避免使用 .data 段

Question

有没有办法避免编译后的代码使用 .data 段？是否可以编写 C 代码并使用编译器选项强制所有内容都在 .text 中？ 我问的原因是因为我想将另一个程序的汇编代码放入堆栈并从那里运行代码。所以如果这个程序正在使用数据段，它将无法工作。

Answer 1

有没有办法避免编译后的代码使用 .data 段？

有多种方法 - 编写根本不使用数据的代码；使用编译器特定的扩展（例如 GCC 中的“__attribute__((section("name")))”），编写一个链接器脚本，将输入文件的 .data 和 .rodata 部分中的所有内容推入输出文件的 .text 部分；有一个名为 .myData 的全新部分，而不是 .data，等等。

是否可以编写 C 代码并使用编译器选项强制所有内容都在 .text 中？

是的，如果您想花费数年时间编写自己的编译器等，一切皆有可能。

问题在于这是关于权限的。现代 CPU 允许操作系统说“此内存区域不可执行”或“此内存区域不可修改”，并由硬件强制执行以捕获错误并避免安全灾难。部分是您如何告诉操作系统权限应该是什么（例如，可执行和只读.text，不可执行和只读.rodata，不可执行和可修改.data）。如果打破它，你最终会得到比必要更糟糕的结果（检测错误的机会更少，安全灾难的机会更多）。

它还可能导致 CPU 出现性能问题（“L1 指令缓存”的一半浪费了缓存数据，“L1 数据缓存”的一半浪费了缓存指令，CPU 认为这是自修改代码，因为您在同一缓存行或与指令相同的页面）。

我问的原因是因为我想把另一个程序的汇编代码放在堆栈中并从那里运行代码。

通常堆栈是“不可执行的”，因此它可能会崩溃。要解决这个问题，您可能需要特殊代码来更改堆栈使用的内存区域的权限，但是如果您可以修改其他程序来做到这一点，那么您也可以修改其他程序以直接包含程序集并避免需要愚蠢的废话。

Answer 2

听起来您想使用编译器输出来制作可用于代码注入的 shellcode。 （例如，通过溢出堆栈缓冲区，在具有可执行堆栈的遗留程序中）。

是的，一切都需要在一个字节中，基本上是一个扁平的二进制文件，并且与位置无关。

您可以手动编辑编译器的 asm 输出以将 .rodata 甚至 .data 放入 .text。您可以通过编译与ld -N (--omagic) 的链接以使.text 可写，从而在独立的可执行文件中对此进行测试。

当然，这只适用于您正在编译的 ISA 具有 PC 相对寻址，例如 x86-64 但不是 32 位 x86。在 32 位 x86 中对内存操作数使用标签会导致机器代码中出现绝对地址，这在注入到未知地址的堆栈时显然无法工作。

（相关：-zexecstack 使所有内存都可执行，因此代码注入攻击可以工作。这不是默认设置；代码注入在维护 W^X 的系统上不起作用（没有可写和可执行的页面).)

---

所以你真正应该做的就是不使用任何库函数，不使用任何全局变量或static 变量。即编写不使用任何静态存储类变量的代码，只有自动的。如果您需要一个小缓冲区，请使用本地数组。

您还需要使用内联 asm 包装宏进行系统调用，而不是通常的 libc 包装函数。