ARM BTI指令介绍

最新推荐文章于 2023-05-17 07:18:33 发布
最新推荐文章于 2023-05-17 07:18:33 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: ARM 文章标签: 安全 ARM
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xcxhzjl/article/details/128780444
版权

目录

一、JOP

二、BTI

三、启用BTI

四、BTI是怎么实现的

一、JOP

JOP(Jump-oriented programming)类似于ROP(Return-Oriented Programming)。在 ROP 攻击中,会扫描出useful gadgets(易被攻击的一段代码),并将其串在一起(一般通过修改指令的跳转地址)。ROP 的useful gadgets一般为以函数返回 (RET) 结尾的序列。JOP 的useful gadgets则一般以间接跳转结尾,如函数指针或 case 语句。如下所示:

JOP 

攻击者利用 BLR 或 BR 指令可以针对任何可执行地址,而不仅仅是编译器或开发人员定义的入口点地址。

二、BTI

为了防止 JOP 攻击,Armv 8.5 引入了BTI(branch target indentificating)指令 。BTI(也称为 landing pads)可以配置处理器,以便 BR 和 BLR指令只能允许目标BTI指令。如果BR 和 BLR指令的目标不是BTI,则会生成跳转目标异常,如下所示:

BTI

BTI的使用大大减少了BR 和 BLR指令的可能目标数量,并使攻击变得更加困难。

三、启用BTI

使用转换表中的bit位(guarded page,GP 位)为每个页表启用BTI,此时GP=1。每页控件允许文件系统包含受登陆板保护的代码和旧代码的混合,如下所示:

BTI

BTI 指令的编码(如指针身份验证指令)在 NOP 空间内分配。受 BTI 保护的代码在不支持 BTI 的旧处理器上运行时,或者当 GP=0 时仍然可以运行,尽管没有额外的保护。

四、BTI是怎么实现的

PSTATE 新增字段 BTYPE记录跳转指令类型的。在执行间接跳转指令时,间接跳转的类型记录在 PSTATE.BTYPE中。以下列表显示了 BTYPE 对不同跳转指令采用的值:

BTYPE=11: BR, BRAA, BRAB, BRAAZ, BRABZ 与 X16 或 X17 以外的任何寄存器
BTYPE=10: BLR, BLRAA, BLRAB, BLRAAZ, BLRABZ
BTYPE=01: BR, BRAA, BRAB, BRAAZ, BRABZ 与 X16 或 X17

执行任何其他类型的指令(包括直接跳转)会导致 BTYPE 设置为 b00。

为什么要存储两个位?这样可以记录间接跳转是否正在进行中。但是,记录间接跳转的类型进一步限制了查找小工具的可能性。BTI 指令的语法包含一个参数,用于指定它可以由哪些类型的间接跳转作为目标:

Argument

Accepted PSTATE.BTYPE

Use case

BTI c

0b10 and 0b01

函数调用

BTI j

0b11 and 0b01

非函数调用分支,如case语句

BTI jc

All

All

当 BTYPE!=00 时,处理器会检查目标指令是否为登陆指令。如果它不是登陆,或者它是错误类型的间接跳转,则会生成异常。 

参考资料:Learn the architecture - Providing protection for complex software (arm.com)

趣多多代言人
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
14-Providing protection for complex software
baron-周贺贺-代码改变世界ctw
10-07 314
目录1 Overview1.1. Before you begin2 Stack smashing and execution permissions3 Return-oriented programming3.1. Pointer authentication3.2. How is the PAC checked?3.3. New instructions3.4. Use of the NOP space3.5. Enabling pointer authentication4 Jump-oriented
ARM BTI安全特性使用效果示例
最新发布
李老板的移动安全杂货铺
12-13 787
然后,在`Protect`函数中,我们使用`bti`指令来插入BTI保护。在这个示例中,`vulnerable_func`函数中的汇编代码使用`pop {pc}`指令,该指令从堆栈中弹出一个值,并将其作为程序计数器(PC)的值,从而可以将执行流转移到攻击者控制的代码段,从而进行恶意操作。在这个示例中,我们首先使用`__attribute__((used, naked, section(".text.bti")))`指令定义了一个`Protect`函数,并将其放置在`.text.bti`节中。
ARM 指令集>>跳转指令
嵌入精灵
12-25 1483
<br />一、跳转指令<br />跳转指令用于实现程序流程的跳转,在ARM 程序中有两种方法可以实现程序流程的跳转:<br />Ⅰ.使用专门的跳转指令。<br />Ⅱ.直接向程序计数器PC 写入跳转地址值。<br />通过向程序计数器PC 写入跳转地址值,可以实现在4GB 的地址空间中的任意跳转,在跳转之前结合使用 MOV LR,PC 等类似指令,可以保存将来的返回地址值,从而实现在4GB 连续的线性地址空间的子程序调用。<br />ARM指令集中的跳转指令可以完成从当前指令向前或向后的32MB的地址空间
ARM指令格式和时序
yyt7529的专栏
08-07 993
<br />目录 <br />处理器模式<br />寄存器<br />流水线<br />时序<br />指令<br />条件代码<br />数据处理指令<br />分支指令<br />乘法<br />长乘法(ARM7DM)<br />单一数据传送<br />块数据传送<br />软件中断<br />协处理器数据操作<br />协处理器数据传送和寄存器传送<br />单一数据交换(ARM 3 和以后,包括 ARM 2aS)<br />状态寄存器传送(ARM 6 和以后)<br />未定义指令<br />贡献<
ARMv8 编程】A64 流控制指令
洪伟的专栏
05-17 654
A64 指令集提供了许多不同种类的分支指令。对于简单的相对分支,即那些从当前地址偏移的分支,使用 B 指令。无条件简单相对分支可以从当前程序计数器位置向后或向前分支最多 128MB。有条件的简单相对分支,其中条件代码附加到 B,具有 ±1MB 的较小范围。调用子程序时,需要将返回地址存储在链接寄存器(X30)中,使用 BL 指令。这没有条件版本。BL 的行为类似于 B 指令,具有将返回地址存储在寄存器 X30 中的附加作用,返回地址是 BL 之后指令的地址。
ARM汇编指令
ConceptCon
10-15 2308
ARM汇编指令 ARM处理器的指令集可以分为跳转指令、数据处理指令、程序状态寄存器(PSR)处理指令、加载/存储指令、协处理器指令和异常产生指令6大指令。 一、跳转指令 跳转指令用于实现程序流程的跳转,在ARM程序中有以下两种方法可以实现程序流程的跳转。 Ⅰ.使用专门的跳转指令; Ⅱ.直接向程序计数器PC写入跳转地址值,通过向程序计数器PC写入跳转地址值,可以实现在4GB的地址空间中的任
ARM64基础7:A64的比较和跳转指令
科学边界
08-25 4203
pstate的nzcv标志位 条件标志位 描述 N 负数标志(上次运算结果为负值,则N=1,否则N=0) Z 上次运算结果为0 C 对于加法运算,无符号溢出,C=1, 其他不变 V 有符号溢出 条件码 后缀助记符 标志位 定义 0000 EQ Z=1 相等 0001 NE Z=0 不相等 0010 CS/HS C=1 无符号大于或者等于 0011 CC/LO C=0 无符号小于 0100 MI N=1 负值 0101 PL N=0 正值或0
bti
03-18
关于Laravel Laravel是一个具有表达力,优雅语法的Web应用程序框架。我们认为,发展必须是一种令人愉快的,富有创造力的经历,才能真正实现。 Laravel试图通过减轻大多数Web项目中使用的常见任务来减轻开发工作的...
S7300指令
07-31
5. **转换指令**:如`BTD`和`BTI`将BCD(二进制编码的十进制)转换为整数,`CAD`和`CAW`用于改变累加器1中的字节顺序。这在处理不同字节顺序的数据时非常有用。 6. **装入/传送指令**:`CAR`指令用于交换地址寄存器...
西门子PLC指令手册
06-12
### 西门子PLC指令手册知识点概览 #### 第1章 位逻辑指令 **1.1 LD指令:载入常开触点** - **功能**:此指令用于加载一个常开触点到梯形图中。 - **用法**:在程序中首次使用时,LD指令用于启动一个新的逻辑序列。...
ARM 指令集(英蓓特中文版chm格式)
04-10
<br>ARM 指令集<br>(chm格式查找比较方便,这个版本是网上常见的那个中文版本)<br><br>目录<br>寄存器和处理器模式(26-bit 体系) <br>寄存器和处理器模式(32-bit 体系) <br>程序状态寄存器和操纵它的指令 <br>寄存器装载和存储指令 <br>算术和逻辑指令 <br>移位操作 <br>乘法指令 <br>比较指令 <br>分支指令 <br>条件执行 <br>软件中断指令 <br>APCS (ARM 过程调用标准) <br>编写安全的 32-bit 代码的基本规则 <br>IEEE 浮点指令 <br>汇编器伪指令 <br>指令快速查找 <br>ARM 指令格式 <br>
arm汇编指令中文完整版
01-25
arm汇编指令中文完整版<br>特别完善,特别详细,是arm网站上下载的。
ATHStudia_BTI
03-02
【ATHStudia_BTI】项目是一个基于C#编程语言的软件开发项目,它可能是一个学习平台或工具,专门设计用于提升技术教育和研究。在深入解析这个项目的具体知识点之前,我们先了解一下C#的基本概念。 C#是微软公司推出...
STl语句指令
12-22
以上列举了西门子PLC300/400系列中STL语句指令表的一些主要指令及其功能介绍。这些指令为工程师提供了强大的工具,使得他们能够灵活地设计和实现复杂的控制系统。通过合理运用这些指令,可以极大地提高PLC程序的效率...
ARM常见汇编指令总结
boom的博客
11-21 2416
ARM常见汇编指令
汇编-ARMv8架构指令
SeventhD7
07-05 5356
arm 汇编
系统与软件安全研究(二)
至臻求学,胸怀云月
03-05 308
一篇arxiv 2021 基于x86-64架构下自动化ROP利用方法
[ARM异常]-异常进入和异常退出时的arm core的硬件自动的行为
baron-周贺贺-代码改变世界ctw
12-04 1078
IRQ,FIQ,Serror, 中断,同步异常,异步异常,TF-A,TF-M,ATF,TrustedFirmware,trustzone,TEE,optee,trusty,tlk,lk,armv8,armv9,arm,secureboot,BL31,BL32,BL1,BL2,hypervisor,终端安全,secureboot,security,virtulization
ARM指令集详解(超详细!带实例!)
热门推荐
寒冬向着西北的窗
08-24 3万+
原文地址 算术和逻辑指令 ADC : 带进位的加法 (Addition with Carry) ADC{条件}{S} &amp;lt;dest&amp;gt;, &amp;lt;op 1&amp;gt;, &amp;lt;op 2&amp;gt; dest = op_1 + op_2 + carry ADC 将把两个操作数加起来,并把结果放置到目的寄存器中。它使用一个进位标志位,这样就可以做比 3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

趣多多代言人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值