内核栈溢出保护

最新推荐文章于 2024-07-25 15:06:29 发布
原创 最新推荐文章于 2024-07-25 15:06:29 发布 · 5.6k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

linux内核中有个编译选项CC_STACKPROTECTOR用来开启GCC的stack-protector功能,
这个功能是在GCC4.9版本中引入,用来检测栈是否遭到溢出攻击。


目前我们用的版本中开启了这两个选项CONFIG_CC_STACKPROTECTOR、CONFIG_CC_STACKPROTECTOR_REGULAR。


编译器栈溢出保护原理:
函数栈存储结构,从栈底往上一般是形参,返回地址,控制信息(EBP),局部变量。
栈溢出往往是局部变量超过了他自身的存储位置,覆盖到了返回地址,
如果返回地址被恶意攻击者利用,就会导致执行攻击者设计的代码,造成安全隐患。
编译器对栈溢出的保护就是在控制信息前面多存储一个特殊的canary word,
函数返回时检测canary word是否有被改写,如果被改写,意味着发生了栈溢出。


以下面代码为例,看下栈溢出的过程:
int vulFunc() {
    char name[10];
    //…
    return 0;

}

图 1. 溢出前的函数栈
溢出前的函数栈
图 2. 溢出后的函数栈
溢出后的函数栈


如果能在运行时检测出这种破坏,就有可能对函数栈进行保护。目前的堆栈保护实现大多使用基于 “Canaries” 的探测技术来完成对这种破坏的检测。


GCC 4.9 中三个与堆栈保护有关的编译选项
-fstack-protector:
启用堆栈保护,不过只为局部变量中含有 char 数组的函数插入保护代码。
-fstack-protector-all:
启用堆栈保护,为所有函数插入保护代码。
-fno-stack-protector:
禁用堆栈保护。

jerry_ms
关注
GCC:堆栈溢出保护
风静如云的博客
07-13 5089
因此在开发阶段最好使用-fstack-protector-all编译选项已便于早期捕捉到堆栈溢出问题。-fstack-protector:启用堆栈保护,不过只为局部变量中含有 char。-fstack-protector-all:启用堆栈保护,为所有函数插入保护代码。-fstack-protector-strong:提供更广泛的堆栈保护。-fno-stack-protector:禁用堆栈保护。已放弃 (核心已转储)的函数插入保护代码。
【ARM Linux 系统稳定性分析入门及渐进 3 -- 栈溢出
CodingCos的博客
12-01 1874
是一块分配在栈之下的一块内存空间(假设栈stack是向下生长的),如图 2 所示,这样当栈 stack下溢时,就能在保护区留下痕迹 trace。,当子函数调用过程中,并不会去改变这些值的时候,就不需要压栈,说白了,压栈的目的就是为了在使用完的时候能恢复原来的状态。每个进程都会有自己的栈空间,而进程中的各个函数也会维护自己本身的一个栈的区域,这个区域就是。一般栈向下生长,即从高地址到低地址,如果栈空间不足,发生下溢,则栈之下的内存空间被写入。把栈空间填充成固定的值可以检测栈空间的下溢,如在程序开始前填充。
linux内核堆栈保护浅析
whuzm08的专栏
05-25 9984
一 启用方式 打开配置CONFIG_CC_STACKPROTECTOR,重新编译内核即可。 二 工作原理 搜索配置CONFIG_CC_STACKPROTECTOR产生的影响,可得到如下结果: 1.include/linux/stackprotector.h #ifdef CONFIG_CC_STACKPROTECTOR # include #else static inl
2024年Linux最新Linux内核 防御机制分析_内核保护机制(1),15个经典面试问题
2401_83947398的博客
05-09 784
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
linux关闭栈保护机制,禁用GCC中的堆栈保护不起作用
weixin_42129970的博客
05-14 1954
我正在尝试使用带有strcpy的经典溢出使用此函数重新创建堆栈缓冲区溢出:#include #include void main(int argc, char **argv) {char buf[100];strcpy(buf,argv[1]);printf("Done!\n");}我已经尝试使用所有各种标志进行编译,以便删除堆栈保护gcc -o vuln vuln.c -fno-stack-pr...
linux编译选项-fno-stack-protector/-m32
公众号shadow sock7
07-11 7035
#默认的编译选项 cqq@kali:~/CTF$ gcc vuln.c -o vuln1 # -fno-stack-protector 禁用保护措施 cqq@kali:~/CTF$ gcc vuln.c -o vuln2 -fno-stack-protector # -m32 表示在64位系统下编译32位的二进制文件,需要额外的库支持 cqq@kali:~/CTF$ gcc vuln.c -o ...
Linux日志保护机制,解读Linux安全机制之栈溢出保护
weixin_42407606的博客
05-06 1394
解读Linux安全机制之栈溢出保护0x00 概述栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护...
栈溢出攻击原理与防范
weixin_73512511的博客
07-25 1183
函数调用栈(Call Stack)是一种数据结构,用于管理程序中的函数调用。在调用函数时,计算机需要一种方式来跟踪函数的执行位置,以便函数执行完毕后能够返回到调用它的位置继续执行。函数调用栈就是用来实现这一目的的。返回地址:调用函数后的下一条指令的地址。局部变量:被调用函数中声明的局部变量。传递参数:从调用函数传递给被调用函数的参数。保存的寄存器值:某些寄存器的值,因为在函数执行过程中可能会被修改,所以在进入函数时需要先保存起来,以便在函数返回时能够恢复。每次函数调用都会在栈上创建一个。
FreeRTOS——栈溢出保护
weixin_44567318的博客
07-28 4023
FreeRTOS——堆栈溢出保护堆栈使用堆栈溢出检测 - 方法 1 堆栈使用 每个任务都维护自己的堆栈。如果使用xTaskCreate()创建任务,则用作任务堆栈的内存会从 FreeRTOS 堆自动分配 ,并通过传递给 xTaskCreate() API 函数的参数来确定大小。如果使用xTaskCreateStatic()创建任务,则用作任务堆栈的内存由应用程序设计者预先分配。堆栈溢出是应用程序不稳定的一个非常常见的原因。因此,FreeRTOS 提供了两种可选机制,可用于协助检测和纠正此类事件。使用的选项由
gcc-stack-protector机制
热门推荐
飞翔de刺猬
04-16 1万+
GCC “stack smashing detected”机制相信使用C/C++语言开发软件的程序猿们都经历过‘栈溢出’的问题。‘栈溢出’问题通常十分的隐蔽,有的时候问题复现也十分的困难。每当软件出现莫名其妙的问题时,总是有人怀疑是不是栈溢出了,但是问题的排查又十分的困难,所以,‘栈溢出’就是广大C/C++开发者的噩梦。大家不禁要问有没有通用的方法来避免或者来检测’栈溢出‘问题呢?其实,’栈溢出‘问
gcc选项-stack-protector栈保护机制
qq_41573572的博客
03-20 3180
`stack-protector`是一个安全相关的编译器选项,用于防止栈溢出攻击。当启用这个选项时,编译器会在函数的栈帧中插入一个称为"canary"的特殊值,并在函数返回之前检查这个值是否被篡改。如果"canary"值发生变化,这意味着栈被非法修改,编译器会触发一个信号(通常是`SIGABRT`),导致程序异常终止。这样可以防止攻击者通过栈溢出来执行任意代码。
内核态栈 && 用户态栈
lyndon
04-26 1922
“用户态栈”只用于程序的函数调用,不参与进程切换或从用户态切换到内核态的相关操作。在进行进程切换或从用户态切换到内核态时,操作系统会使用“内核态栈”来存储关键的状态信息和寄存器值。
关于GCC的stack-protector选项
TCP/IP
06-02 6828
初看起来,觉得GCC的-fstack-protector选项并不是很好用,它对栈帧的保护程度非常有限! 该选项只能发现 guard被冲刷掉的情况 。面对精准的返回地址替换,guard变量是无能为力的,比如下面: #include <stdio.h> #include <stdlib.h> unsigned long orig; void stub_func() { u...
CC_STACKPROTECTOR防止内核stack溢出补丁分析
12-01 3459
CC_STACKPROTECT补丁是Tejun Heo在09年给主线kernel提交的一个用来防止内核堆栈溢出的补丁。默认的config是将这个选项关闭的,可以在编译内核的时候, 修改.config文件为CONFIG_CC_STACKPROTECTOR=y来启用。未来飞天内核可以将这个选项开启来防止利用内核stack溢出的0day攻击。 这个补丁的防溢出原理是: 在进程启动的时候, 在每个
Linux 内核安全增强—— stack canary
weixin_71478434的博客
08-30 1829
per-cpu 变量的引入是为了实现per-task的stack canary, 每个cpu上同时只能运行一个进程/线程, per cpu变量可以随进程的切换而切换,故通过一个per-cpu变量完全可以为每个进程/线程解引用到不同的canary地址(后续称为per-cpu canary),以实现per-task的canary.默认stack canary使用全局符号(变量) __stack_chk_guard 作为原始的canary(后续称为全局canary), 在gcc/clang中均使用相同的名字...
内核stack_protector导致异常崩溃
wxywxywxy110的博客
11-06 1127
##问题描述: DMA写完数据后,产生DMA中断,中断中wake_up_interruptible唤醒等待队列(wait_event_interruptible_timeout),唤醒后,中断上下文程序会先执行,但偶尔唤醒的进程上下文会先于中断上下文执行。某次wake_up_interruptible唤醒等待队列后导致内核崩溃。崩溃堆栈打印pc是在__wake_up_common_lock,大致如下: Unable to handle kernel NULL pointer dereference at v
Linux缓冲区保护机制
山高路远
04-10 3764
前言 为了更好地对缓冲区进行利用,十分有必要了解一下checksec所检查出的漏洞缓解措施都意味着什么 如图上所示,RELRO、Stack、NX、PIE四种保护机制,下方介绍时,括号里的是在Windows系统中的名称 以下主要来源于《从0到1CTFer成长之路》 一、NX(DEP) NX即是No-execute,不可执行。原理是通过现代操作系统的内存保护单元机制(MPU)对程序内存按页的粒度进行权限设置,其基本规则为可写权限与可执行权限互斥。因此开启了NX的程序代表着堆栈上写入的代码数据将不可被执行,也就
CC_STACKPROTECTOR防内核堆栈溢出补丁分析【转】
weixin_34416754的博客
12-23 306
转自:https://yq.aliyun.com/articles/1723 摘要: 作者:王智通   CC_STACKPROTECT补丁是Tejun Heo在09年给主线kernel提交的一个用来防止内核堆栈溢出的补丁。默认的config是将这个选项关闭的,可以在编译内核的时候, 修改.config文件为CONFIG_CC_STACKPROTECTOR=y来启... 作者:王智通   ...
当发生内核栈溢出时,如何通过 dump_stack() 分析调用链?
最新发布
07-01
<think>我们讨论的是Linux内核栈溢出时如何利用dump_stack()分析函数调用链。根据引用[2]和引用[3],我们可以得到以下关键点: 1. **内核栈溢出检测机制**:当内核配置了`CONFIG_DEBUG_STACKOVERFLOW`时,内核会在任务栈的底部(或顶部,取决于架构)设置一个特殊的魔数(canary值)。如果这个值被改变,说明发生了栈溢出,此时内核会触发栈溢出处理。 2. **dump_stack()的作用**:当检测到栈溢出时,内核会调用`dump_stack()`函数,该函数会打印出当前的函数调用链(即堆栈回溯信息),帮助开发者定位问题。3.**如何启用**:需要在内核配置中启用以下选项:-`CONFIG_DEBUG_STACKOVERFLOW`:启用栈溢出检测。- `CONFIG_FRAME_POINTER`(引用[2]):启用帧指针,这样`dump_stack()`可以得到更准确的调用链。4.**分析步骤**:-在发生栈溢出时,内核会打印出调用栈信息(通过`dump_stack()`)。-开发者可以通过这些信息查看是从哪个函数开始,调用链是怎样的,从而定位导致栈溢出的函数。 5. **示例**:引用[3]虽然展示的是用户空间的栈溢出(在GDB中使用`bt`命令查看调用栈),但在内核空间类似,只是获取方式不同(通过内核日志)。 现在,我们具体说明如何在Linux内核栈溢出时利用`dump_stack()`分析函数调用链:###步骤1:配置内核以支持栈溢出检测和帧指针在编译内核前,确保以下配置被启用:```kconfigCONFIG_DEBUG_STACKOVERFLOW=yCONFIG_FRAME_POINTER=y```可以通过`makemenuconfig`或直接修改`.config`文件来设置:- `Kernel hacking` ->`DebugOops,Lockupsand Hangs`-> `[*]Detectstack overflows`(即`CONFIG_DEBUG_STACKOVERFLOW`) -`Kernel hacking` ->`Compile-timechecks andcompiler options` ->`[*] Compile thekernel withframe pointers`(即`CONFIG_FRAME_POINTER`)###步骤2:触发栈溢出并获取调用链当内核任务栈溢出时,内核会检测到魔数被破坏,然后调用`dump_stack()`。该函数会将当前任务的调用链打印到内核日志(如通过`printk`)。例如,日志中可能出现类似以下的信息: ```------------[ cuthere ]------------kernel stackoverflow in: funcA+0x20/0x40CPU:0 PID:123 Comm: test_program Tainted:GW5.10.0#1Call Trace: [<ffffffff81234567>] funcA+0x20/0x40[<ffffffff81234567>]funcB+0x30/0x50[<ffffffff81234567>]funcC+0x40/0x60...更多调用链... ```###步骤3:分析调用链从调用链(Call Trace)中,我们可以从上到下(或从下到上,取决于架构)查看函数调用的顺序。最顶部的函数(在x86上通常是最后调用的函数)就是导致栈溢出的最近函数。我们需要检查这些函数中是否有大量的栈分配(如大数组、深度递归等)。 ###示例:模拟栈溢出并分析假设我们在内核模块中编写了一个递归函数导致栈溢出: ```c#include <linux/module.h> #include<linux/kernel.h>static voidrecursive_func(int depth) {charbuffer[1024];//每次递归分配1KB栈空间if (depth >0) {recursive_func(depth -1);} }static int__inittest_init(void){printk(KERN_INFO "Starting stackoverflow test\n");recursive_func(20); //递归20次,约20KB,超过默认内核栈大小(通常8KB或16KB)return0;} staticvoid __exit test_exit(void){printk(KERN_INFO "Module unloaded\n"); }module_init(test_init); module_exit(test_exit);MODULE_LICENSE("GPL");``` 当加载此模块时,会触发栈溢出内核会检测到并打印调用链。我们通过`dmesg`查看内核日志,可以看到类似:``` [123.456789] Startingstack overflowtest[123.456790] kernelstack overflowin:recursive_func+0x20/0x30[test_module][123.456791] CPU:0 PID:123 Comm: insmod Tainted:GO5.10.0 #1[123.456792] CallTrace:[123.456793][<ffffffffc0001000>] recursive_func+0x20/0x30 [test_module] [123.456794][<ffffffffc0001020>] recursive_func+0x40/0x30 [test_module][123.456795][<ffffffffc0001020>] recursive_func+0x40/0x30 [test_module] ...重复多次 ...[123.456796][<ffffffffc0001020>]recursive_func+0x40/0x30[test_module][123.456797][<ffffffffc0001040>]test_init+0x20/0x1000 [test_module] [123.456798][<ffffffff810022a7>]do_one_initcall+0x57/0x1e0...其他内核初始化函数 ...``` 从调用链中,我们看到`recursive_func`被递归调用了多次,最终导致栈溢出。 ###注意事项1. **栈大小**:内核栈大小有限(通常8KB或16KB),因此应避免在栈上分配大数组或深度递归。 2. **调试符号**:为了调用链中的函数名可读,需要确保内核或模块编译时带有调试符号(`CONFIG_DEBUG_INFO`)。3.**实时性**:栈溢出可能导致系统不稳定,因此有时可能无法完整打印调用链。在这种情况下,可以结合`kdump`和`crash`工具分析vmcore(引用[1]提到的coredump机制在内核层面的应用)。###相关问题1.如何配置Linux内核以捕获栈溢出?2.内核栈大小是多少?如何调整?3.除了`dump_stack()`,还有哪些内核调试手段可以分析栈溢出?4.用户态程序栈溢出内核栈溢出有何异同?5.如何在内核模块中安全地使用递归?通过以上步骤,我们可以利用`dump_stack()`在内核栈溢出时获取函数调用链,从而定位问题代码。</think>### Linux 内核栈溢出时利用 `dump_stack()` 分析函数调用链指南 #### 一、核心原理与配置 1. **栈溢出检测机制** - 内核通过 `CONFIG_DEBUG_STACKOVERFLOW` 启用栈溢出保护[^2] - 在栈底设置 "金丝雀值" (canary),当该值被覆盖时触发溢出检测 - 溢出时会强制切换到安全栈(Overflow Stack)执行诊断代码 2. **关键配置选项** 编译内核时需启用: ```kconfig CONFIG_DEBUG_STACKOVERFLOW=y # 启用栈溢出检测 CONFIG_FRAME_POINTER=y # 启用帧指针(确保完整调用链)[^2] ``` #### 二、`dump_stack()` 工作流程 当检测到栈溢出时,内核自动触发: ```mermaid graph LR A[栈溢出发生] --> B[检测金丝雀值损坏] B --> C[切换到 Overflow Stack] C --> D[调用 dump_stack()] D --> E[打印函数调用链到内核日志] E --> F[安全终止进程] ``` #### 三、实战分析步骤 1. **触发栈溢出** 示例代码(内核模块): ```c #include <linux/module.h> void recursive_func(int depth) { char buffer[1024]; // 大局部变量消耗栈空间 if (depth > 0) recursive_func(depth - 1); // 深度递归 } static int __init test_init(void) { recursive_func(20); // 触发溢出 return 0; } module_init(test_init); ``` 2. **获取调用链信息** 内核日志会输出类似内容: ``` [ 123.456789] Kernel stack overflow in process: test_module/pid:789 [ 123.456790] Call Trace: [ 123.456791] [<ffffffff81234567>] recursive_func+0x20/0x40 [ 123.456792] [<ffffffff81234589>] recursive_func+0x42/0x40 [ 123.456793] [<ffffffff81234589>] recursive_func+0x42/0x40 [ 123.456794] [<ffffffff810022a7>] test_init+0x57/0x80 [ 123.456795] [<ffffffff81001234>] do_one_initcall+0x44/0x1d0 ``` 3. **符号解析与定位** 使用 `addr2line` 工具解析地址: ```bash addr2line -e vmlinux 0x81234567 # 解析 recursive_func 位置 addr2line -e vmlinux 0x810022a7 # 解析 test_init 位置 ``` 输出示例: ``` /path/to/kernel/source/file.c:123 # 精确到源码行号 ``` #### 四、关键分析技巧 1. **调用链解读** - 从下往上读:最底部是初始调用点(`test_init`) - 从上往下读:最顶部是崩溃点(最近的递归调用) - 重复出现的函数:表明递归深度(如示例中的 `recursive_func`) 2. **栈消耗分析** 计算单次调用栈消耗: ```c sizeof(buffer) + 函数调用开销 ≈ 1024 + 32 = 1056 bytes ``` 总消耗 = 递归深度 × 单次消耗(示例中 20 × 1056 ≈ 20KB) 3. **结合 GDB 调试** 加载内核镜像: ```bash gdb vmlinux (gdb) list *recursive_func+0x20 # 查看对应汇编代码 (gdb) disas recursive_func # 反汇编函数 ``` #### 五、典型错误模式识别 | 模式 | 原因 | 解决方案 | |------|------|----------| | 重复同一函数 | 无限递归 | 添加终止条件 | | 栈分配大数组 | 局部变量过大 | 改用动态分配 | | 中断嵌套过深 | 中断处理耗时 | 优化中断处理 | #### 六、高级调试技巧 1. **栈跟踪增强** 启用 `CONFIG_STACKTRACE` 获取更详细信息: ```c dump_stack(); print_stack_trace(current->stack_trace, 0); // 增强版堆栈 ``` 2. **动态探测** 在可疑函数插入探测点: ```c #include <linux/stacktrace.h> void debug_func() { unsigned long entries[32]; struct stack_trace trace = { .entries = entries, .max_entries = ARRAY_SIZE(entries), }; save_stack_trace(&trace); print_stack_trace(&trace, 0); } ``` 3. **性能监控** 使用 `CONFIG_DEBUG_STACK_USAGE` 跟踪栈使用峰值: ```bash cat /proc/<pid>/stack # 查看实时栈使用 ``` #### 七、常见问题解决 1. **调用链不完整** - 确保启用 `CONFIG_FRAME_POINTER`[^2] - 检查编译器优化级别(-O0 调试更准确) 2. **符号解析失败** - 保存内核编译时的 `System.map` 文件 - 使用 `vmlinux-with-debuginfo` 镜像 3. **日志被冲刷** - 增大内核日志缓冲区: ```bash dmesg -n 8 # 提高日志级别 ``` - 使用 `klogd` 实时保存日志 > 案例:某驱动模块因 8KB 局部数组导致栈溢出,通过 `dump_stack()` 定位到 `ioctl` 处理函数中的数组声明行[^3]。 --- ### 相关问题 1. 如何配置内核使 `dump_stack()` 包含更多调试信息? 2. 用户态程序栈溢出(如 `__stack_chk_fail`)与内核态有何差异?[^4] 3. 如何在内核模块中主动触发 `dump_stack()` 进行调试? 4. ARM 架构与 x86 架构的栈回溯实现有何区别? 5. 如何通过 `perf` 工具监控内核栈使用情况?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值