关于__stack_chk_guard_ptr的理解

最新推荐文章于 2023-08-06 01:32:23 发布
最新推荐文章于 2023-08-06 01:32:23 发布
阅读量7.4k 收藏 2
点赞数 1
分类专栏: 反汇编 Android So库 文章标签: 反编译 汇编 加密 破解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011801482/article/details/50707494
版权
反汇编 同时被 3 个专栏收录
1 篇文章 0 订阅
订阅专栏
Android
1 篇文章 0 订阅
订阅专栏
So库
1 篇文章 0 订阅
订阅专栏

过年前几天公司无事,开始做些无关的事情,比如玩玩游戏,但是我作为程序员,玩游戏的总是想找一些捷径。比如破解下加密方式,发现一些游戏漏洞等等。

如此,便是反编译了游戏的加密SO。用到的工具是IDA 和 Hopper 这俩都行。因为Mac的IDA 不能变成C。 所以用了下Hopper 还挺好用的。

好了,开始说我遇到的问题:

在静态反汇编一个SO的过程中,开头得到这样一段汇编代码:
.text:00002770                 EXPORT Java_com_happyhour_android_xt_getKey
.text:00002770
.text:00002770 var_2D8         = -0x2D8
.text:00002770 var_2D4         = -0x2D4
.text:00002770 var_2D0         = -0x2D0
.text:00002770 var_2CC         = -0x2CC
.text:00002770 var_2C8         = -0x2C8
.text:00002770 var_2C4         = -0x2C4
.text:00002770 var_2C0         = -0x2C0
.text:00002770 var_2BC         = -0x2BC
.text:00002770 var_2B8         = -0x2B8
.text:00002770 var_2B4         = -0x2B4
.text:00002770 var_2B0         = -0x2B0
.text:00002770 var_2AC         = -0x2AC
.text:00002770 var_2A4         = -0x2A4
.text:00002770 var_294         = -0x294
.text:00002770 var_274         = -0x274
.text:00002770 dest            = -0x21C
.text:00002770 var_218         = -0x218
.text:00002770 s               = -0x214
.text:00002770 var_1C          = -0x1C
.text:00002770
.text:00002770                 PUSH    {R4-R7,LR}
.text:00002772                 MOVS    R6, R3
.text:00002774                 LDR     R3, =(__stack_chk_guard_ptr - 0x277E)
.text:00002776                 LDR     R4, =0xFFFFFD3C
.text:00002778                 MOVS    R5, R0
.text:0000277A                 ADD     R3, PC ; __stack_chk_guard_ptr
.text:0000277C                 LDR     R3, [R3] ; __stack_chk_guard
.text:0000277E                 ADD     SP, R4
.text:00002780                 LDR     R1, [R3]
.text:00002782                 STR     R3, [SP,#0x2D8+var_2AC]
.text:00002784                 STR     R1, [SP,#0x2D8+var_1C]
.text:00002786                 CMP     R6, #0
.text:00002788                 BNE     loc_278C
.text:0000278A                 B       loc_2A64

前面都好理解啊,就是到哪个__stack_chk_guard_ptr 很难理解是什么意思。那这个地址放的是什么呐,在Hopper里面看到地址放的是0。

那下面那几条语句很难理解啊,把0存入了一个内存,然后把地址为0的内容放入了内存中。 这时候我怀疑这个地址是在Java 加载SO的时候动态放进去的。

查了下,果然。这是个堆栈保护区。在程序开始的时候把它的值存起来,然后在程序结束的时候,再去看一下里面的值和保存起来的值是不是一致,如果一致的话。说明该程序没有被溢出攻击,如果不一致,抛出段错误,也就是segment deafult 。


为了印证这个想法,去看下程序最后怎么做的:

.text:00002A66                 LDR     R1, [SP,#0x2D8+var_2AC]
.text:00002A68                 LDR     R2, [SP,#0x2D8+var_1C]
.text:00002A6A                 MOVS    R0, R6
.text:00002A6C                 LDR     R3, [R1]
.text:00002A6E                 CMP     R2, R3
.text:00002A70                 BEQ     loc_2A76
.text:00002A72                 BLX     __stack_chk_fail

看到没,果然进行了一次比较。 呵呵。挺有意思的。 那意思是我如果再进行堆栈溢出的时候 更改玩EIP之后。一定要把这个值还原。

===================华丽的分割线==============================

这几天下载了一些堆栈溢出的资料分析,补充一下

这个值常见的有几种方式:

1、0x000aff0d

2、随机值 

如果是第一种方式的话,即使可以精准预测保护区的位置,也会对攻击造成麻烦,因为如果是strcpy攻击的话,遇见/0会终止。 如果gets的话,遇见\n会终止。

随机值就不可能预测啊,除非你要知道随机值如何生成的。

那就不能进行攻击了么,参考了下 http://staff.ustc.edu.cn/~bjhua/courses/security/2014/readings/stackguard-bypass.pdf

这篇文章,发现其实还是可以攻击的。就是要根据一些特殊情况,他举了例子,

这种代码可能是这样的:

int func(char *msg) {

    char buf[80];

    strcpy(buf,msg);

    // toupper(buf);        // just to give func() "some" sense

    strcpy(msg,buf);

}

int main(int argv, char** argc) {

        func(argc[1]);

}

其实这种代码挺常见的, 我刚学习C的时候经常写,想修改msg的信息,然后直接不好修改。通过复制过来,然后修改完再复制过去。

这种就会有攻击的漏洞,这样通过msg填写buff溢出把msg的地址给改了。这时候有人会说这样也会修改了 canary 字段。别慌。这个判断是在程序最后才会执行。

下一个语句,把buf的内容复制到msg指向的地址空间。哈哈。这样如果把msg指向GOT的表。很容易修改了exit()函数的函数指针,比如修改成注入的shellcode。

这样函数执行完判断发现 canary修改了,执行退出函数,然后就执行了exit();然后然后然后.... 就没有然后了。


鬼畵连篇
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
crc.rar_crc_tcp/ip stack
09-23
stack TCP/IP for windows 10
stack.zip.rar_zigbee stack
07-15
zigbee 协议堆栈 stack(简化协议)
hci.rar_bluetooth stack
09-21
BlueZ - Bluetooth protocol stack for Linux.
stackadt.rar_ADT stack_Different
09-24
A stack ADT for different stack operations.
TCP-IP.rar_Stack_tcp/ip stack
09-23
containing a complete tcp / ip protocol stack source
linux内核堆栈保护浅析
whuzm08的专栏
05-25 9071
一 启用方式 打开配置CONFIG_CC_STACKPROTECTOR,重新编译内核即可。 二 工作原理 搜索配置CONFIG_CC_STACKPROTECTOR产生的影响,可得到如下结果: 1.include/linux/stackprotector.h #ifdef CONFIG_CC_STACKPROTECTOR # include #else static inl
linux 内核安全增强(一)— stack canary
ashimida
09-15 5435
一、背景知识 ——aarch64的函数栈 1. 栈生长方向与push/pop操作 栈是一种运算受限的线性表,入栈的一端为栈顶,另一端则为栈底,其生长方向和操作顺序理论上没有限定.而在aarch64平台上: 栈是向低地址方向增长的(STACK_GROWS_DOWNWARD) 栈的PUSH/POP通常要先移动SP: PUSH操作为PRE_DEC,即 PUSH操作为 sp = sp -4; store; POP操作为 POST_INC,即POP操作为 read; sp=sp+4; ...
Linux编译x86架构内核出现_stack_chk_guard未定义错误
yanxiangyfg的专栏
07-18 6298
背景android模拟器运行于virtualbox中,而virtualbox运行于x86架构的pc端,所以android及其Linux内核都编译成x86架构。当virtualbox的vt未开启的情况下android系统会出现各种问题,如arm库游戏不能运行,桌面平凡挂死重启。通过查看日志,都奔溃在了#00 pc 000183c6 /system/lib/libc.so (__get_thread
去除__stack_chk_guard
狂奔的鸡骨架的博客
05-18 2033
-fno-stack-protector
undefined reference to `__stack_chk_guard' .. undefined reference to `__stack_chk_fail'
u012385733的专栏
06-20 9161
1. 编译出错 undefined reference to `__stack_chk_guard' undefined reference to `__stack_chk_fail' 解决方法-1:添加libssp库 libssp 包含支持GCC堆栈保护函数的程序 解决方法-2 : disable gcc  编译参数 -fstack-protector-all(启用堆栈保护), 将编译...
【iOS逆向与安全】使用ollvm混淆你的源码
yinjiyufei的博客
04-15 2195
【iOS逆向与安全】使用ollvm混淆你的源码
ARM汇编学习笔记(栈回溯-1)
whatnamecaniuse的专栏
09-03 713
https://www.leadroyal.cn/p/1125/ 本系列文章共三篇。本文是第一篇,讲一些栈回溯的背景,不涉及技术细节。关键词:arm unwind,ehabi,arm stacktrace。 起因 故事要从几个月前的一个 arm crash 说起,把 crash 交给新来的小朋友看,他说 IDA 里显示的栈回溯和logcat里显示的栈回溯是不一致的,问我为什么。 我说一直是logcat里看的,是正确的;那么 ida 里只有一层栈回溯肯定是错的,但我却解释不来原因,于是有了.
【buuctf】xor
qq_37301470的博客
02-10 643
buuctf xor 主函数 int __cdecl main(int argc, const char **argv, const char **envp) { char *v3; // rsi@1 __int64 v4; // rax@8 signed int i; // [sp+2Ch] [bp-124h]@2 char input[264]; // [sp+40h] [bp-110h]@1 __int64 v8; // [sp+148h] [bp-8h]@1 v8 = *
c++ 向量的值逆序输出_c++逆向 vector
weixin_32487647的博客
02-15 977
最近弄Android c/c++方面的逆向,发现c++的类,stl模板,在逆向的时候相比c语言都带来了不小的困难。今天自己写了个小程序,然后逆向分析了一下vector array_int;array_int.push_back(1);array_int.push_back(2);array_int.push_back(5);定义一个vector,然后添加数据。ida反汇编如下:(已添加注释). i...
IDA 逆向代码 --- _stack_chk_guard变量 之后的局部 怎么处理
生命不息 折腾不止
03-25 2126
场景:IDA逆向代码的时候,看到反编译出来的有边界检测,一般使用最后一个四字节局部变量A做边界检测,但B也有些情况下,这个边界后面还会定义一个局部变量B,根据反编译出来的代码,可以看出这个 B 没有什么实际的意义,代码使用它的地址来进行偏移访问前面的局部变量。 char s_reqcomand[100]; // [sp+14h] [bp-ECh]@1 unsigned __int8 v...
C语言代码的x86-64汇编指令分析过程记录
最新发布
Mamong's blog
08-06 1416
本文通过分析一个简单的C程序的x86-64汇编代码以及栈的存储情况,使读者对汇编程序的执行步骤有一个初步的了解。
树莓派4B--内核&驱动交叉编译--内核移植--驱动加载验证
weixin_53045124的博客
04-03 1899
记录在PC-VM虚拟机进行树莓派4b内核&驱动的交叉编译,内核移植,驱动加载测试验证过程先描述验证成功的方式,后期在描述遇到的问题。
sigsegv错误_通过捕获段错误实现的自定义linker
weixin_39538789的博客
12-04 176
本文为看雪论坛精华文章看雪论坛作者ID:Umiade0x00 简介最近在思考“如何在划水的同时让自己觉得不是在划水”,再加上一直对无源码的so加固方案有些兴趣,就找了自定义linker实现加固的方向在慢慢琢磨。然而想着想着思路慢慢歪了,就有了这个四不像的玩意,于是就想着把这个思路分享给大家。当然目前只是一个demo版本,大部分工作只是完成了一个可以直接运行text段指令的自定义linker,距离真...
mips-openwrt交叉编译 undefined reference to `__stack_chk_guard 错误
热门推荐
好记性不如赖笔头
12-02 1万+
最近在mips-openwrt的工具链中交叉编译可执行程序时,出现了以下的错误:     undefined reference to `__stack_chk_guard'     undefined reference to `__stack_chk_fail'     百度一下,得知这个错误的引起是因为启用了Stack Guard堆栈保护,什么是堆栈保护呢?如下:
return _stack_chk_guard - v40;
05-30
这段代码是在计算栈溢出的大小。变量 `_stack_chk_guard` 是 GCC 编译器中的一个保护变量,用于检测栈溢出。在函数开始时,该变量被赋值为一个随机数,函数结束时会与该变量的值进行比较,如果两个值不相等,则说明发生了栈溢出。变量 `v40` 存储的是函数结束时 `_stack_chk_guard` 的值,因此 `return _stack_chk_guard - v40;` 的结果就是栈溢出的大小。 需要注意的是,栈溢出的大小只是一个近似值,并不是准确的值。在实际应用中,需要结合其他工具和方法来检测和防止栈溢出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值