GCC堆金丝雀的位置

Question

除非我误解了什么，否则金丝雀值的位置似乎可以在ebp之前或之后，因此在第二种情况下，攻击者可以在不接触金丝雀的情况下覆盖帧指针。

例如，在这个片段中，金丝雀位于比ebp低的地址(ebp)，因此保护它(攻击者必须覆盖金丝雀以覆盖ebp)：

0x080484e0 <+52>: mov eax,DWORD PTR [ebp-0xc]
0x080484e3 <+55>: xor eax,DWORD PTR gs:0x14
0x080484ea <+62>: je 0x80484f1 <func+69>
0x080484ec <+64>: call 0x8048360 <__stack_chk_fail@plt>

然而，看看其他代码，金丝雀在rbp+8之后

​

​

我该怎么解释呢？这要看GCC的版本还是别的什么？

Answer 1

金丝雀总是低于框架指针，每一个版本的gcc我都试过。您可以在gdb反汇编紧接IDA反汇编的下面的博客文章中看到这一点，这篇文章中有mov rax, QWORD PTR [rbp-0x8]。

我认为这只是IDA反汇编程序的一个产物。它没有显示rbp-relative地址的数字偏移量，而是为每个堆栈槽分配一个名称，然后显示名称；基本上假定每个rbp-relative访问都是局部变量或参数。它看起来总是用+显示这个名称，而不管偏移量是正的还是负的。请注意，buf和fd也会得到一个+符号，尽管它们是局部变量，它们明显低于框架指针。

在本例中，它将金丝雀var_8命名为局部变量。因此，我想正确地翻译它，您必须将var_8看作具有-8值的值。