运行时错误检查(/RTC)编译选项及实现原理

时间:2021-06-11 03:57:42

 

运行时错误检查(/RTC)编译选项及实现原理

 

作者:童磊(magictong

 

环境:VS2005

前因后果:debug居然编不过!!!这里准备说4个例子,都是为了说明debug版本对于调试是很重要的,很多问题在调试版本下都会提前暴露出来。

 

注意:随意调整优化,可调试选项可能会遇到下面的编译错误:

Command line error D8016 : '/O2' and '/RTC1' command-line options are incompatible

 

http://msdn.microsoft.com/zh-cn/library/8wtf2dfz(v=vs.80).aspx

1/GS

名称:缓冲区安全检查(http://msdn.microsoft.com/zh-cn/library/8dbf701c(v=vs.80).aspx)。

编译选项位置:C/C++ à Code Generation à Buffer Security Check

说明:缓冲区溢出安全检测,要强调的是,该编译选项并不是对每一个函数都设置安全cookies。编译器首先会判断一个函数是否是属于“潜在危险”的函数,例如是否在函数的堆栈上分配了字符串数组等等,就可以作为一个特征(编译器怎么判断的偶没研究过o(_)o )。只有被编译器判断是存在“潜在危险”的函数之后,编译器才会在这个函数里面使用安全cookie检测。但是要注意,它不能预防所有的安全漏洞。

原理:

#include "stdafx.h"

#include <string.h>

void Function(const char*);

 

int _tmain(int argc, _TCHAR* argv[])

{

         char pBuf[] = "aaaaaaaaaaaa";

         Function(pBuf);

         return 0;

}

 

void Function(const char* pBuf)

{

         char szBuf[10];

         strcpy(szBuf, pBuf);

}

void Function(const char* pBuf)

{

004017E0  push        ebp 

004017E1  mov         ebp,esp

004017E3  sub         esp,10h

004017E6  mov         eax,dword ptr [___security_cookie (403000h)]

004017EB  xor         eax,ebp

004017ED  mov         dword ptr [ebp-4],eax

      char szBuf[10];

      strcpy(szBuf, pBuf);

004017F0  mov         eax,dword ptr [ebp+8]

004017F3  push        eax 

004017F4  lea         ecx,[ebp-10h]

004017F7  push        ecx 

004017F8  call        strcpy (401010h)

004017FD  add         esp,8

}

00401800  mov         ecx,dword ptr [ebp-4]

00401803  xor         ecx,ebp

00401805  call        __security_check_cookie (401000h)

0040180A  mov         esp,ebp

0040180C  pop         ebp 

0040180D  ret

 

__security_check_cookie声明:

void __declspec(naked) __fastcall __security_check_cookie(UINT_PTR cookie)

 

00401000  cmp        ecx,dword ptr [___security_cookie (403000h)]

00401006  jne         failure (40100Ah)

00401008  rep ret         

0040100A  jmp        __report_gsfailure(4012BFh)

运行时错误检查(/RTC)编译选项及实现原理

备注:

在以下情况中,编译器不会对易受攻击的参数提供安全保护:

a.函数不包含缓冲区。

b.如果未启用优化 ( /O 选项(优化代码))

c.函数具有可变参数列表 (...)

d.函数标记为 naked (C++)

e.函数的第一行语句包含内联程序集代码。

f.如果仅通过在缓冲区溢出事件中不太可能利用的方式使用参数。

 

2/ RTCu

名称:未初始化变量使用检查

编译选项位置:C/C++ à Code Generation à Basic Runtime Checks

说明:这是一个动态的警告,编译的时候也会有警告,不过这个是动态的警告,更直观。

原理:

void Function(const char* pBuf)

{

         int a;

         int b;

         b = a;

}

         通过额外使用一个变量来跟踪某个变量是否初始化,下面的代码里面那个额外的跟踪变量放在[ebp-49h]里面。

0042D759  mov         byte ptr [ebp-49h],0

0042D75D  cmp         byte ptr [ebp-49h],0

0042D761  jne         Function+20h (42D770h)

0042D763  push        offset  (42D77Dh)

0042D768  call        @ILT+1935(__RTC_UninitUse) (42B794h)

0042D76D  add         esp,4

 

运行时错误检查(/RTC)编译选项及实现原理 

把代码稍微改一改:

void Function(const char* pBuf)

{

         int a;

         int b;

 

         if (pBuf)

         {

                   a = 100;

         }

 

         b = a;

}

很明显那个分支里面,给a赋值之前更改了那个跟踪变量的值(修改为1),这样那个警告框就不会再弹出来了。

0042D72D  cmp         dword ptr [pBuf],0

0042D731  je          Function+1Eh (42D73Eh)

0042D733  mov         byte ptr [ebp-49h],1

0042D737  mov         dword ptr [a],64h

0042D73E  cmp         byte ptr [ebp-49h],0

0042D742  jne         Function+31h (42D751h)

0042D744  push        offset  (42D75Eh)

0042D749  call        @ILT+1935(__RTC_UninitUse) (42B794h)

0042D74E  add         esp,4

 

3/ RTCs

名称:堆栈检查

编译选项位置:C/C++ à Code Generation à Basic Runtime Checks

说明:该选项主要做三件事情:

(1)Debug模式下把stack上的变量全部初始化为0xcc(使用这个值是因为0xcc对应汇编代码int 3,而且这个值很大容易引起程序员的注意),检查未初始化的问题

(2)、检查数组越界

(3)、检查ESP是否被破坏。

原理:

0x0D4 = 0x35 * 4

void Function(const char* pBuf)

{

         char szBuf[10];

         strcpy(szBuf, pBuf);

}

00411470  push        ebp 

00411471  mov         ebp,esp

00411473  sub         esp,0D4h

00411479  push        ebx 

0041147A  push        esi 

0041147B  push        edi 

0041147C  lea         edi,[ebp-0D4h]

00411482  mov         ecx,35h

00411487  mov         eax,0CCCCCCCCh

0041148C  rep stos    dword ptr es:[edi]

 

同样是上面的那一小段代码,在strcpy执行完之后,插入了如下一段代码:

0042D6B8  push        edx 

0042D6B9  mov         ecx,ebp

0042D6BB  push        eax 

0042D6BC  lea         edx,[ (42D6E8h)]

0042D6C2  call        @ILT+1480(@_RTC_CheckStackVars@8) (42B5CDh)

 

_RTC_CheckStackVars函数里面对数组的前后两端进行了对比看是否和0CCCCCCCCh相等,如果不相等会报错,用这种方法判断数组是否越界。

0042E140  push        ebp 

0042E141  mov         ebp,esp

0042E143  push        ecx 

0042E144  push        ebx 

0042E145  push        esi 

0042E146  push        edi 

0042E147  xor         edi,edi

0042E149  mov         esi,edx

0042E14B  cmp         dword ptr [esi],edi

0042E14D  mov         ebx,ecx

0042E14F  mov         dword ptr [i],edi

0042E152  jle         _RTC_CheckStackVars+58h (42E198h)

0042E154  mov         eax,dword ptr [esi+4]

0042E157  mov         ecx,dword ptr [eax+edi]

0042E15A  add         eax,edi

0042E15C  cmp         dword ptr [ecx+ebx-4],0CCCCCCCCh

0042E164  jne         _RTC_CheckStackVars+34h (42E174h)

0042E166  mov         edx,dword ptr [eax+4]

0042E169  add         edx,ecx

0042E16B  cmp         dword ptr [edx+ebx],0CCCCCCCCh

0042E172  je          _RTC_CheckStackVars+48h (42E188h)

0042E174  mov         eax,dword ptr [esi+4]

0042E177  mov         ecx,dword ptr [eax+edi+8]

0042E17B  mov         edx,dword ptr [ebp+4]

0042E17E  push        ecx 

0042E17F  push        edx 

0042E180  call        _RTC_StackFailure (42B82Ah)

0042E185  add         esp,8

0042E188  mov         eax,dword ptr [i]

0042E18B  add         eax,1

0042E18E  add         edi,0Ch

0042E191  cmp         eax,dword ptr [esi]

0042E193  mov         dword ptr [i],eax

0042E196  jl          _RTC_CheckStackVars+14h (42E154h)

0042E198  pop         edi 

0042E199  pop         esi 

0042E19A  pop         ebx 

0042E19B  mov         esp,ebp

0042E19D  pop         ebp 

0042E19E  ret             

 

运行时错误检查(/RTC)编译选项及实现原理

         再看最后一小段代码,通过检测esp的值来判断堆栈是否平衡,首先把esp加上初始化时减出的值,然后和ebp对比,正常情况下应该是相等的(看看初始化的代码这很好理解):

0042D6D6  add         esp,0D8h

0042D6DC  cmp         ebp,esp

0042D6DE  call        @ILT+3445(__RTC_CheckEsp) (42BD7Ah)

0042D6E3  mov         esp,ebp

0042D6E5  pop         ebp 

0042D6E6  ret

 

_RTC_CheckEsp极其简单就下面两句:

0042D9E0  jne         esperror (42D9E3h)

0042D9E2  ret

 

构造这样一个函数测试一下:

void Function(const char* pBuf)

{

         char szBuf[10];

         strcpy(szBuf, pBuf);

         __asm push ebx

}

 

运行时错误检查(/RTC)编译选项及实现原理 

4/RTCc

名称:数据转换检查

编译选项位置:C/C++ à Code Generation à Smaller Type Check

说明:在数据赋值时,如果把一个较长的数据类型赋值给一个较小的数据类型,很有可能发生数据截断的问题,这个选项就是用来在发生数据截断时提示程序员的。(注意的是这里是动态检测的,只有确实会丢失数据时才报错)

原理:

void Func2()

{

         int nSrc = 100;

         char chDes = 'a';

         chDes = nSrc;

}

0042D679  mov         dword ptr [nSrc],64h

0042D680  mov         byte ptr [chDes],61h

0042D684  mov         ecx,dword ptr [nSrc]

0042D687  call        @ILT+4935(@_RTC_Check_4_to_1@4) (42C34Ch)

0042D68C  mov         byte ptr [chDes],al

 

         一堆这种函数,哈哈。

0042C338  jmp         _RTC_Check_2_to_1 (42D760h)

0042C33D  jmp         _RTC_Check_8_to_1 (42E520h)

0042C342  jmp         _RTC_Check_8_to_2 (42E560h)

0042C347  jmp         _RTC_Check_8_to_4 (42E790h)

0042C34C  jmp         _RTC_Check_4_to_1 (42DE60h)

0042C351  jmp         _RTC_Check_4_to_2 (42DF50h)

 

         我们还是来看看_RTC_Check_4_to_1:

0042DE60  push        ebp 

0042DE61  mov         ebp,esp

0042DE63  push        ebx 

0042DE64  mov         ebx,ecx

0042DE66  mov         eax,ebx

0042DE68  and         eax,0FFFFFF00h

0042DE6D  je          _RTC_Check_4_to_1+24h (42DE84h)

0042DE6F  cmp         eax,0FFFFFF00h

0042DE74  je          _RTC_Check_4_to_1+24h (42DE84h)

0042DE76  mov         eax,dword ptr [ebp+4]

0042DE79  push        1   

0042DE7B  push        eax 

0042DE7C  call        _RTC_Failure (42C1EEh)

0042DE81  add         esp,8

0042DE84  mov         al,bl

0042DE86  pop         ebx 

0042DE87  pop         ebp 

0042DE88  ret 

         逻辑还是很简单的,先判断int的高三个字节是不是都是0,如果都是0说明没超出范围,直接跳到末尾;再检查高三个字节是不是全是1,如果是说明是个一个负数也没超出范围,直接跳转到末尾,其他情况直接报错。

 

运行时错误检查(/RTC)编译选项及实现原理

备注:

         如果你确信要这么做,确实要进行数据截断(譬如取数据的高位低位的),请按上面错误MSGBOX里面说明的做,写这个玩意的哥么想得很周到啊o(_)o 哈哈。