sigaction sa;
sa.sa_sigaction = (void *)catch_function;
sigemptyset (&sa.sa_mask);
sa.sa_flags = SA_SIGINFO | SA_NODEFER ;
sigaction(SIGSEGV, &sa, NULL);
puts("testing handler");
raise(SIGSEGV);
puts("back");
__asm__ ( "xor %rax, %rax\n\t"
"mov %rax, %rsp\n\t"
"push 0"
);
// never reached...
}
想法是将 RSP 设置为 0(无效偏移量),然后将其用于某些用途。但是,第二个 SIGSEGV 不会被处理程序捕获,而是会终止进程。
显然,调用信号处理程序需要一个正常的堆栈指针开始——但为什么呢?这不违背处理信号的想法吗?有机会解决这个问题吗?
我是 运行 Linux 版本 3.19.0-25-generic。
好的,下面是EOF评论后的上述问题的解决方案(使用sigaltstack()在堆上提供信号堆栈):
#include <stdio.h>
#define __USE_GNU
#include <signal.h>
#include <stdlib.h>
#include <ucontext.h>
static long long int sbase;
static void catch_function(int sig, siginfo_t *info, void *cntxt)
{
puts("handler works");
/* reset RSP if invalid */
ucontext_t *uc_context = (ucontext_t *)cntxt;
if(!uc_context->uc_mcontext.gregs[REG_RSP])
{
puts("resetting RSP");
uc_context->uc_mcontext.gregs[REG_RSP] = sbase;
}
}
void main(int argc, char **argv)
{
/* RSP during main */
sbase = (long long int)&argv;
stack_t ss;
struct sigaction sa;
ss.ss_sp = malloc(SIGSTKSZ);
ss.ss_size = SIGSTKSZ;
ss.ss_flags = 0;
sigaltstack(&ss, NULL);
sa.sa_sigaction = (void *)catch_function;
sigemptyset (&sa.sa_mask);
sa.sa_flags = SA_SIGINFO | SA_NODEFER | SA_ONSTACK;
sigaction(SIGSEGV, &sa, NULL);
puts("testing handler");
raise(SIGSEGV);
puts("back");
__asm__ (
"xor %rax, %rax\n\t"
"mov %rax, %rsp\n\t"
"push %rax\n\t"
"pop %rax" );
puts("exiting.");
}
备用信号堆栈分配在堆上并使用sigaltstack(&ss,NULL)注册。此外,SA_ONSTACK 标志在 sigaction 结构中设置,以启用用于此特定操作的替代堆栈。
这基本上解决了我的问题,因为现在我们看到无穷无尽的 SIGSEGV 被捕获。毕竟上面的catch_function()对于修复无效的栈指针作用不大。作为解决方案,我现在将 main() 的有效堆栈指针存储在 sbase 中,如果它无效(通过操作保存的线程上下文),则使用它在处理程序中恢复它。
为了完成所有这些工作,我还修复了我的内联程序集,使其不仅能压入一个值,还能在之后将其弹出,因此堆栈高度保持不变。为了可复制性,我这次也把includes也包含进去了。
我一直在研究一些有问题的代码,想安装一个 SIGSEGV 处理程序来获取有关崩溃的更多信息。但是,我注意到我的处理程序没有被调用。
我一直在寻找原因,它似乎与损坏的堆栈指针值有关(它肯定不会被屏蔽)。这是我编写的一些概念验证代码来验证:
static void catch_function(int sig, siginfo_t *info, void *cntxt)
{
puts("handler works");
}
void main(int argc, char **argv)
{
struct sigaction sa;
sa.sa_sigaction = (void *)catch_function;
sigemptyset (&sa.sa_mask);
sa.sa_flags = SA_SIGINFO | SA_NODEFER ;
sigaction(SIGSEGV, &sa, NULL);
puts("testing handler");
raise(SIGSEGV);
puts("back");
__asm__ ( "xor %rax, %rax\n\t"
"mov %rax, %rsp\n\t"
"push 0"
);
// never reached...
}
想法是将 RSP 设置为 0(无效偏移量),然后将其用于某些用途。但是,第二个 SIGSEGV 不会被处理程序捕获,而是会终止进程。
显然,调用信号处理程序需要一个正常的堆栈指针开始——但为什么呢?这不违背处理信号的想法吗?有机会解决这个问题吗?
我是 运行 Linux 版本 3.19.0-25-generic。
好的,下面是EOF评论后的上述问题的解决方案(使用sigaltstack()在堆上提供信号堆栈):
#include <stdio.h>
#define __USE_GNU
#include <signal.h>
#include <stdlib.h>
#include <ucontext.h>
static long long int sbase;
static void catch_function(int sig, siginfo_t *info, void *cntxt)
{
puts("handler works");
/* reset RSP if invalid */
ucontext_t *uc_context = (ucontext_t *)cntxt;
if(!uc_context->uc_mcontext.gregs[REG_RSP])
{
puts("resetting RSP");
uc_context->uc_mcontext.gregs[REG_RSP] = sbase;
}
}
void main(int argc, char **argv)
{
/* RSP during main */
sbase = (long long int)&argv;
stack_t ss;
struct sigaction sa;
ss.ss_sp = malloc(SIGSTKSZ);
ss.ss_size = SIGSTKSZ;
ss.ss_flags = 0;
sigaltstack(&ss, NULL);
sa.sa_sigaction = (void *)catch_function;
sigemptyset (&sa.sa_mask);
sa.sa_flags = SA_SIGINFO | SA_NODEFER | SA_ONSTACK;
sigaction(SIGSEGV, &sa, NULL);
puts("testing handler");
raise(SIGSEGV);
puts("back");
__asm__ (
"xor %rax, %rax\n\t"
"mov %rax, %rsp\n\t"
"push %rax\n\t"
"pop %rax" );
puts("exiting.");
}
备用信号堆栈分配在堆上并使用sigaltstack(&ss,NULL)注册。此外,SA_ONSTACK 标志在 sigaction 结构中设置,以启用用于此特定操作的替代堆栈。
这基本上解决了我的问题,因为现在我们看到无穷无尽的 SIGSEGV 被捕获。毕竟上面的catch_function()对于修复无效的栈指针作用不大。作为解决方案,我现在将 main() 的有效堆栈指针存储在 sbase 中,如果它无效(通过操作保存的线程上下文),则使用它在处理程序中恢复它。
为了完成所有这些工作,我还修复了我的内联程序集,使其不仅能压入一个值,还能在之后将其弹出,因此堆栈高度保持不变。为了可复制性,我这次也把includes也包含进去了。