静态精灵图像设置的段 %fs 在哪里?
Where is segment %fs for static elf images setup?
我想知道 %fs 寄存器是如何初始化的
手工创建精灵图像时。
我想要 运行 的简单片段是:
.text
nop
movq %fs:0x28, %rax;
1: jmp 1b
应该在 %fs 段中的偏移量 0x28 处读取。通常这是存储 stack canary 的地方。因为我手动创建了 elf 图像,所以我的代码根本没有设置 %fs 段,这预期会失败(?)。
以下是我创建小精灵图像的方法:
0000000000000000 <.text>:
0: 90 nop
1: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax
8: 00 00
a: eb fe jmp 0xa
我通过
创建 .text 段
echo 9064488b042528000000ebfe | xxd -r -p > r2.bin
然后我转换成精灵:
ld -b binary -r -o raw.elf r2.bin
objcopy --rename-section .data=.text --set-section-flags .data=alloc,code,load raw.elf
那时 raw.elf 包含我的说明。然后我 link 与
ld -T raw.ld -o out.elf -M --verbose 其中 raw.ld 是:
OUTPUT_FORMAT("elf64-x86-64", "elf64-x86-64", "elf64-x86-64")
OUTPUT_ARCH(i386:x86-64)
ENTRY(_entry)
PHDRS {
phdr4000000 PT_LOAD;
}
SECTIONS
{
_entry = 0x4000000;
.text 0x4000000 : { raw.elf (.text) } :phdr4000000
}
我现在可以使用 gdb 启动 out.elf:
gdb --args out.elf
并在 0x4000000 设置断点:
(gdb)break *0x4000000
(gdb)run
第一个 nop 可以通过 stepi 步进,但是堆栈金丝雀读取 mov %fs:0x28,%rax 段错误。
我想这是预料之中的,因为 OS 可能没有设置 %fs。
对于使用 gcc --static m.c -o m 编译的简单 m.c: int main() { return 0; } 程序,我可以从 %fs 读取。添加:
long can()
{
long v = 0;
__asm__("movq %%fs:0x28, %0;"
: "=r"(val)::);
return v;
}
让我从 %fs 读取 - 尽管我怀疑 %fs:28 是否已设置,因为 ld.so 不是 运行(它是静态图像)。
问题:
谁能指出在 static 图像的 c 运行 时间设置 %fs 的位置?
您需要先使用 ARCH_SET_FS 参数调用 arch_prctl,然后才能使用 %fs 段前缀。您将必须在某处分配后备存储(brk、mmap 或堆栈的其他未使用部分)。
glibc 在 __libc_setup_tls in csu/libc-tls.c 中为静态链接的二进制文件执行此操作,隐藏在 TLS_INIT_TP 宏之后。
我想知道 %fs 寄存器是如何初始化的 手工创建精灵图像时。
我想要 运行 的简单片段是:
.text
nop
movq %fs:0x28, %rax;
1: jmp 1b
应该在 %fs 段中的偏移量 0x28 处读取。通常这是存储 stack canary 的地方。因为我手动创建了 elf 图像,所以我的代码根本没有设置 %fs 段,这预期会失败(?)。
以下是我创建小精灵图像的方法:
0000000000000000 <.text>:
0: 90 nop
1: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax
8: 00 00
a: eb fe jmp 0xa
我通过
创建 .text 段echo 9064488b042528000000ebfe | xxd -r -p > r2.bin
然后我转换成精灵:
ld -b binary -r -o raw.elf r2.bin
objcopy --rename-section .data=.text --set-section-flags .data=alloc,code,load raw.elf
那时 raw.elf 包含我的说明。然后我 link 与
ld -T raw.ld -o out.elf -M --verbose 其中 raw.ld 是:
OUTPUT_FORMAT("elf64-x86-64", "elf64-x86-64", "elf64-x86-64")
OUTPUT_ARCH(i386:x86-64)
ENTRY(_entry)
PHDRS {
phdr4000000 PT_LOAD;
}
SECTIONS
{
_entry = 0x4000000;
.text 0x4000000 : { raw.elf (.text) } :phdr4000000
}
我现在可以使用 gdb 启动 out.elf:
gdb --args out.elf
并在 0x4000000 设置断点:
(gdb)break *0x4000000
(gdb)run
第一个 nop 可以通过 stepi 步进,但是堆栈金丝雀读取 mov %fs:0x28,%rax 段错误。
我想这是预料之中的,因为 OS 可能没有设置 %fs。
对于使用 gcc --static m.c -o m 编译的简单 m.c: int main() { return 0; } 程序,我可以从 %fs 读取。添加:
long can()
{
long v = 0;
__asm__("movq %%fs:0x28, %0;"
: "=r"(val)::);
return v;
}
让我从 %fs 读取 - 尽管我怀疑 %fs:28 是否已设置,因为 ld.so 不是 运行(它是静态图像)。
问题:
谁能指出在 static 图像的 c 运行 时间设置 %fs 的位置?
您需要先使用 ARCH_SET_FS 参数调用 arch_prctl,然后才能使用 %fs 段前缀。您将必须在某处分配后备存储(brk、mmap 或堆栈的其他未使用部分)。
glibc 在 __libc_setup_tls in csu/libc-tls.c 中为静态链接的二进制文件执行此操作,隐藏在 TLS_INIT_TP 宏之后。