stack-protector-strong
Improve protection against stack buffer overflows
Much like its predecessor, stack-protector, stack-protector-strong protects against stack buffer overflows, but additionally provides coverage for more array types, as the original only protected character arrays. Stack-protector-strong was implemented by Han Shen and added to the gcc 4.9 compiler.
Android 7.0 的内核安全更新中,引入了 stack-protector-strong
。
更早的是 -fstack-protector
与 -fstack-protector-all
选项,但它们各自都有缺点,Chrome OS 的编译器团队目测有强迫症,设计了 stack-protector-strong
。
-fstack-protector 的缺点
仅对使用>=8字节(–param=ssp-buffer-size=N, 默认N=8)的char数组的函数提供保护,因此其保护能力有限。
-fstack-protector-all 的缺点
所有函数都会加入检测,1)会增加程序体积,2)占用栈空间,尤其内核栈空间固定的情况;可以认为这都不是好的设计。
-fstack-protector-strong
再来看一下 stack-protector-strong
选项,它对是否在函数中加入canary有其筛选原则,总结起来有几条:
- 当本地变量的***地址***,作为赋值表达式右值 的一部分,或作为函数参数
- 当本地变量是数组(或包含数组的union 类型),不管数组大小与类型
- 使用 register 类型的本地变量(*)(uses register local variables)
第3点未能验证,可能理解有误?
通过汇编代码,对比一下:
zzhiyuan@ubuntu:~/exploits/test$ cat register.c
#include <stdio.h>
void c (long a)
{
printf ("%ld\n", a);
}
/* local variable’s address used as part of function argument */
int a ()
{
int a = 10;
c((long)&a);
}
int b ()
{
register int *foo asm ("r12");
}
/* regardless of array length */
void d ()
{
char str[2] = {'A'};
}
/* regardless of array type */
void e ()
{
int a[10];
int i;
for (i = 0; i < 10; i++)
a[i] = 'A';
}
/* local variable’s address used as part of the right hand side of an assignment */
void f (int *b)
{
int a = 10;
b = &a;
}
int main ()
{
}
stack-protector-strong
选项编译结果如下:
00000000004005ca <a>: #本地变量地址作为函数参数
4005ca: 55 push %rbp
4005cb: 48 89 e5 mov %rsp,%rbp
4005ce: 48 83 ec 10 sub $0x10,%rsp
4005d2: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax
4005d9: 00 00
4005db: 48 89 45 f8 mov %rax,-0x8(%rbp)
4005df: 31 c0 xor %eax,%eax
4005e1: c7 45 f4 0a 00 00 00 movl $0xa,-0xc(%rbp)
4005e8: 48 8d 45 f4 lea -0xc(%rbp),%rax
4005ec: 48 89 c7 mov %rax,%rdi
4005ef: e8 b2 ff ff ff callq 4005a6 <c>
4005f4: 48 8b 55 f8 mov -0x8(%rbp),%rdx
4005f8: 64 48 33 14 25 28 00 xor %fs:0x28,%rdx
4005ff: 00 00
400601: 74 05 je 400608 <a+0x3e>
400603: e8 68 fe ff ff callq 400470 <__stack_chk_fail@plt>
400608: c9 leaveq
400609: c3 retq
000000000040060a <b>: #使用register类型变量,Why未印证?
40060a: 55 push %rbp
40060b: 48 89 e5 mov %rsp,%rbp
40060e: 5d pop %rbp
40060f: c3 retq
0000000000400610 <d>: #数组长度为2
400610: 55 push %rbp
400611: 48 89 e5 mov %rsp,%rbp
400614: 48 83 ec 10 sub $0x10,%rsp
400618: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax
40061f: 00 00
400621: 48 89 45 f8 mov %rax,-0x8(%rbp)
400625: 31 c0 xor %eax,%eax
400627: 66 c7 45 f0 00 00 movw $0x0,-0x10(%rbp)
40062d: c6 45 f0 41 movb $0x41,-0x10(%rbp)
400631: 48 8b 45 f8 mov -0x8(%rbp),%rax
400635: 64 48 33 04 25 28 00 xor %fs:0x28,%rax
40063c: 00 00
40063e: 74 05 je 400645 <d+0x35>
400640: e8 2b fe ff ff callq 400470 <__stack_chk_fail@plt>
400645: c9 leaveq
400646: c3 retq
0000000000400647 <e>: #数组类型为int
400647: 55 push %rbp
400648: 48 89 e5 mov %rsp,%rbp
40064b: 48 83 ec 40 sub $0x40,%rsp
40064f: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax
400656: 00 00
400658: 48 89 45 f8 mov %rax,-0x8(%rbp)
40065c: 31 c0 xor %eax,%eax
40065e: c7 45 cc 00 00 00 00 movl $0x0,-0x34(%rbp)
400665: eb 11 jmp 400678 <e+0x31>
400667: 8b 45 cc mov -0x34(%rbp),%eax
40066a: 48 98 cltq
40066c: c7 44 85 d0 41 00 00 movl $0x41,-0x30(%rbp,%rax,4)
400673: 00
400674: 83 45 cc 01 addl $0x1,-0x34(%rbp)
400678: 83 7d cc 09 cmpl $0x9,-0x34(%rbp)
40067c: 7e e9 jle 400667 <e+0x20>
40067e: 48 8b 45 f8 mov -0x8(%rbp),%rax
400682: 64 48 33 04 25 28 00 xor %fs:0x28,%rax
400689: 00 00
40068b: 74 05 je 400692 <e+0x4b>
40068d: e8 de fd ff ff callq 400470 <__stack_chk_fail@plt>
400692: c9 leaveq
400693: c3 retq
0000000000400694 <f>: #本地变量作为赋值表达式左值的一部分
400694: 55 push %rbp
400695: 48 89 e5 mov %rsp,%rbp
400698: 48 83 ec 20 sub $0x20,%rsp
40069c: 48 89 7d e8 mov %rdi,-0x18(%rbp)
4006a0: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax
4006a7: 00 00
4006a9: 48 89 45 f8 mov %rax,-0x8(%rbp)
4006ad: 31 c0 xor %eax,%eax
4006af: c7 45 f4 0a 00 00 00 movl $0xa,-0xc(%rbp)
4006b6: 48 8d 45 f4 lea -0xc(%rbp),%rax
4006ba: 48 89 45 e8 mov %rax,-0x18(%rbp)
4006be: 48 8b 45 f8 mov -0x8(%rbp),%rax
4006c2: 64 48 33 04 25 28 00 xor %fs:0x28,%rax
4006c9: 00 00
4006cb: 74 05 je 4006d2 <f+0x3e>
4006cd: e8 9e fd ff ff callq 400470 <__stack_chk_fail@plt>
4006d2: c9 leaveq
4006d3: c3 retq
默认编译时,使用的是-fstack-protector选项,其结果如下:
000000000040055a <a>:
40055a: 55 push %rbp
40055b: 48 89 e5 mov %rsp,%rbp
40055e: 48 83 ec 10 sub $0x10,%rsp
400562: c7 45 fc 0a 00 00 00 movl $0xa,-0x4(%rbp)
400569: 48 8d 45 fc lea -0x4(%rbp),%rax
40056d: 48 89 c7 mov %rax,%rdi
400570: e8 c1 ff ff ff callq 400536 <c>
400575: c9 leaveq
400576: c3 retq
0000000000400577 <b>:
400577: 55 push %rbp
400578: 48 89 e5 mov %rsp,%rbp
40057b: 5d pop %rbp
40057c: c3 retq
000000000040057d <d>:
40057d: 55 push %rbp
40057e: 48 89 e5 mov %rsp,%rbp
400581: 66 c7 45 f0 00 00 movw $0x0,-0x10(%rbp)
400587: c6 45 f0 41 movb $0x41,-0x10(%rbp)
40058b: 5d pop %rbp
40058c: c3 retq
000000000040058d <e>:
40058d: 55 push %rbp
40058e: 48 89 e5 mov %rsp,%rbp
400591: c7 45 cc 00 00 00 00 movl $0x0,-0x34(%rbp)
400598: eb 11 jmp 4005ab <e+0x1e>
40059a: 8b 45 cc mov -0x34(%rbp),%eax
40059d: 48 98 cltq
40059f: c7 44 85 d0 41 00 00 movl $0x41,-0x30(%rbp,%rax,4)
4005a6: 00
4005a7: 83 45 cc 01 addl $0x1,-0x34(%rbp)
4005ab: 83 7d cc 09 cmpl $0x9,-0x34(%rbp)
4005af: 7e e9 jle 40059a <e+0xd>
4005b1: 5d pop %rbp
4005b2: c3 retq
00000000004005b3 <f>:
4005b3: 55 push %rbp
4005b4: 48 89 e5 mov %rsp,%rbp
4005b7: 48 89 7d e8 mov %rdi,-0x18(%rbp)
4005bb: c7 45 fc 0a 00 00 00 movl $0xa,-0x4(%rbp)
4005c2: 48 8d 45 fc lea -0x4(%rbp),%rax
4005c6: 48 89 45 e8 mov %rax,-0x18(%rbp)
4005ca: 5d pop %rbp
4005cb: c3 retq
以上几种情况,函数内均未插入canary。仔细观察 -fstack-protector-stong
保护的对象,其实都是有可能被利用来执行任意代码的,比如若被赋值对象,或函数参数是一个函数指针,则修改其值会执行任意代码。
canary 对系统影响
Linux 从3.14内核开始,为-fstack-protector-strong增加了一个新的编译选项CONFIG_CC_STACKPROTECTOR_STRONG,并且原有选项CONFIG_CC_STACKPROTECTOR(对应-fstack-protector)修改为CONFIG_CC_STACKPROTECTOR_REGULAR。
以下是x86_64平台默认选项编译的内核对比数据。
编译选项 | 代码段大小(字节) | 被保护函数个数 / 函数总数 |
---|---|---|
no stack protector | 11430641 | 0 / 36110 |
CONFIG_CC_STACKPROTECTOR_REGULAR | 11468490 (+0.33%) | 1015 / 36110 (2.81%) |
CONFIG_CC_STACKPROTECTOR_STRONG | 11692790 (+2.24%) | 7401 / 36110 (20.5%) |
可以看出比起-fstack-protector-all,20.5%已经不错,在性能与安全之间找到了很好的折衷。
参考 :https://outflux.net/blog/archives/2014/01/27/fstack-protector-strong/
stack-protector-strong的更多相关文章
- 编译驱动模块时,出现“stack protector enabled but no compiler support”[解决办法]【转】
转自:http://blog.chinaunix.net/uid-26847859-id-3297170.html 原文地址:编译驱动模块时,出现“stack protector enabled bu ...
- Android: protecting the kernel
Linux内置安全机制 Address space separation/process isolation unix permissions DAC capabilities SELinux sec ...
- linux提权辅助工具(一):linux-exploit-suggester.sh
来自:https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh ...
- 深入linux kernel内核配置选项
============================================================================== 深入linux kernel内核配置选项 ...
- 一步一步学ROP之linux_x86篇
一步一步学ROP之linux_x86篇 作者:蒸米@阿里聚安全 一.序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过 ...
- CC_STACKPROTECTOR防内核堆栈溢出补丁分析【转】
转自:https://yq.aliyun.com/articles/1723 摘要: 作者:王智通 CC_STACKPROTECT补丁是Tejun Heo在09年给主线kernel提交的一个用来防 ...
- lfs遇到的一些问题--准备阶段
本机宿主系统archlinux,lfs SVN-20130711,参考文档 1.在离开或重新进入当前工作环境 (比如 su 成为 root 或者其他用户) 时不要忘记检查 $LFS 是否设置好. ec ...
- 转:一步一步学ROP之linux_x86篇 - 蒸米
原文地址:http://drops.wooyun.org/tips/6597 0×00 序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击 ...
- CSAPP 缓冲区溢出试验
缓冲区溢出试验是CSAPP课后试验之一,目的是: 更好的理解什么是缓冲区溢出 如何攻击带有缓冲区溢出漏洞的程序 如何编写出更加安全的代码 了解并理解编译器和操作系统为了让程序更加安全而提供的几种特性 ...
随机推荐
- Linux -- 之HDFS实现自动切换HA(全新HDFS)
Linux -- 之HDFS实现自动切换HA(全新HDFS) JDK规划 1.7及以上 https://blog.csdn.net/meiLin_Ya/article/details/8065094 ...
- Xshell中文乱码怎么处理?
改成如下图:
- select2中的ajax请求
下面介绍select2.js的方法,已经整理好文件,可以直接下载使用: 实现效果如下: 引用文件:select2.min.css jquery.js select2.full.min.js <h ...
- dubbo源码分析(一)-从xml到我们认识的Java对象
项目中用的dubbo的挺多的,然后随着自己对dubbo的慢慢深入,自己也希望能够了解dubbo的底层实现,这半年来一直在看dubbo的源码,有点断断续续的,于是准备写一个dubbo源码系列的分析文章, ...
- Docker私有仓库介绍
安装环境 Centos 7.4 64位 安装Docker yum install docker 说明:docker新版本的安装方式和以前不一样,这里只是为了能运行Harbar, 不展开. 安装Dock ...
- gradle set
gradle安装 1◆ gradle下载 http://services.gradle.org/distributions/ 2◆ 配置环境 =====>D:\envs\grad ...
- mybatis-ResultMappingResolver类信息
ResultMappingResolver类介绍 一个ResultMap元素对应一个ResultMap对象 resultMap元素中的idArg/result/association/collecti ...
- how to get ubuntu current default runlevel
[Purpose] Learning how to get ubuntu current default runlevel [Eevironment] Ubuntu 1 ...
- 原生js(form)验证,可以借鉴下思路,应用到工作中
我在工作中时常使用form验证,在目前的公司做的表单验证用的angular的form组件,对于一个有追求的前端,或者应用在移动端写个form验证,引入angular或者jquery组件等验证,难免显得 ...
- AdminLTE 文档
一个基于 bootstrap 的轻量级后台模板,这个前端界面个人感觉很清爽,对于一个大后端的我来说,可以减少较多的时间去承担前端的工作但又必须去独立去完成一个后台系统开发的任务,并且,文档还算比较齐全 ...