《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 在IAR Embedded Workbench開發(fā)工具中如何實(shí)現(xiàn)堆棧保護(hù)來(lái)提高代碼的安全性

在IAR Embedded Workbench開發(fā)工具中如何實(shí)現(xiàn)堆棧保護(hù)來(lái)提高代碼的安全性

2022-05-29
來(lái)源:IAR Systems
關(guān)鍵詞: IAREmbeddedWorkbench CAN總線 Safety

  隨著越來(lái)越多的嵌入式產(chǎn)品連接到外部網(wǎng)絡(luò),嵌入式產(chǎn)品的信息安全性(Security)越來(lái)越多地被人們關(guān)注。其中既包括直接連接到外部網(wǎng)絡(luò),比如通過(guò)Wi-Fi連接;也包括間接連接到外部網(wǎng)絡(luò),比如汽車中的ECU通過(guò)CAN總線與T-box相連,而T-box通過(guò)移動(dòng)網(wǎng)絡(luò)可以連接到外部網(wǎng)絡(luò)。特別是對(duì)于一些高功能安全性(Safety)要求的產(chǎn)品,如工業(yè),汽車,醫(yī)療產(chǎn)品等,信息安全成為了功能安全的前提(There Is No Safety Without Security)。

  在C/C++中,堆棧緩存溢出(Stack Buffer Overflow)是一種常見的錯(cuò)誤:當(dāng)程序往堆棧緩存(Stack Buffer)寫數(shù)據(jù)時(shí),由于堆棧緩存通常采用固定長(zhǎng)度,如果需要寫的數(shù)據(jù)長(zhǎng)度超過(guò)堆棧緩存的長(zhǎng)度時(shí),就會(huì)造成堆棧緩存溢出。堆棧緩存溢出會(huì)覆蓋堆棧緩存臨近的堆棧數(shù)據(jù),其中可能包含函數(shù)的返回地址,就會(huì)造成函數(shù)返回時(shí)異常。如果堆棧緩存溢出是攻擊者利用代碼的漏洞蓄意造成的,它就稱為堆棧粉碎(Stack Smashing)。堆棧粉碎是常用的一種攻擊手段。

  堆棧金絲雀(Stack Canaries), 因其類似于在煤礦中使用金絲雀來(lái)感測(cè)瓦斯等氣體而得名,它可以用于在函數(shù)返回之前檢測(cè)堆棧緩存溢出來(lái)實(shí)現(xiàn)堆棧保護(hù)(Stack Protection),從而提高代碼的安全性。

  相對(duì)于很多更加關(guān)注發(fā)揮器件性能的原廠開發(fā)工具,一些在行業(yè)中被廣泛使用的商用開發(fā)工具更加關(guān)注性能和安全性的平衡性和完整性。本文以過(guò)去數(shù)十年來(lái)在行業(yè)中被廣泛采用的商用工具鏈IAR Embedded Workbench為例,介紹如何在工具中實(shí)現(xiàn)堆棧保護(hù),從而提高代碼的安全性。

  堆棧粉碎

  在C/C++中,堆棧(Stack)用于保存程序正常運(yùn)行(比如函數(shù)調(diào)用或者中斷搶占)的臨時(shí)數(shù)據(jù),可能包含如下數(shù)據(jù):

  沒(méi)有存儲(chǔ)在寄存器中的函數(shù)參數(shù)和局部變量

  沒(méi)有存儲(chǔ)在寄存器中的函數(shù)返回值和函數(shù)返回地址

  CPU和寄存器狀態(tài)

  由于堆棧保存的是保證程序正常運(yùn)行的臨時(shí)數(shù)據(jù),堆棧緩存溢出會(huì)覆蓋堆棧緩存臨近的堆棧數(shù)據(jù),這些數(shù)據(jù)可能包含函數(shù)的返回地址,如果發(fā)生時(shí)一般會(huì)造成程序運(yùn)行異常。攻擊者經(jīng)常利用這一點(diǎn)來(lái)進(jìn)行堆棧粉碎攻擊。

  下面通過(guò)一個(gè)簡(jiǎn)單的例子來(lái)說(shuō)明堆棧粉碎攻擊:

  void foo(char *bar)

  {

  char c[12];

  strcpy(c, bar);  // no bounds checking

  }

  foo()函數(shù)將函數(shù)參數(shù)輸入復(fù)制到本地堆棧變量c。如下圖B所示:當(dāng)函數(shù)參數(shù)輸入小于12個(gè)字符時(shí),foo()函數(shù)會(huì)正常工作。如下圖C所示:當(dāng)函數(shù)參數(shù)輸入大于11個(gè)字符時(shí),foo()函數(shù)會(huì)覆蓋本地堆棧的數(shù)據(jù),將函數(shù)返回地址覆蓋為0x80C03508,當(dāng)foo()函數(shù)返回時(shí),會(huì)執(zhí)行地址0x80C03508對(duì)應(yīng)的代碼A,代碼A有可能包含攻擊者提供的shell代碼,從而使攻擊者獲得操作權(quán)限。

  

1.jpg

  圖:堆棧粉碎示例

  堆棧保護(hù)

  因其功能類似于在煤礦中用來(lái)發(fā)現(xiàn)瓦斯的金絲雀而得名的堆棧金絲雀(Stack Canaries),可以用于在函數(shù)返回執(zhí)行惡意代碼之前檢測(cè)堆棧緩存溢出。其檢測(cè)原理是:當(dāng)調(diào)用函數(shù)時(shí),將需要保存的臨時(shí)數(shù)據(jù)保存到堆棧,然后放置一個(gè)堆棧金絲雀,當(dāng)函數(shù)返回時(shí),檢查堆棧金絲雀的值是否發(fā)生改變;如果發(fā)生改變,說(shuō)明堆棧已被篡改,否則說(shuō)明堆棧沒(méi)有被篡改。

  下面介紹如何在IAR Embedded Workbench這種廣受歡迎的商用工具鏈中實(shí)現(xiàn)堆棧保護(hù),從而提高代碼的安全性:

  在IAR Embedded Workbench中,會(huì)使用啟發(fā)模式(Heuristic)來(lái)決定函數(shù)是否需要堆棧保護(hù): 如果函數(shù)局部變量包含數(shù)組類型或者結(jié)構(gòu)體成員包含數(shù)組類型,或者局部變量的地址在該函數(shù)外被使用,該函數(shù)需要堆棧保護(hù)。

  IAR Embedded Workbench安裝目錄下面\src\lib\runtime包含stack_protection.c,里面包含了__stack_chk_guard變量和__stack_chk_fail函數(shù),可以作為模板使用:其中__stack_chk_guard變量就是堆棧金絲雀的值,在函數(shù)返回時(shí),如果檢測(cè)到堆棧金絲雀的值被篡改,就會(huì)調(diào)用__stack_chk_fail函數(shù)。

  1.將IAR Embedded Workbench安裝目錄下面\src\lib\runtime文件夾的stack_protection.c拷貝并添加到工程。

  2.在IAR Embedded Workbench中啟用堆棧保護(hù)。

  2.png

  3.在代碼中聲明堆棧保護(hù)相關(guān)的__stack_chk_guard變量和__stack_chk_fail函數(shù)。

  extern uint32_t __stack_chk_guard;

  __interwork __nounwind __noreturn void __stack_chk_fail(void);

  4.編譯工程。編譯器會(huì)在需要堆棧保護(hù)的函數(shù)中添加如下操作:在函數(shù)入口處先入棧(Push),然后再額外保存堆棧金絲雀,具體的值用戶可以在stack_protection.c中更改__stack_chk_guard;在函數(shù)出口,會(huì)檢測(cè)堆棧金絲雀的值是否還是__stack_chk_guard,如果不是,說(shuō)明堆棧被篡改,會(huì)調(diào)用__stack_chk_fail函數(shù)。

  調(diào)試

  將斷點(diǎn)打到需要堆棧保護(hù)的函數(shù)反匯編(Disassembly)入口,暫停后發(fā)現(xiàn)編譯器在函數(shù)入口處入棧操作之后額外將堆棧金絲雀保存:

  

3.png

4.png

  在函數(shù)出口處打斷點(diǎn),然后運(yùn)行程序,在函數(shù)返回時(shí),會(huì)先檢測(cè)堆棧金絲雀的值是否還是__stack_chk_guard,如果不是,說(shuō)明堆棧被篡改,會(huì)調(diào)用__stack_chk_fail函數(shù)。

  

5.png

  改變堆棧金絲雀的值使之與__stack_chk_guard不一致,然后運(yùn)行程序,函數(shù)返回時(shí)將會(huì)調(diào)用__stack_chk_fail函數(shù):

 

6.png

  總結(jié)

  本文主要介紹了堆棧粉碎攻擊如何利用堆棧緩存溢出來(lái)影響代碼的安全性。通過(guò)在IAR Embedded Workbench中實(shí)現(xiàn)堆棧保護(hù)可以檢測(cè)堆棧的完整性,從而提高代碼的安全性。

  參考文獻(xiàn):

  1.https://en.wikipedia.org/wiki/Stack_buffer_overflow

  2.https://cwe.mitre.org/data/definitions/121.html

  3.https://en.wikipedia.org/wiki/Buffer_overflow_protection

  4.https://www.iar.com/knowledge/learn/programming/stack-protection-in-iar-embedded-workbench/

  5.IAR C/C++ Development Guide (Stack protection)





圖片.jpg


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。