[讨论]win32asm子程序中uses寄存器列表的实现问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]win32asm子程序中uses寄存器列表的实现问题

2006-7-21 09:20 6749

[讨论]win32asm子程序中uses寄存器列表的实现问题

casn

2006-7-21 09:20

6749

通常,有"uses 寄存器列表"的子程序会由编译器在入口处添加如下指令：
　　　　push ebp
      mov ebp,esp
      add -(sizeof 局部变量列表）
　　　　push 列表中的各个寄存器

在每个出口处添加：
　　　　pop 列表中的相应寄存器
　　　　leave
      （注：下接retn指令）

这样来实现“uses寄存器列表”是有严重安全问题的(健壮性较差)！请看：
.386
.model flat,stdcall
option casemap:none

.code
Sub1 proc uses ebx Var
LOCAL x
add ebx,Var
mov x,ebx
push x
ret
Sub1 endp

start: invoke Sub1,5
end start

Sub1子程序执行前后ebx的内容发生了改变，违背了保护ebx的初衷；若作为回调函数提供给windows使用，将引发难以预料的恶果。
　　出现这一问题的主要原因，在于进栈、出栈不平衡（不配对）。而要由程序员保证进出栈一定平衡只是一种理想，难保不出现不平衡的情况；况且在某些特定情况下（姑且留个伏笔）就不是由程序员而是要由软件使用者（即用户）来保证进出栈平衡，那就更是难上加难了。
　　其实，要彻底解决这个问题也很简单，只须将“push 列表中的各个寄存器”移至子程序入口处的最前面（push ebp之前），并将“pop 列表中的相应寄存器”移至leave之后（retn指令之前），问题就得以解决！――当然，对参数的访问均需改为[参数原地址+sizeof 寄存器列表]。
　　强烈建议：编译器（包括但不限于汇编编译器）开发商要对上述问题有个客观的认识，采取可靠措施积极消除安全隐患。

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

收藏・0

点赞・7

打赏

最新回复 (12)
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2006-7-21 09:45 2 楼 0 是你自己的用法有问题，你push x了一个x值，没有相应的pop出栈，倒致堆栈错乱了，当然会出错了，你如果真要反回x的值，用eax来返回。
casn 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	casn 2006-7-21 16:06 3 楼 0 用例的目的是为了说明如何简便而又可靠地保证在堆栈不平衡的情况下,被保护的若干个寄存器在子程序返回后其值仍同子程序进入前一样，不牵涉到子程序的返回值。
vcool 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	vcool 2006-7-21 20:57 4 楼 0 这并不是USERS的安全问题,是你自己的用法错误,你不按标准用,就不要用USES,应该自己写代码处理
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 326 粉丝 0 关注私信	gkend 2006-7-21 21:21 5 楼 0 最初由 casn* 发布* 强烈建议：编译器（包括但不限于汇编编译器）开发商要对上述问题有个客观的认识，采取可靠措施积极消除安全隐患。提高认识的应该是你自己。你自己不遵守语言的语法规则，能怪编译器？编译器的智能程度不可能那么高。
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2006-7-28 15:52 6 楼 0 其实我明白楼主的意思，他说的是MASM在建立STACK FRAME的顺序上有点问题，我们知道一般的编译/汇编器是按照以下顺序建立STACK FRAME的： push ebx push esi push edi push ebp mov ebp,esp sub esp,xxx 而MASM则是： push ebp mov ebp,esp sub esp,xxx push ebx push esi push edi 这样就完全抹消掉使用ebp作为LOCAL基指针的好处了，在出口处MASM首先就要pop原来保护的寄存器，如果此时堆栈没有平衡的话，pop出来的内容就会不对。而其它的编译/汇编器会首先恢复esp，然后在原来esp的基础上恢复其它寄存器，这样即使堆栈不平衡也不会造成问题
casn 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	casn 2006-7-29 11:21 7 楼 0 坛友drwch的理解完全正确。理解万岁！
thebutterfly 雪币： 291 活跃值： (208) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 2006-7-29 12:28 8 楼 0 反汇编一些程序就可以发现，只要是微软的编译器编译的程序，都是先构造栈帧，然后保存ebx，esi,edi等寄存器，而不是先保存寄存器。不仅仅是MASM的问题例如，以下是kernel32.dll中的一段，可以发现它也是先构造堆栈然后才保存三个重要寄存器的 Exported fn(): LCMapStringA - Ord:023Bh :77E2569E 55 push ebp :77E2569F 8BEC mov ebp, esp :77E256A1 81EC08020000 sub esp, 00000208 :77E256A7 53 push ebx :77E256A8 56 push esi :77E256A9 57 push edi :77E256AA 8B7D0C mov edi, dword ptr [ebp+0C] :77E256AD 57 push edi :77E256AE FF7508 push [ebp+08] :77E256B1 E8820BFFFF call 77E16238 :77E256B6 33DB xor ebx, ebx :77E256B8 3BC3 cmp eax, ebx :77E256BA 8945F8 mov dword ptr [ebp-08], eax :77E256BD 0F84C3000000 je 77E25786 :77E256C3 395D1C cmp dword ptr [ebp+1C], ebx :77E256C6 0F8CBA000000 jl 77E25786 :77E256CC 7409 je 77E256D7 :77E256CE 395D18 cmp dword ptr [ebp+18], ebx :77E256D1 0F84AF000000 je 77E25786
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 2 关注私信	aa1ss2 2 2006-7-30 07:20 9 楼 0 最初由 drwch* 发布* 其实我明白楼主的意思，他说的是MASM在建立STACK FRAME的顺序上有点问题，我们知道一般的编译/汇编器是按照以下顺序建立STACK FRAME的： push ebx push esi push edi ........ 我好像还没有见过这种顺序，这样的话，传递给函数的参数就不能用了～
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2006-7-30 09:41 10 楼 0 只是指针变动一下而已，为何不能用？楼上可以试试GOASM，看看它与MASM在构造STACK FRAME上有什么区别
thebutterfly 雪币： 291 活跃值： (208) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 2006-7-30 09:50 11 楼 0 用MASM也可以指定是先保存寄存器或者是先构造栈帧使用OPTION PROLOGUE和OPTION EPILOGUE伪指令就可以做到
冲天剑雪币： 433 活跃值： (176) 能力值： ( LV13，RANK：1250 ) 在线值：发帖 49 回帖 230 粉丝 4 关注私信	冲天剑 31 2006-7-30 10:46 12 楼 0 push后跟ret？是在构造变形jmp吗？另外好象MASM里凡是在子程序里用到ret指令，编译器就会马上在前面加上leave，这样想用push/ret来构造变形跳转都无法做到，因为ret指令一用就变成leave然后从子程序返回了！
thebutterfly 雪币： 291 活跃值： (208) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 2006-7-30 10:49 13 楼 0 最初由冲天剑* 发布* 另外好象MASM里凡是在子程序里用到ret指令，编译器就会马上在前面加上leave，这样想用push/ret来构造变形跳转都无法做到，因为ret指令一用就变成leave然后从子程序返回了！可以做到的，用OPTION EPILOGUE:NONE就可以
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

casn

发帖

回帖

RANK

关注

私信

他的文章

[讨论]win32asm子程序中uses寄存器列表的实现问题

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2006-7-21 09:45 2 楼 0 是你自己的用法有问题，你push x了一个x值，没有相应的pop出栈，倒致堆栈错乱了，当然会出错了，你如果真要反回x的值，用eax来返回。
casn 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	casn 2006-7-21 16:06 3 楼 0 用例的目的是为了说明如何简便而又可靠地保证在堆栈不平衡的情况下,被保护的若干个寄存器在子程序返回后其值仍同子程序进入前一样，不牵涉到子程序的返回值。
vcool 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	vcool 2006-7-21 20:57 4 楼 0 这并不是USERS的安全问题,是你自己的用法错误,你不按标准用,就不要用USES,应该自己写代码处理
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 326 粉丝 0 关注私信	gkend 2006-7-21 21:21 5 楼 0 最初由 casn* 发布* 强烈建议：编译器（包括但不限于汇编编译器）开发商要对上述问题有个客观的认识，采取可靠措施积极消除安全隐患。提高认识的应该是你自己。你自己不遵守语言的语法规则，能怪编译器？编译器的智能程度不可能那么高。
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2006-7-28 15:52 6 楼 0 其实我明白楼主的意思，他说的是MASM在建立STACK FRAME的顺序上有点问题，我们知道一般的编译/汇编器是按照以下顺序建立STACK FRAME的： push ebx push esi push edi push ebp mov ebp,esp sub esp,xxx 而MASM则是： push ebp mov ebp,esp sub esp,xxx push ebx push esi push edi 这样就完全抹消掉使用ebp作为LOCAL基指针的好处了，在出口处MASM首先就要pop原来保护的寄存器，如果此时堆栈没有平衡的话，pop出来的内容就会不对。而其它的编译/汇编器会首先恢复esp，然后在原来esp的基础上恢复其它寄存器，这样即使堆栈不平衡也不会造成问题
casn 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	casn 2006-7-29 11:21 7 楼 0 坛友drwch的理解完全正确。理解万岁！
thebutterfly 雪币： 291 活跃值： (208) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 2006-7-29 12:28 8 楼 0 反汇编一些程序就可以发现，只要是微软的编译器编译的程序，都是先构造栈帧，然后保存ebx，esi,edi等寄存器，而不是先保存寄存器。不仅仅是MASM的问题例如，以下是kernel32.dll中的一段，可以发现它也是先构造堆栈然后才保存三个重要寄存器的 Exported fn(): LCMapStringA - Ord:023Bh :77E2569E 55 push ebp :77E2569F 8BEC mov ebp, esp :77E256A1 81EC08020000 sub esp, 00000208 :77E256A7 53 push ebx :77E256A8 56 push esi :77E256A9 57 push edi :77E256AA 8B7D0C mov edi, dword ptr [ebp+0C] :77E256AD 57 push edi :77E256AE FF7508 push [ebp+08] :77E256B1 E8820BFFFF call 77E16238 :77E256B6 33DB xor ebx, ebx :77E256B8 3BC3 cmp eax, ebx :77E256BA 8945F8 mov dword ptr [ebp-08], eax :77E256BD 0F84C3000000 je 77E25786 :77E256C3 395D1C cmp dword ptr [ebp+1C], ebx :77E256C6 0F8CBA000000 jl 77E25786 :77E256CC 7409 je 77E256D7 :77E256CE 395D18 cmp dword ptr [ebp+18], ebx :77E256D1 0F84AF000000 je 77E25786
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 2 关注私信	aa1ss2 2 2006-7-30 07:20 9 楼 0 最初由 drwch* 发布* 其实我明白楼主的意思，他说的是MASM在建立STACK FRAME的顺序上有点问题，我们知道一般的编译/汇编器是按照以下顺序建立STACK FRAME的： push ebx push esi push edi ........ 我好像还没有见过这种顺序，这样的话，传递给函数的参数就不能用了～
drwch 雪币： 222 活跃值： (10) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 234 粉丝 0 关注私信	drwch 3 2006-7-30 09:41 10 楼 0 只是指针变动一下而已，为何不能用？楼上可以试试GOASM，看看它与MASM在构造STACK FRAME上有什么区别
thebutterfly 雪币： 291 活跃值： (208) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 2006-7-30 09:50 11 楼 0 用MASM也可以指定是先保存寄存器或者是先构造栈帧使用OPTION PROLOGUE和OPTION EPILOGUE伪指令就可以做到
冲天剑雪币： 433 活跃值： (176) 能力值： ( LV13，RANK：1250 ) 在线值：发帖 49 回帖 230 粉丝 4 关注私信	冲天剑 31 2006-7-30 10:46 12 楼 0 push后跟ret？是在构造变形jmp吗？另外好象MASM里凡是在子程序里用到ret指令，编译器就会马上在前面加上leave，这样想用push/ret来构造变形跳转都无法做到，因为ret指令一用就变成leave然后从子程序返回了！
thebutterfly 雪币： 291 活跃值： (208) 能力值： ( LV12，RANK：210 ) 在线值：发帖 10 回帖 548 粉丝 2 关注私信	thebutterfly 5 2006-7-30 10:49 13 楼 0 最初由冲天剑* 发布* 另外好象MASM里凡是在子程序里用到ret指令，编译器就会马上在前面加上leave，这样想用push/ret来构造变形跳转都无法做到，因为ret指令一用就变成leave然后从子程序返回了！可以做到的，用OPTION EPILOGUE:NONE就可以
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复