Volatile/modified return 地址
Volatile/modified return address
考虑如下所示的 C 函数(带有外部链接):
void f(void **p)
{
/* do something with *p */
}
现在假设 f 的调用方式使得 p 指向堆栈上 f 的 return 地址,如以下代码所示(假设系统 V AMD64 ABI):
leaq -8(%rsp), %rdi
callq f
可能发生的情况是f的代码通过给*p赋值修改了栈上的return地址。因此,编译器必须将堆栈上的 return 地址视为可变值。我如何告诉编译器,在我的例子中是 gcc,return 地址是可变的?
否则,至少在原则上,编译器可以为 f 生成以下代码:
pushq %rbp
movq 8(%rsp), %r10
pushq %r10
## do something with (%rdi)
popq %r10
popq %rbp
addq 8,%rsp
jmpq *%r10
诚然,编译器不太可能生成这样的代码,但如果没有任何进一步的函数属性,似乎也不会被禁止。这段代码不会注意到堆栈上的 return 地址是否在函数中间被修改,因为原始 return 地址已经在函数开始时检索到。
P.S.: 正如 Peter Cordes 所建议的,我应该更好地解释我的问题的目的:它是关于使用移动垃圾收集器收集动态生成的机器代码的垃圾:函数 f代表垃圾收集器。 f 的被调用者可能是一个函数,其代码正在移动,而 f 是 运行,所以我想出了让 f 知道 [=38] 的想法=] 地址,以便 f 可以根据 return 地址指向的内存区域是否已移动来相应地修改它。
在 AMD64/x86-64 上使用 SysV ABI(Linux、FreeBSD、Solaris、Mac OS X / macOS),你只需要一个围绕实际垃圾收集器函数的简单汇编函数。
后面的f.s定义了void f(void *),调用真正的GC,real_f(void *, void **),增加的第二个参数指向return地址
.file "f.s"
.text
.p2align 4,,15
.globl f
.type f, @function
f:
movq %rsp, %rsi
call real_f
ret
.size f, .-f
如果 real_f() 已经有两个其他参数,请使用 %rdx(第三个)而不是 %rsi。如果三到五,分别使用 %rcx、%r8 或 %r9。 AMD64/x86-64 上的 SysV ABI 仅支持寄存器中最多六个非浮点参数。
让我们用一个小 example.c:
来测试上面的内容
#include <stdlib.h>
#include <stdio.h>
extern void f(void *);
void real_f(void *arg, void **retval)
{
printf("real_f(): Returning to %p instead of %p.\n", arg, *retval);
*retval = arg;
}
int main(void)
{
printf("Function and label addresses:\n");
printf("%p f()\n", f);
printf("%p real_f()\n", real_f);
printf("%p one_call:\n", &&one_call);
printf("%p one_fail:\n", &&one_fail);
printf("%p one_skip:\n", &&one_skip);
printf("\n");
printf("f(one_skip):\n");
fflush(stdout);
one_call:
f(&&one_skip);
one_fail:
printf("At one_fail.\n");
fflush(stdout);
one_skip:
printf("At one_skip.\n");
fflush(stdout);
return EXIT_SUCCESS;
}
请注意,以上内容依赖于 GCC 行为(&& 提供标签地址)以及 AMD64/x86-64 架构上的 GCC 行为(对象和函数指针可互换),以及因为 C 编译器没有对 main().
中的代码进行任何无数优化
(real_f()优化没关系,只是我懒得在main()中想出一个更好的例子。例如,在调用 f() 的可执行数据段,real_f() 移动该数据段,并相应地调整 return 地址。这将符合 OP 的场景,并且这几乎是唯一的实际用例我能想到的一种操作。相反,我只是破解了一个粗略的例子,它可能对其他人有用,也可能不起作用。)
此外,我们可能希望声明 f() 也有两个参数(它们将在 %rdi 和 %rsi 中传递),第二个是无关紧要的,以确保编译器不希望 %rsi 保持不变。 (如果我没记错的话,SysV ABI 让我们破坏它,但我可能记错了。)
在这台机器上,用
编译上面的内容
gcc -Wall -O0 f.s example.c -o example
运行它
./example
产生
Function and label addresses:
0x400650 f()
0x400659 real_f()
0x400729 one_call:
0x400733 one_fail:
0x40074c one_skip:
f(one_skip):
real_f(): Returning to 0x40074c instead of 0x400733.
At one_skip.
请注意,如果您告诉 GCC 优化代码(例如,-O2),它将对 main() 中的代码做出假设,这是 C 标准完全允许的,但是这可能会导致所有三个标签都具有完全相同的地址。这发生在我的特定机器和 GCC-5.4.0 上,当然会导致无限循环。它根本没有反映 f() 或 real_f() 的实现,只是我在 main() 中的示例很差。我很懒。
考虑如下所示的 C 函数(带有外部链接):
void f(void **p)
{
/* do something with *p */
}
现在假设 f 的调用方式使得 p 指向堆栈上 f 的 return 地址,如以下代码所示(假设系统 V AMD64 ABI):
leaq -8(%rsp), %rdi
callq f
可能发生的情况是f的代码通过给*p赋值修改了栈上的return地址。因此,编译器必须将堆栈上的 return 地址视为可变值。我如何告诉编译器,在我的例子中是 gcc,return 地址是可变的?
否则,至少在原则上,编译器可以为 f 生成以下代码:
pushq %rbp
movq 8(%rsp), %r10
pushq %r10
## do something with (%rdi)
popq %r10
popq %rbp
addq 8,%rsp
jmpq *%r10
诚然,编译器不太可能生成这样的代码,但如果没有任何进一步的函数属性,似乎也不会被禁止。这段代码不会注意到堆栈上的 return 地址是否在函数中间被修改,因为原始 return 地址已经在函数开始时检索到。
P.S.: 正如 Peter Cordes 所建议的,我应该更好地解释我的问题的目的:它是关于使用移动垃圾收集器收集动态生成的机器代码的垃圾:函数 f代表垃圾收集器。 f 的被调用者可能是一个函数,其代码正在移动,而 f 是 运行,所以我想出了让 f 知道 [=38] 的想法=] 地址,以便 f 可以根据 return 地址指向的内存区域是否已移动来相应地修改它。
在 AMD64/x86-64 上使用 SysV ABI(Linux、FreeBSD、Solaris、Mac OS X / macOS),你只需要一个围绕实际垃圾收集器函数的简单汇编函数。
后面的f.s定义了void f(void *),调用真正的GC,real_f(void *, void **),增加的第二个参数指向return地址
.file "f.s"
.text
.p2align 4,,15
.globl f
.type f, @function
f:
movq %rsp, %rsi
call real_f
ret
.size f, .-f
如果 real_f() 已经有两个其他参数,请使用 %rdx(第三个)而不是 %rsi。如果三到五,分别使用 %rcx、%r8 或 %r9。 AMD64/x86-64 上的 SysV ABI 仅支持寄存器中最多六个非浮点参数。
让我们用一个小 example.c:
#include <stdlib.h>
#include <stdio.h>
extern void f(void *);
void real_f(void *arg, void **retval)
{
printf("real_f(): Returning to %p instead of %p.\n", arg, *retval);
*retval = arg;
}
int main(void)
{
printf("Function and label addresses:\n");
printf("%p f()\n", f);
printf("%p real_f()\n", real_f);
printf("%p one_call:\n", &&one_call);
printf("%p one_fail:\n", &&one_fail);
printf("%p one_skip:\n", &&one_skip);
printf("\n");
printf("f(one_skip):\n");
fflush(stdout);
one_call:
f(&&one_skip);
one_fail:
printf("At one_fail.\n");
fflush(stdout);
one_skip:
printf("At one_skip.\n");
fflush(stdout);
return EXIT_SUCCESS;
}
请注意,以上内容依赖于 GCC 行为(&& 提供标签地址)以及 AMD64/x86-64 架构上的 GCC 行为(对象和函数指针可互换),以及因为 C 编译器没有对 main().
(real_f()优化没关系,只是我懒得在main()中想出一个更好的例子。例如,在调用 f() 的可执行数据段,real_f() 移动该数据段,并相应地调整 return 地址。这将符合 OP 的场景,并且这几乎是唯一的实际用例我能想到的一种操作。相反,我只是破解了一个粗略的例子,它可能对其他人有用,也可能不起作用。)
此外,我们可能希望声明 f() 也有两个参数(它们将在 %rdi 和 %rsi 中传递),第二个是无关紧要的,以确保编译器不希望 %rsi 保持不变。 (如果我没记错的话,SysV ABI 让我们破坏它,但我可能记错了。)
在这台机器上,用
编译上面的内容gcc -Wall -O0 f.s example.c -o example
运行它
./example
产生
Function and label addresses:
0x400650 f()
0x400659 real_f()
0x400729 one_call:
0x400733 one_fail:
0x40074c one_skip:
f(one_skip):
real_f(): Returning to 0x40074c instead of 0x400733.
At one_skip.
请注意,如果您告诉 GCC 优化代码(例如,-O2),它将对 main() 中的代码做出假设,这是 C 标准完全允许的,但是这可能会导致所有三个标签都具有完全相同的地址。这发生在我的特定机器和 GCC-5.4.0 上,当然会导致无限循环。它根本没有反映 f() 或 real_f() 的实现,只是我在 main() 中的示例很差。我很懒。