【ARM Linux 系统稳定性分析入门及渐进 3 -- 栈溢出】

已于 2024-07-24 22:09:23 修改
阅读量1.4k 收藏 15
点赞数 1
分类专栏: # 【ARM Linux 系统稳定性分析入门及渐进】 文章标签: 堆栈 栈溢出 数据越界 递归调用 局部数组过大 内存被踩 全局变量
于 2022-12-01 17:58:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_32960911/article/details/128134632
版权


请阅读嵌入式及芯片开发学必备专栏


请阅读【ARM Linux 系统稳定性分析专栏导读】

文章目录

上篇文章:ARM Linux 系统稳定性分析入门及渐进 2 – Kernel Lockup
下篇文章:ARM Linux 系统稳定性分析入门及渐进 4 – 栈分类

1.1 栈溢出

的空间必须由程序员静态的分配,但计算 堆heap栈stack的空间 大小却不是一件简单的事情,即便是对于最小的嵌入式系统。栈一般静态分配,并且后进先出,开发者静态的指定栈内存空间,一般栈向下生长,即从高地址到低地址,如果栈空间不足,发生下溢,则栈之下的内存空间被写入

导致栈溢出的常见的情况有以下几种:
(1) 局部数组过大
当系统栈设置比较小时,会导致栈溢出。当程序确实需要大数组时,可以设置为静态变量或全局变量。

(2) 递归调用层次太多
递归函数在运行时会执行压栈操作,当压栈次数太多时,也会导致堆栈溢出。

(3) 指针或者数组越界
比方说错误的指针、不加边界检查的数组访问等会造成这种情况。
这两种栈区溢出都会产生 死机 或者 代码跑飞 的风险。当栈区溢出时,栈指针指向非法区域,这个区域有可能是 全局变量区,有可能是别的 task 的栈区。

以函数中数据越界为例:
函数 func_a 调用 func_b,通过汇编我们知道在执行func_b的指令之前首先会为 func_b进行栈帧分配,一般都是进行 SP 指针减去一个立即数据

1.1.1 栈结构

每个进程都会有自己的栈空间,而进程中的各个函数也会维护自己本身的一个栈的区域,这个区域就是栈帧那么一个函数的栈帧的区域是如何来界定的呢?当然,首先会普及ARM的几个特殊寄存器功能

  • R11:frame pointer,FP寄存器
  • R12:IP寄存器,用于暂存SP
  • R13:stack pointer,SP寄存器
  • R14:link register,LR寄存器
  • R15:PC寄存器

而在 ARM上,函数的栈帧是由 SP寄存器FP寄存器 来界定的,参见图:
在这里插入图片描述
上图描述的是 main 函数调用 func1 函数的栈帧情况,从图可知,当 main 函数 调用 func1函数时,func1 函数会先将 PC、LR、SP、FP 四个寄存器压到栈上边,其中 SPFP 的值分别指向 main 函数栈帧的两个边界,LR 的值保存的是 func1 调用结束之后的返回值,PC 值表示的是当前执行到的指令地址,放置的是进入 func1 后的指令地址。紧接着就会在栈上分配一片区域,用于放置局部变量等。

如果 func1 中还调用了 func2 子函数,那么也会为 func2 创建一个栈帧,并且func2SPFP 会指向 func1 栈帧的两个边界。这样当函数返回的时候,参数进行出栈,也能找到 Caller 函数,这个也就是 backtrace 的原理。

1.1.2 汇编实例

反汇编分析某段代码,如下图所示:
在这里插入图片描述

  • 红色部分,表明进入到函数时先将几个特殊的寄存器压栈;
  • 黄色部分,sub sp, sp, #16,表明开辟一个4 x 32bit 大小的栈区域;
  • 蓝色部分,将传入的参数压栈,在 ARM ATPCS 中规定,寄存器R0-R3用来传参;
  • 绿色部分,调用子函数。

并不是所有函数调用都需要先 push {fp, ip, lr, pc},当子函数调用过程中,并不会去改变这些值的时候,就不需要压栈,说白了,压栈的目的就是为了在使用完的时候能恢复原来的状态。

1.1.3 数组越界栈回踩

从上面的 1.1.1 节内容我们知道,ARM 架构上一般栈都是向下增长的,如果在 函数 func1 中定义了一个大小为 N 的数组 int test[N],在 for 循环中根据数组下标 i 向数组 test 中写入数据 N0xfffff

int fun1(int a, int b, int c, int loop)
{
	...
	int test[N], i;
	for (int i = 0; i < loop; i++)
		*(test + i) = 0xffff;
	...

如果由于某种原因 loop 的值大于 N 的值,这样就会出现在 func1 栈空间向数组 &test[N] 之后的地址处写入数据, 从栈帧分配可以看到,func1的栈帧高地址处存放的是 FP, SP, LR, PC,如果 LR 的值被修改为 0xffff,那么在 func1 函数返回 main时将会出现致命错误,因为 func1 返回时,系统会从 LR 地址处取指令给 PC,而此时 func1栈帧中保存的 LR 的值已经被修改为 0xffff 了。

1.1.4 栈保护区

栈保护区是一块分配在栈之下的一块内存空间(假设栈stack是向下生长的),如图 2 所示,这样当栈 stack下溢时,就能在保护区留下痕迹 trace。通过软件的方法来检查保护区是否还完整(即填充保护区相同的数据,如0xff 的数据,然后检测保护区是否被写入)来确定栈下溢情况。有些公司在 task 创建后,stack 会被全部初始化为 0xEFEFEFEF

1.1.5 检测栈下溢

把栈空间填充成固定的值可以检测栈空间的下溢,如在程序开始前填充 0xCD。当程序终止时,栈内存可以从栈底端搜索模式直到 0xCD 没找到。这样就能得到从栈顶端的栈空间大小。

上篇文章:ARM Linux 系统稳定性分析入门及渐进 2 – Kernel Lockup
下篇文章:ARM Linux 系统稳定性分析入门及渐进 4 – 栈分类

在这里插入图片描述

推荐阅读:
https://www.jianshu.com/p/91c5dc0a8bb9

主公讲 ARM
关注
专栏目录
Linux Kernel入门到精通系列讲解 - 总目录
DSMGUOGUO的博客
03-14 9074
在学习Linux Kernel之前,需要先准备开发环境,方便后续进行开发。可以根据自身情况,选择性阅读该章节。学习该章节之前,你应该了解一下网络概念,明白为什么要讲这些,才能更有方向的去理解学习。Linux ARM平台开发系列讲解(设备树篇) 4.1.1 设备树的原理详解。本项目完全开源,仅供学习使用,如需其他用途,请与本人联系。),本章节你可以学习到。摄像头V4L2子系统Linux kernel常用的子系统等,ARM架构、RISCV架构、Uboot等。
ARMv8 异常模型入门渐进 1 -- 处理器运行模式及EL3/EL2/EL1学习】
CodingCos的博客
11-14 3078
ARM v7架构中的ARM核用PL的方式定义执行等级。在ARMv8中ARM核的执行等级划分如下图所示。表 1-1ARM v8中一个ARM core 运行时可能具有两种状态:分别为两种状态下都有其对应的EL0,EL1。而EL3是独立的,属于secure world,EL2是ARM core的虚拟化模式,目前大部分芯片公司都将该level放在normal world中。linux kernel运行在normal world的EL1, linux的 user space 运行在normal world的。
栈溢出
Tianqinse的博客
08-18 3233
栈溢出概念: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。 栈溢出的原因: 局部数组过大。当函数内部的数组过大时,有可能导致堆栈溢出。局部变量是存储在栈中的,因此这个很好理解。解决这类问题的办法有两个,一是增大栈空间,二是改用动态分配,使用堆(heap)而不是栈(stack)。 递归调用层次太多。递归函数在运行时会执行压栈操作,当压栈次数太多时,也会导致堆栈溢出。 指针或数组越界。这种情况最常见,例如进行字符串拷贝,或处理用
Linux下基本栈溢出攻击
热门推荐
沉寂的孤城
10-04 1万+
转载请注明出处:http://blog.csdn.net/wangxiaolong_china   1.1    Linux栈溢出保护机制 基本的栈溢出攻击,是最早产生的一种缓冲区溢出攻击方法,它是所有其他缓冲区溢出攻击的基础。但是,由于这种攻击方法产生的时间比较长,故而GCC编译器、Linux操作系统提供了一些机制来阻止这种攻击方法对系统产生危害。下面首先了解一下现有的用于保护堆栈的机制以
linux 硬件 arm架构
最新发布
mxyzhy的博客
09-02 3226
Linux硬件arm架构
linux 栈溢出
sky123博客
02-01 3884
栈基础知识 栈结构 函数调用过程 32位为例: KaTeX parse error: No such environment: align* at position 8: \begin{̲a̲l̲i̲g̲n̲*̲}̲ & \text{push a… 函数参数传递 32位程序 普通函数传参:参数基本都压在栈上(有寄存器传参的情况,可查阅相关资料)。 syscall传参:eax对应系统调用号,ebx、ecx、edx、esi、edi、ebp分别对应前六个参数多余的参数压在栈上。 64位程序: 普
Linux Kernel Stack Overflow/Linux 内核栈溢出
lenky0401的专栏
01-13 1893
Linux内核会分配一页(4K stack)或两页连续(8K stack)不可交换(non-swappable)内存来作为内核栈使用。可以看到,一个地方(kernel_stack_init函数)的栈占去$0x400(有几个局部变量是直接使用的寄存器,所以才没有消耗栈),而另外一个地方(just_copy_half函数)的栈占去%rax是个不定值,这就需要继续看对应的汇编来进行分析(因为数组是动态数组),这只是个示例,如果在真实内核代码中有这样的函数,那是相当危险的。,好吧,继续8K内核栈。
ARM64/32寄存器说明
独行侠
05-21 1806
x0~x7:传递子程序的参数和返回值,使用时不需要保存,多余的参数用堆栈传递,64位的返回结果保存在x0中。 x8:用于保存子程序的返回地址,使用时不需要保存。 x9~x15:临时寄存器,也叫可变寄存器,子程序使用时不需要保存。 x16~x17:子程序内部调用寄存器(IPx),使用时不需要保存,尽量不要使用。 x18:平台寄存器,它的使用与平台相关,尽量不要使用。 x19~x28:临时寄存器,子程序使用时必须保存。 x29:帧指针寄存器(FP),用于连接栈帧,使用时必须保存。 x30:链接寄存器(LR)..
栈溢出入门到放弃(下)
zhaoqg666的博客
04-25 1467
转自https://zhuanlan.zhihu.com/p/25892385 0x00 写在前面 首先还是广播一下2017 Pwn2Own 大赛的最终赛果,本次比赛共发现51个漏洞,长亭安全实验室贡献11个,以积26分的总成绩,在11支参赛团队中名列第三!同时,也祝贺国内的安全团队包揽本次大赛的前三名! 0x10 上期回顾 上篇文章介绍了栈溢出的原理和两种执行方法,两种方
arm-linux-gcc-4.5.1-v6-vfp-20101103
10-13
arm-linux-gcc是针对Linux操作系统ARM处理器的GCC(GNU Compiler Collection)变体,GCC是开源的、多语言的编译系统,支持C、C++、Fortran、Ada和Go等编程语言。这里的“v6”表示它支持ARM架构的v6指令集,而“vfp...
arm-linux-gcc 64位下载,arm-linux-gcc下载与安装
weixin_35976295的博客
05-13 8170
在RHEL 5平台上安装配置arm-linux-gcc 2011-02-23 19:35:40| 分类: 嵌入式开发环境 | 标签: |字号大中小 订阅 .在linux平台上安装好的基础上,开始配置arm-linux-gcc,使其正常工作一,安装前准备1,下载并安装arm-linux-gccarm-linux-gcc-4.2.1的版本在http://ftp.snapgear.org/pub/...
linux 堆栈溢出的问题
08-16
unix linux 堆栈 溢出 的 问题
arm-linux-gcc-4.5.1(友善之臂提供的最新交叉编译器)
07-16
ARM-Linux-GCC-4.5.1是友善之臂提供的一个特定版本的交叉编译器,主要用于在非ARM架构的主机上构建针对ARM架构的Linux应用程序。交叉编译器是一种特殊的编译器,能够在一种处理器平台上生成适用于另一种处理器平台的...
Linux栈溢出的原理及利用(ZT)
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
01-27 2709
Linux栈溢出的原理及利用作者:xinhe 文章来源:xfocus.net 点击数: 23 更新时间:2005-1-25Linux栈溢出的原理及利用作者:xinhe1、进程空间的内存分布     一个程序在运行时系统会给这个程序分配4GB的虚拟内存,而这4GB有2GB是共享的,内核可以访问,    还有2GB是进程独占的,而程序又分为程序段,数
Linux栈溢出
夜栩的博客
05-11 297
当你在进行模糊测试或编写利用程序的时候我觉得这是个很巧妙的部分。缓冲区溢出:大缓冲区向小缓冲区复制,撑爆了小缓冲区,从而覆盖掉了和小缓冲区相邻内存区域的其它数据而引起的内存问题。1.关闭ASLR,linux下ASLR是自动开启的,不关闭的话栈地址每次都是随机的(需要管理员权限)这是gdb的环境变量和其他东西造成的。通过简单的数学运算就可以很轻松地算出我们缓冲区的大小。要注意内存地址是可以变化的这样可能就和我这里的不同了。事实上还有很多其他的不同但是考虑到本文的目的不了解所有的差异也没关系。
ARM芯片栈溢出排查
xue_nuo的博客
07-28 348
ARM程序崩溃排查
arm栈溢出
starssgo的博客
04-06 2060
博客地址 静态编译的arm栈溢出,我也是第一次做arm,主要需要解决动态调试的问题。 题目地址 arm基础知识 r0,r1,r2,r3为前四个参数,在多余的参数依次压栈。 pc为程序下一条指令地址,相当于x86汇编里的eip。 环境配置 qemu,用来模拟arm环境 如图,可以运行arm程序 gdb-multiarch,用来调试arm架构程序 动态调试 1.qemu-arm -g 1234 ./...
ARM Linux 系统稳定性分析入门渐进 2 -- Kernel Lockup】
CodingCos的博客
12-01 1496
Softlockup用于检测系统调度是否正常,即软锁的情况,当发生Softlockup时,内核不能调度,但还能响应中断,使系统呈现 “软 hung 死的状态”(CPU 上还是有程序在跑着,就是没法让别人来抢占它了而已,所以用户看起来系统不能切换任务了,像 hung 死了一样。主要是发现某个 cpu 因为长期的情况。由于某种原因导致系统处于内核态超过10s导致中断无法运行(hard lockup)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

主公讲 ARM

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值