Что такое% gs в сборке

GS - это регистр сегментов, его использование в Linux можно прочитать здесь (в основном используется для данных по потоку).

mov    %gs:0x14,%eax
xor    %gs:0x14,%eax

этот код используется для проверки того, что стек не взорвался или не был поврежден, с использованием канареечного значения, хранящегося в GS + 0x14, см. this.

gcc -fstack-protector=strong включен по умолчанию во многих современных дистрибутивах; вы можете использовать gcc -fno-stack-protector, чтобы не добавлять эти проверки. (На x86 локальное хранилище потока стоит дешево, поэтому GCC сохраняет в нем рандомизированное канареечное значение, что несколько затрудняет утечку.)

ES, FS, GS: регистры дополнительных сегментов. Могут использоваться как регистры дополнительных сегментов; также используется в специальных инструкциях, которые охватывают сегменты (например, копии строк). взято отсюда

http://www.hep.wisc.edu/~pinghc/x86AssmTutorial.htm

В языках ассемблера в стиле AT&T знак процента обычно указывает регистр. В процессорах семейства x86 начиная с 386 года GS является одним из так называемых сегментных регистров. Однако в средах с защищенным режимом регистры сегментов работают как регистры селектора.

Селектор виртуальной памяти представляет собой собственное отображение виртуального адресного пространства вместе со своим собственным режимом доступа. На практике %gs:0x14 можно рассматривать как ссылку на массив, источник которого хранится в% gs (хотя ЦП выполняет небольшое дополнительное разыменование). В современных системах GNU / Linux %gs обычно используется для указания на локальную область хранения потока. Однако в коде, о котором вы спрашиваете, имеет значение только один элемент TLS - канарейка стека.

Идея состоит в том, чтобы попытаться обнаружить ошибку переполнения буфера, поместив случайное, но постоянное значение - оно называется канарейкой стека в память о канарейках, которые шахтеры использовали для сигнализации увеличения уровня ядовитых газов за счет dying - в стек перед вызовом gets(), над его фреймом стека, и проверьте, остается ли он там после того, как gets() вернется. gets() не имеет права перезаписывать эту часть стека - она ​​находится за пределами своего собственного фрейма стека, и ей не дается указатель на нее - поэтому, если канарейка стека умерла, что-то пошло не так опасным образом. (C как среда программирования особенно подвержена такого рода ошибкам, и исследователи безопасности научились использовать многие из них за последние двадцать лет или около того. Кроме того, gets() оказывается функцией, которая по своей природе подвержена риску для переполнения целевого буфера.) Вы не предложили адреса своим кодом, но 0x80484ac, скорее всего, является адресом leave, а call 0x8048394, который выполняется в случае несоответствия (то есть перепрыгивает je 0x80484ac в случае совпадения), является вероятно, вызов __stack_chk_fail(), предоставляемый libc для обработки повреждения стека, спасаясь от метафорической ядовитой шахты.

Причина, по которой каноническое значение канарейки стека хранится в локальном хранилище потока, заключается в том, что таким образом каждый поток может иметь свою собственную канарейку стека. Сами стеки обычно не разделяются между потоками, поэтому естественно также не разделять канареечное значение.