Asan检测原理(AddressSanitizerAlgorithm chatgpt翻译记录)

最新推荐文章于 2023-10-13 17:09:11 发布
最新推荐文章于 2023-10-13 17:09:11 发布
阅读量746 收藏 1
点赞数
文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33243369/article/details/131053586
版权

原文链接:https://github.com/google/sanitizers/wiki/AddressSanitizerAlgorithm

Short version

运行时库替换了malloc和free函数。malloc区域周围的内存(红区)被标记为污染。free的内存被放置在隔离区并标记为污染。程序中的每个内存访问都会被编译器转换为以下方式:
转换前:

*address = ...;  // or: ... = *address;

转换后:

if (IsPoisoned(address)) {
  ReportError(address, kAccessSize, kIsWrite);
}
*address = ...;  // or: ... = *address;

关键是如何快速实现IsPoisoned和非常紧凑的ReportError。此外,对某些访问进行仪器化可能被证明是冗余的。

Memory mapping and Instrumentation

虚拟地址空间被分为两个不相交的类别:

应用程序内存(Mem):该内存由常规应用程序代码使用。

影子内存(Shadow):该内存包含影子值(或元数据)。影子内存与主应用程序内存之间存在对应关系。在主内存中毒一个字节意味着向相应的影子内存中写入某些特殊值。

这两个内存类别应该以一种能够快速计算影子内存(MemToShadow)的方式进行组织。

编译器执行的仪器化:

shadow_address = MemToShadow(address);
if (ShadowIsPoisoned(shadow_address)) {
  ReportError(address, kAccessSize, kIsWrite);
}

Mapping

AddressSanitizer将应用程序内存的8个字节映射为影子内存的1个字节。

对于任何对齐的8个字节的应用程序内存,只有9种不同的值:

  1. qword中的所有8个字节未被污染(即可寻址)。影子值为0。
  2. qword中的所有8个字节都被污染(即不可寻址)。影子值为负数。
  3. 前k个字节未被污染,其余8-k个字节被污染。影子值为k。

这是由malloc返回8字节对齐的内存块所保证的。唯一的情况是对齐的qword的不同字节具有不同的状态,是malloc分配的区域的尾部。例如,如果我们调用malloc(13),我们将有一个完整的未污染的qword和一个有5个未污染字节的qword。
仪器化如下所示:

byte *shadow_address = MemToShadow(address);
byte shadow_value = *shadow_address;
if (shadow_value) {
  if (SlowPathCheck(shadow_value, address, kAccessSize)) {
    ReportError(address, kAccessSize, kIsWrite);
  }
}

//检查我们访问qword的前k个字节的情况,并且这些k个字节未被污染。
bool SlowPathCheck(shadow_value, address, kAccessSize) {
  last_accessed_byte = (address & 7) + kAccessSize - 1;
  return (last_accessed_byte >= shadow_value);
}

MemToShadow(ShadowAddr)落入了不可寻址的ShadowGap区域。因此,如果程序尝试直接访问影子区域中的内存位置,程序将会崩溃。

64-bit

Shadow = (Mem >> 3) + 0x7fff8000;
[0x10007fff8000, 0x7fffffffffff]HighMem
[0x02008fff7000, 0x10007fff7fff]HighShadow
[0x00008fff7000, 0x02008fff6fff]ShadowGap
[0x00007fff8000, 0x00008fff6fff]LowShadow
[0x000000000000, 0x00007fff7fff]LowMem

32 bit

Shadow = (Mem >> 3) + 0x20000000;
[0x40000000, 0xffffffff]HighMem
[0x28000000, 0x3fffffff]HighShadow
[0x24000000, 0x27ffffff]ShadowGap
[0x20000000, 0x23ffffff]LowShadow
[0x00000000, 0x1fffffff]LowMem

Ultra compact shadow

可以使用更紧凑的影子内存,例如:

Shadow = (Mem >> 7) | kOffset;

实验正在进行中。

Report Error

ReportError可以作为调用实现(这是默认值),但是还有一些稍微更有效率和/或更紧凑的解决方案。在某个时候默认行为是:

  1. 将失败的地址复制到%rax(%eax)中。
  2. 执行ud2(生成SIGILL)。
  3. 在ud2后面的一字节指令中编码访问类型和大小。这三个指令总共需要5-6个字节的机器代码。

也可以只使用一个指令(例如ud2),但这将需要在运行时库中具有完整的反汇编器(或其他一些hack)。

Stack

为了捕获堆栈缓冲区溢出,AddressSanitizer对代码进行如下仪器化:
原始代码:

void foo() {
  char a[8];
  ...
  return;
}

仪器化代码:

void foo() {
  char redzone1[32];  // 32-byte aligned
  char a[8];          // 32-byte aligned
  char redzone2[24];
  char redzone3[32];  // 32-byte aligned
  int  *shadow_base = MemToShadow(redzone1);
  shadow_base[0] = 0xffffffff;  // poison redzone1
  shadow_base[1] = 0xffffff00;  // poison redzone2, unpoison 'a'
  shadow_base[2] = 0xffffffff;  // poison redzone3
  ...
  shadow_base[0] = shadow_base[1] = shadow_base[2] = 0; // unpoison all
  return;
}

Examples of instrumented code (x86_64)

# long load8(long *a) { return *a; }
0000000000000030 <load8>:
  30:	48 89 f8             	mov    %rdi,%rax
  33:	48 c1 e8 03          	shr    $0x3,%rax
  37:	80 b8 00 80 ff 7f 00 	cmpb   $0x0,0x7fff8000(%rax)
  3e:	75 04                	jne    44 <load8+0x14>
  40:	48 8b 07             	mov    (%rdi),%rax   <<<<<< original load
  43:	c3                   	retq   
  44:	52                   	push   %rdx
  45:	e8 00 00 00 00       	callq  __asan_report_load8

# int  load4(int *a)  { return *a; }
0000000000000000 <load4>:
   0:	48 89 f8             	mov    %rdi,%rax
   3:	48 89 fa             	mov    %rdi,%rdx
   6:	48 c1 e8 03          	shr    $0x3,%rax
   a:	83 e2 07             	and    $0x7,%edx
   d:	0f b6 80 00 80 ff 7f 	movzbl 0x7fff8000(%rax),%eax
  14:	83 c2 03             	add    $0x3,%edx
  17:	38 c2                	cmp    %al,%dl
  19:	7d 03                	jge    1e <load4+0x1e>
  1b:	8b 07                	mov    (%rdi),%eax    <<<<<< original load
  1d:	c3                   	retq   
  1e:	84 c0                	test   %al,%al
  20:	74 f9                	je     1b <load4+0x1b>
  22:	50                   	push   %rax
  23:	e8 00 00 00 00       	callq  __asan_report_load4

Unaligned accesses(不对齐访问)

当前的紧凑映射不会捕获不对齐的部分越界访问:

int *x = new int[2]; // 8 bytes: [0,7].
int *u = (int*)((char*)x + 6);
*u = 1;  // Access to range [6-9]

在​https://github.com/google/sanitizers/issues/100中描述了一种可行的解决方案,但它会带来性能成本。

Run-time library

Malloc

运行时库替换了malloc/free并提供了错误报告函数,如__asan_report_load8。

malloc分配所请求的内存量,并在其周围使用红区。相应于红区的阴影值被标记为污染,主内存区域的阴影值被清除。

free将整个区域的阴影值标记为污染,并将内存块放入隔离队列中(这样在某段时间内,malloc不会再次返回该块)。

maitd
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
asanasan_symbolize.py
05-05
asanasan_symbolize.py
Linux内存管理 (22)内存检测技术(slub_debug/kmemleak/kasan)
铁匠的七寸宫
10-29 1588
Linux常见的内存访问错误有: 越界访问(out of bounds) 访问已经释放的内存(use after free) 重复释放 内存泄露(memory leak) 栈溢出(stack overflow) 不同的工具有不同的侧重点,本章主要从slub_debug、kmemleak、kasan三个工具介绍。 kmemleak侧重于内存泄露问题发现。 slub_debug和kasan有一定的重复,部分slub_debug问题需要借助slabinfo去发现;kasan更快,所有问题独立上
ASAN中无崩溃测试方案实现
owen5586331的专栏
02-22 1194
# 背景 为提高版本的稳定性,在app灰度时做asan测试 其中一个技术点是实现asan的无崩溃检测方案。但按文档操作发现不生效。 正常ASAN的配置方法查看 <https://developer.android.com/ndk/guides/asan> 为了实现asan的无崩溃测试方案,跟着文档开启halt_on_error=0,但是测试中发现 halt_on_error=0不生效,故深入调查。可直接看结论 # 文档的错误说明 阅读文档说明 <https://gcc.gn
KASan介绍
最新发布
weixin_42136255的博客
10-13 426
KASan
Google Sanitizers
weixin_42654107的博客
02-12 1797
Google Sanitizers Google的sanitizers一共有5种: AddressSanitizer (检查寻址问题) :包含LeakSanitizer (检查内存泄漏问题) ThreadSanitizer:检查数据竞争和死锁问题(支持C++和Go) MemorySanitizer:检查使用未初始化的内存问题 HWASAN(Hardware-assisted AddressSanitizer):AddressSanitizer的变种,相比AddressSanitizer消耗的内存更
内存错误检测工具-AddressSanitizer(ASAN
造梦先森Kai的专栏
03-06 1万+
ASAN(Address-Sanitizier)早先是LLVM中的特性,后被加入GCC 4.8,在GCC 4.9后加入对ARM平台的支持。因此GCC 4.8以上版本使用ASAN时不需要安装第三方库,通过在编译时指定编译CFLAGS即可打开开关。 之前介绍过一款传统的内存问题检测工具Valgrind : https://blog.csdn.net/qq_15437629/article/details/79264600 用过 Valgrind 的朋友应该都清楚,其会极大的降低程序运行速度,大约降低10倍,而
Asan工具android平台部署
溯源守拙的博客
09-06 1190
一.首先先了解:Android NDK编译 Application.mk APP_PROJECT_PATH 项目路径 APP_MODULES 编译模块列表 APP_OPTIM release/debug 不设则取决于manifest中的android:debuggable。 不建议设置。 APP_CFLAGS 传递给编译器的选项(C /C++),作用于所有模块 APP_CPPFLAGS 传递给编译器的选项(C++) -fexceptions
gcc编译undefined reference to `__asan_report_load2‘错误的解决方法
neuisf的博客
04-20 2194
添加-lasan选项。
Linux 下的 AddressSanitizer
tq08g2z的专栏
05-19 5332
AddressSanitizer 是一个性能非常好的 C/C++ 内存错误探测工具。它由编译器的插桩模块(目前,LLVM 通过)和替换了 malloc 函数的运行时库组成。这个工具可以探测如下这些类型的错误: 对堆,栈和全局内存的访问越界(堆缓冲区溢出,栈缓冲区溢出,和全局缓冲区溢出) UAP(Use-after-free,悬挂指针的解引用,或者说野指针) Use-after-return(无效...
asan_symbolize.py
05-05
asan_symbolize.py用于asan
ASan for Windows.
12-10
ASan for Windows
VS2019 16的ASAN常用选项
07-03
Goolge ASAN在VS2019 16版本以后得以支持,可以用来定位开发时遇到的大多内存问题,诸如栈、堆、全局变量越界、alloc-dealloc-mismatch、allocation-size-too-big、new-delete-type-mismatch、heap-use-after-free、...
asan_alignment_example:说明ASan的手动中毒调整要求
04-23
手动ASan中毒和对中ASan中毒具有对齐要求:用户必须添加填充,以使填充在影子存储器中的字节边界处结束。 由于ASan影子存储器中的每个位都编码实存储器中一个字节的状态,因此这意味着每个分配的大小+填充必须在8...
KASAN实现原理
weixin_34151004的博客
02-21 967
1. 前言 KASAN是一个动态检测内存错误的工具。KASAN可以检测全局变量、栈、堆分配的内存发生越界访问等问题。功能比SLUB DEBUG功能齐全并且支持实时检测。越界访问的严重性和危害性通过我之前的文章(SLUB DEBUG技术)应该有所了解。正是由于SLUB DEBUG缺陷,因此我们需要一种更加强大的检测工具。难道你不想吗?KASAN就是其中一种。KASAN的使用真的很简单。但是我是一个...
内存错误检测-AddressSanitizer
qing310820的专栏
02-22 7751
目录 简介: 使用范围: 使用方法: 结合gdb: 运行结果: 简介: AddressSanitizer是C/C++内存错误检测的工具,它是LLVM3.1版本开始支持,GCC从4.8版本开始支持,它可以检测以下错误: 功能: 1.释放后使用(悬空指针解除引用) 2.堆缓冲区溢出 3.堆栈缓冲区溢出 4.全局缓冲区溢出 5.使用返回值访问局部变量 6.使用释放后的局部变量内存 7...
g++链接gcc编译的库报错“undefined reference to xxx”
qq_28474789的博客
04-19 3456
明明头文件已经包含,却还报错“undefined reference to xxx”,除了库没有正确链接外,还有可能是编译器的关系问题:在编译可执行文件时,需要链接一个静态库.a文件,在反复确认makefile已经添加正确,头文件也已经包含,却还是报错。后来发现这个.a文件使用的*.o是使用gcc编译的,而编译时可执行文件使用g++。以下称.a文件所用工程为工程A,可执行文件所用工程为工程B。尝试...
error LNK2001: unresolved external symbol ___asan_report_load1
wx2013040726的博客
06-11 693
开始vs2019的 地址擦除 asan时,提示上述报错, 原因,报错项目没开启地址擦除 asan,右键项目->属性->如下图: 原因就是:依赖的项目开启asan了,他自己没开启
gcc编译出现undefined reference to 的问题
热门推荐
平常心的小屋
08-16 2万+
拓展程序功能,并用gcc编译,结果在添加了库后出现问题 gcc -o main main.c 编译错误提示: /usr/bin/ld: /tmp/cckwgwIa.o: undefined reference to symbol 'sin@@GLIBC_2.2.5' /lib/x86_64-linux-gnu/libm.so.6: error adding symbols: DSO mis
Asan检测原理是什么
08-13
Asan是一种内存错误检测工具,其原理是通过在程序运行过程中进行动态插桩,对内存分配和访问进行监测和跟踪,以检测潜在的内存错误。 具体来说,Asan通过以下方式实现内存错误的检测: 1. 内存分配:Asan在堆、栈...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值