LLVM PASS--虚函数保护

已于 2022-03-07 17:20:32 修改
阅读量4.6k 收藏 2
点赞数
分类专栏: 二进制 LLVM 文章标签: c++ 安全
于 2022-02-27 22:12:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Joliph/article/details/123170833
版权

虚函数实现分析

CPP实现:

#include <iostream>

class Test
{
public:
    Test() noexcept
    {
        printf("Test::Test()\n");
    }

    virtual ~Test()
    {
        printf("Virtual ~Test()\n");
    }

    virtual void prointer() = 0;
    virtual void pointf() = 0;
};

class TestA :public Test
{
public:
    TestA() noexcept
    {
        printf("TestA::TestA()\n");
    }

    virtual ~TestA()
    {
        printf("Virtual ~TestA()\n");
    }

    virtual void prointer()
    {
        printf("TestA::prointer\n");
    }

    virtual void pointf()
    {
        printf("TestA::pointf\n");
    }
};

int main()
{
    Test* pTest = new TestA;
    pTest->pointf();
    pTest->prointer();
    delete pTest;

    return 0;
}

执行输出结果:

Test::Test()
TestA::TestA()
TestA::pointf
TestA::prointer
Virtual ~TestA()
Virtual ~Test()

Test*类型的pTest变量是如何感知到TestA变量的pointf实现的呢?
IDA
通过函数指针数组访问的,new的是Test则指针数组指向Test的函数地址,TestA指向TestA的函数地址,即原因
结合IDA分析可知虚函数调用逻辑如下图
struct
示意图

虚函数攻击&保护

攻击原理概述:虚函数属于间接跳转,如果TestA对象的第一个指针(pVirtualTable)被修改则访问的函数即为攻击者所提供
保护原理概述:CFI即控制流完整性保护,以各种角度验证vtable的间接访问是否合法

llvm-pass动态插件部署

见上一篇文章:LLVM 13.1 new Pass插件形式 [for win]
建议自行使用文件硬链接创建clang目录下的插件"链接",方便后期测试执行

虚函数调用的LLVM-IR解析

输入命令clang vcallTest.cpp -S -emit-llvm -o vcallTest.ll 生成该CPP的llvm ir形式的人类可读文件,详细注释如下

# 定义一个返回类型是i32(int),参数为空的main函数
define dso_local i32 @main() #0 {
    # alloca指令在栈帧上分配的局部变量,访问或存储时必须使用load和store指令(后续不赘述)
    # 申请一个i32且4字节对齐的变量,分配给%1,%1类型为i32*
    %1 = alloca i32, align 4

    # 申请一个class.Test*类型的变量,分配给%2
    %2 = alloca %class.Test*, align 8

    # 将i32类型的0存储到%1变量中(nullptr)
    store i32 0, i32* %1, align 4

    # 调用new函数申请8字节的堆内存并将返回值分配给%3
    %3 = call noalias nonnull i8* @"??2@YAPEAX_K@Z"(i64 8) #10

    # 将i8*类型的%3变量转换为class.TestA*类型的变量给到%4
    %4 = bitcast i8* %3 to %class.TestA*

    # 调用TestA构造函数并将返回值分配给%5
    %5 = call %class.TestA* @"??0TestA@@QEAA@XZ"(%class.TestA* nonnull align 8 dereferenceable(8) %4) #11

    # 将class.TestA*类型的变量%4转换为class.Test*类型的变量%6
    %6 = bitcast %class.TestA* %4 to %class.Test*

    # 将%6变量的值存储到%2中
    store %class.Test* %6, %class.Test** %2, align 8

    # 把class.Test**类型的变量%2解引用存储到%7%7 = load %class.Test*, %class.Test** %2, align 8

    # 把class.Test*的变量%7转为void (%class.Test*)***类型变量%8%8 = bitcast %class.Test* %7 to void (%class.Test*)***

    # 解引用%8类型的值存储到%9
    %9 = load void (%class.Test*)**, void (%class.Test*)*** %8, align 8

    # 把%9的类型+2%10
    %10 = getelementptr inbounds void (%class.Test*)*, void (%class.Test*)** %9, i64 2

    # 解引用%10存储至%11
    %11 = load void (%class.Test*)*, void (%class.Test*)** %10, align 8

    # 调用函数%11,参数为%7(this)
    call void %11(%class.Test* nonnull align 8 dereferenceable(8) %7)

    # 解引用%2%12
    %12 = load %class.Test*, %class.Test** %2, align 8

    # 转换class.Test*类型的%12到void (%class.Test*)***类型的%13
    %13 = bitcast %class.Test* %12 to void (%class.Test*)***

    # 解引用%13%14
    %14 = load void (%class.Test*)**, void (%class.Test*)*** %13, align 8

    # 把%14的类型+1%10
    %15 = getelementptr inbounds void (%class.Test*)*, void (%class.Test*)** %14, i64 1

    # 把%10解引用给%16
    %16 = load void (%class.Test*)*, void (%class.Test*)** %15, align 8

    # 调用%16函数,参数为%12(this)
    call void %16(%class.Test* nonnull align 8 dereferenceable(8) %12)

    # 解引用%2%17
    %17 = load %class.Test*, %class.Test** %2, align 8

    # 比较%17null的关系结果存到%18
    %18 = icmp eq %class.Test* %17, null

    # 调到lable%25(null)或者lable%19(not null)
    br i1 %18, label %25, label %19

19:                                               ; preds = %0
    # 转换class.Test*类型的%17为i8* (%class.Test*, i32)***类型的%20
    %20 = bitcast %class.Test* %17 to i8* (%class.Test*, i32)***

    # 解引用%20%21
    %21 = load i8* (%class.Test*, i32)**, i8* (%class.Test*, i32)*** %20, align 8

    # 把%21+0%22
    %22 = getelementptr inbounds i8* (%class.Test*, i32)*, i8* (%class.Test*, i32)** %21, i64 0

    # 解引用%22%23
    %23 = load i8* (%class.Test*, i32)*, i8* (%class.Test*, i32)** %22, align 8

    # 调用%23函数,参数为%17(this,1)
    %24 = call i8* %23(%class.Test* nonnull align 8 dereferenceable(8) %17, i32 1) #11

    # 跳转到label%25
    br label %25

25:                                               ; preds = %19, %0
    # 返回i32类型的0
    ret i32 0
}

修改PASS观察输出

修改上一篇文章介绍的pass中的MyCustomPass::run函数为:

PreservedAnalyses run(Module& M, ModuleAnalysisManager& AM)
{
    for (auto& function : M) {
        if (!function.getName().compare("main")){
            for (auto& block : function){
                for(auto inst = block.begin(); inst != block.end(); ++inst){
                    errs() << ">>>>" << inst->getOpcodeName() << "\n";
                }
                errs() << "----------------------------" << "\n";
            }
        }
    }
    return PreservedAnalyses::all();
}

观察输出与上面的LLVM-LR文件的关联

clang vcallTest.cpp -o vcallTest.exe
>>>>alloca
>>>>alloca
>>>>store
>>>>call
>>>>bitcast
>>>>call
>>>>bitcast
>>>>store
>>>>load
>>>>bitcast
>>>>load
>>>>getelementptr
>>>>load
>>>>call
>>>>load
>>>>bitcast
>>>>load
>>>>getelementptr
>>>>load
>>>>call
>>>>load
>>>>icmp
>>>>br
----------------------------
>>>>bitcast
>>>>load
>>>>getelementptr
>>>>load
>>>>call
>>>>br
----------------------------
>>>>ret
----------------------------

可以看到一模一样,所以cpp—>llvmir—>pass—>link大概是这样的步骤

虚函数的识别

上述问题就是目前难度最大的一个问题了,从IR中可以看到明显的虚函数调用痕迹,但是这里会有个充要条件的问题。
可以看到这里的每个虚函数调用都会存在一组下列调用链,但是下述调用链不一定是虚函数调用

>>>>bitcast			要将类实例指针(this)类型转换为虚函数的指针的指针的指针类型
>>>>load			解应用this得到vtable指针
>>>>getelementptr	计算vtable[index]得到要调用的虚函数的指针的指针
>>>>load			解引用得到虚函数的指针
>>>>call			调用虚函数

更严谨的判断方式,以上调用链 + 第一个bitcast为:类指针—>函数的三重指针
如此只要不刻意伪造看上去很难与正常代码碰撞

虚函数保护思路

  1. 类似safeseh的形式,将每个识别出的虚函数的vtable指针记录下来,然后放到合法list中去,调用前比对是否合法
  2. CFIXX(NDSS’18):构造函数中把vtable加密了,虚函数调用前解密(改源码实现为用pass实现)

CFIXX思路的简化版实现:半成品

pass代码

#include <llvm/IR/PassManager.h>
#include <llvm/IR/Module.h>
#include <llvm/Pass.h>
#include <llvm/Passes/PassBuilder.h>
#include <llvm/Passes/PassPlugin.h>
#include <llvm/IR/IRBuilder.h>

using namespace llvm;

// test for my custom pass
class MyCustomPass : public PassInfoMixin<MyCustomPass> {
public:
    unsigned int counts = 0;

    bool InsertPrintf(Instruction* inst);
    void InjectVirtualCall(BasicBlock& block);
    PreservedAnalyses run(Module& M, ModuleAnalysisManager& AM);
};

// 在clang里根据配置创建自定义pass,called by PassManagerBuilder::populateModulePassManager
extern "C"  __declspec(dllexport) void __stdcall clangAddCustomPass(ModulePassManager & MPM)
{
    MPM.addPass(MyCustomPass());
}

PreservedAnalyses MyCustomPass::run(Module& M, ModuleAnalysisManager& AM)
{
    for (auto& function : M)
    {
        if (!function.getName().compare("main"))
        {
            for (auto& block : function)
            {
                InjectVirtualCall(block);
            }
        }
    }

    return counts ? PreservedAnalyses::all() : PreservedAnalyses::all();
}

void MyCustomPass::InjectVirtualCall(BasicBlock& block)
{
    int deepth = 0;
    for (auto& inst : block)
    {
        switch (inst.getOpcode())
        {
        case Instruction::BitCast:
            deepth == 0 ? deepth++ : deepth = 0;
            break;
        case Instruction::Load:
            (deepth == 1 || deepth == 3) ? deepth++ : deepth = 0;
            break;
        case Instruction::GetElementPtr:
            deepth == 2 ? deepth++ : deepth = 0;
            break;
        case Instruction::Call:
            deepth == 4 ? deepth++ : deepth = 0;
            break;
        default:
            deepth = 0;
            break;
        }

        if (deepth == 1)
        {
            auto bcInst = dyn_cast<BitCastInst>(&inst);
            auto srcTy = bcInst->getSrcTy();
            auto dstTy = bcInst->getDestTy();
            if (srcTy->getTypeID() != Type::PointerTyID ||
                dstTy->getTypeID() != Type::PointerTyID ||
                srcTy->getPointerElementType()->getTypeID() != Type::StructTyID ||
                dstTy->getPointerElementType()->getTypeID() != Type::PointerTyID ||
                dstTy->getPointerElementType()->getPointerElementType()->getTypeID() != Type::PointerTyID ||
                dstTy->getPointerElementType()->getPointerElementType()->getPointerElementType()->getTypeID() != Type::FunctionTyID)
            {
                deepth = 0;
                continue;
            }
        }
        else if (deepth == 5)
        {
            InsertPrintf(&inst);
            deepth = 0;
            continue;
        }
    }
}

bool MyCustomPass::InsertPrintf(Instruction* inst)
{
    auto mod = inst->getModule();
    if (!mod) return false;

    PointerType* printfArgTy = PointerType::getUnqual(Type::getInt8Ty(mod->getContext()));
    FunctionType* printfTy = FunctionType::get(IntegerType::getInt32Ty(mod->getContext()), printfArgTy, true);
    FunctionCallee funcPtr = mod->getOrInsertFunction("printf", printfTy);
    if (!funcPtr) return false;

    IRBuilder<> builder(inst);
    Constant* constString = ConstantDataArray::getString(mod->getContext(), "vcall counts:%d \n", true);
    Constant* constStringVar = mod->getOrInsertGlobal("helloWord", constString->getType());
    dyn_cast<GlobalVariable>(constStringVar)->setInitializer(constString);
    builder.CreateCall(funcPtr, { constStringVar,builder.getInt32(counts++) });
}

测试cpp代码:

#include <iostream>
#include <map>

std::map<int, int64_t> vtableMap;

class Test
{
public:
    Test() noexcept
    {
        printf("Test::Test()\n");
    }

    virtual ~Test()
    {
        printf("Virtual ~Test()\n");
    }

    virtual void prointer() = 0;
    virtual void pointf() = 0;
};

class TestA :public Test
{
public:
    TestA() noexcept
    {
        int64_t vtablePtr = *(int64_t*)this;
        *(int64_t*)this = rand();
        vtableMap.insert(std::pair<int, int64_t>(*(int*)this, vtablePtr));
        printf("TestA::TestA()\n");
    }

    virtual ~TestA()
    {
        printf("Virtual ~TestA()\n");
    }

    virtual void prointer()
    {
        printf("TestA::prointer\n");
    }

    virtual void pointf()
    {
        printf("TestA::pointf\n");
    }
};

extern "C" uint64_t DecryptPointer(uint64_t vtablePtr)
{
    return vtableMap[vtablePtr];
}
uint64_t DecryptPointer2(uint64_t vtablePtr)
{
    return vtableMap[vtablePtr];
}
uint64_t DecryptPointer3(uint64_t vtablePtr)
{
    return vtableMap[vtablePtr];
}

int main()
{
    srand((unsigned)time(NULL));
    Test* pTest = new TestA;
    pTest->pointf();
    pTest->prointer();
    delete pTest;

    return 0;
}

测试

编译执行结果

clang vcallTest.cpp -o vcallTest.exe
./vcallTest.exe
Test::Test()
TestA::TestA()
TestA::pointf
TestA::prointer
Virtual ~TestA()
Virtual ~Test()

总结

  1. 类的构造函数中把真正的vtable拿走,然后赋予sign值,后续用pass在每个虚函数调用前使用sign恢复出真的vtableptr,此处的实现是写入一个map中,当然因为是简易实现所以没有考虑sign碰撞等问题,但不难解决。按照CFIXX的思路map的内存必须是安全的,依此实现vtableptr的安全性
  2. 类的构造函数此处还是手动插入的vtable指针修改,可以改成自动替换,但是会有个问题就是如何筛选类构造函数以及如何只保护自定义类的构造函数?有个最简单的方式是自定义函数名前N个字节固定,这样规律的类构造函数才进行保护
  3. 本章后续有缘再更新

参考:
CFIXX代码仓库
LLVM pass 实现 C++虚表保护

Istaroth
关注
专栏目录
LLVM中编写Backend Pass的详细教程(2)
白马负金羁
05-26 6380
本质上,LLVM毕竟是围绕编译器展开的一个工具集,或者说编译器本身就是它的核心。因此,在编译原理课程上学到的很多知识在了解或研究LLVM时都能派上用场。在这篇文章中,我们就来演示如何对基本块(Basic Block)的边际加标注。我们还会调用LLVM中的函数来对每个基本块产生一个描述名
编译器 - 什么是编译优化器?
最新发布
floatp的专栏
03-04 58
Optimizing Compiler (后文以“优化编译器”代之) 就是试图最小化或最大化某些可执行文件属性的编译器。[1]
C++ 虚函数表的布局
jimmyleeee的专栏
08-28 212
针对虚函数表的结构与布局,写了一个程序验证一下: 首先看单一继承的情况: class Base { public: virtual void x() { cout << "Base::x()" << endl; } virtual void y() { cout << "Base::y()" << endl; } virtual void...
APK加固技术的演变,APK加固技术和不足之处
Steven的杂货铺
06-26 693
第一代壳:动态加载;第二代壳:内存不落地加载;第三代壳:代指令抽取;第四代壳:转换指令;第五代壳:VMP虚拟机源码保护
(转载)虚函数的工作原理
脸红哥的博客
10-30 1296
转载请标明出处,原文地址:http://blog.csdn.net/hackbuteer1/article/details/7883531   一、虚函数的工作原理       虚函数的实现要求对象携带额外的信息,这些信息用于在运行时确定该对象应该调用哪一个虚函数。典型情况下,这一信息具有一种被称为 vptr(virtual table pointer,虚函数表指针)的指针的形式。vptr 指...
6 攻击C++虚函数
qq_55202378的博客
10-09 531
虚函数
虚函数的工作原理
qq_41727218的博客
02-26 565
    虚函数(Virtual Function)是通过一张虚函数表(Virtual Table)来实现的。编译器必需要保证虚函数表的指针存在于对象实例中最前面的位置(这是为了保证正确取到虚函数的偏移量)。     每当创建一个包含有虚函数的类或从包含有虚函数的类派生一个类时,编译器就会为这个类创建一个虚函数表(VTABLE)保存该类所有虚函数的地址,在每个带有虚函数的类 中,编译器秘密地置入一...
LLVM学习之路(二)编写自己的第一个Pass
Wang_shiling的博客
05-03 6388
声明:使用的LLVM版本为5.0.1,由于网上大多是教程和博客均以低版本为例,故部分目录结构以及命令可能不同,特此说明。        PassLLVM至关重要的组成,所谓Pass,个人理解是LLVM中的一个工作单元,通常做分析或者转换的工作,分析类的Pass主要提供信息,转换类的Pass则要修改中间代码,所有的Pass均作用于中间代码(IR),需要继承自LLVM提供的几个Pass接口并实现其中...
Pass框架
zd454909951的博客
08-10 1339
/include/llvm/Pass.h Pass框架是LLVM系统中一个重要的部分,Pass类是实现代码优化的主要资源,每个passLLVM系统进行转化和优化工作的一个节点,可以完成特定的优化工作,多个pass可共同完成优化和转化。 Pass分类 从代码结构上来说,LLVM 编译器给开发者们提供了一个Pass类和其子类,主要的子类有ModulePass、FunctionPass、BasicBlockPass等,声明在llvm/Pass.h文件中。根据所需功能,研究者们可以通过重写继承.
20190411-cpp-compiler
DeepIndeed
08-30 296
layout title categories tags date description post 开发中常见的编译器技巧 blog C++ Complier 2019-04-11 13:12:12 -0700 编译器中一些不太常用,但是有...
攻击C++虚函数
PwnGuo的博客
09-17 1079
例题为:0day安全:软件漏洞分析技术(第二版) 虚函数入口地址被统一存在虚表中,对象使用虚函数时通过调用虚表指针找到虚表,然后从虚表中取出最终的函数入口地址进行掉用,虚表指针保存在内存空间中,紧接着虚表指针的时其他成员变量,虚函数只有通过对象指针的引用才能显示出其动态调用特性。 虚函数实现 通过对象中的成员变量溢出修改对象中的虚表指针或修改需表中虚函数指针,程序调用虚函数时就会执行指定地...
虚函数的作用和实现原理
caogenwangbaoqiang的博客
04-02 1万+
文章总结自牛客网的评论。https://www.nowcoder.com/questionTerminal/1f67d4e2b6134c298e993e622181b3331、虚函数的作用:简单讲即实现多态。 基类定义了虚函数,子类可以重写该函数,当子类重新定义了父类的虚函数后,父类指针根据赋给它的不同的子类指针,动态地调用属于子类的该函数,且这样的函数调用是无法在编译器期间确认的,而是...
实践SEH攻击和虚函数攻击
houjingyi的博客
01-25 3315
试验工具:ollydbg(思考题程序见附件) 实验环境:windows2000虚拟机 1.目标 (1)了解SEH攻击及虚函数攻击的基本原理。 (2)通过调试SEH攻击代码,理解Windows异常处理机制,掌握针对SEH的攻击方式,并利用OllyDbg跟踪异常状态。 (3)调试虚函数攻击代码,理解虚函数工作机制与内存分布方式,掌握基本的虚函数攻击与计算方式,并可以用OllyDbg追踪。
详解C++虚函数原理
fscanf_fread的博客
11-03 2053
1、虚函数 虚函数是类中比较特殊的成员函数,通过在普通成员函数的前面加上“virtual”关键字声明。因为基类指针不能访问派生类的普通成员函数,但是可以访问派生类的虚函数,所以虚函数是实现C++多态性的关键。 派生类继承了基类的虚函数并重新定义(重写、覆盖)虚函数,通过基类指针去指向其派生类对象,进行动态绑定(延迟绑定),达到利用基类访问派生类虚函数的目的。如果没有虚函数,则总被限制在基类函数本身,无法调用派生类中被重写的函数。 2、虚函数实现原理 虚函数虚函数表指针 类对象在内存中的布
C++虚函数工作原理和(虚)继承类的内存占用大小计算
热门推荐
Hackbuteer1的专栏
08-19 6万+
一、虚函数的工作原理       虚函数的实现要求对象携带额外的信息,这些信息用于在运行时确定该对象应该调用哪一个虚函数。典型情况下,这一信息具有一种被称为 vptr(virtual table pointer,虚函数表指针)的指针的形式。vptr 指向一个被称为 vtbl(virtual table,虚函数表)的函数指针数组,每一个包含虚函数的类都关联到 vtbl。当一个对象调用了虚函数,实际
0day安全阅读笔记[5] 利用虚函数机制进行溢出攻击
輚至消亡
11-24 408
1. 利用虚函数机制进行溢出攻击 看一下C++虚函数机制的表的简略图 一般在一个类中
攻击C++虚函数
浅浅徘徊的博客
02-23 954
C++虚函数和类在内存中的位置关系 虚函数示例 /* 标题:攻击C++虚函数 操走系统:xp s3 编辑器:vc6.0 */ #include &lt;iostream.h&gt; #include &lt;windows.h&gt; class People{ public: People(char* m_id,char* m_name){ ...
虚函数原理1
chivalry
06-01 631
部分参考:http://blog.csdn.net/devilkin64/article/details/5939613 虚函数表的建立是取决于定义类的时候是否包含虚函数,如果有类函数/ 方法声明为虚,则改类会建立一张虚表.在网上找到一个牛人用汇编的方法论证虚 表是存放在常量区内(具体论证就省略,否则就扯远了). 继承类会同样建立一张虚表,并将覆盖虚表中父类虚函数的地址. 在编译阶段,编译
虚函数实现原理
weixin_40237626的博客
09-02 2万+
前言 C++中的虚函数的作用主要是实现了多态的机制。关于多态,简而言之就是用父类型别的指针指向其子类的实例,然后通过父类的指针调用实际子类的成员函数。这种技术可以让父类的指针有“多种形态”,这是一种泛型技术。所谓泛型技术,说白了就是试图使用不变的代码来实现可变的算法。比如:模板技术,RTTI技术,虚函数技术,要么是试图做到在编译时决议,要么试图做到运行时决议。 关于虚函数的使用方法,我在这里不...
llvm-objdump -T
08-12
`llvm-objdump -T`是一个用于查看ELF(可执行和可链接格式)文件中符号表的命令。它提供了有关二进制文件中定义和引用的符号的信息。 要使用`llvm-objdump -T`命令,需要在终端中执行以下步骤: 1. 打开终端。 2....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值