我尝试使用gcc编译非PIC代码,并且我注意到GCC生成的汇编代码不使用纯函数地址来调用,而是在其上添加了一个怪异的偏移量。
我使用以下代码将GCC 9.3.0用作gcc test.c -o test-nopic -mcmodel=large -no-pie -O0。我省略了-fPIC。
#include <stdio.h>
int var1 = 1;
int var2 = 2;
void putstr(int* ptr) {
printf("val: %d\n", *ptr);
}
int main() {
putstr(&var1);
putstr(&var2);
}
这里列出的是main()中的代码objdump -wdrC -M intel test-nopic。
000000000040117e <main>:
40117e: 55 push rbp
40117f: 48 89 e5 mov rbp,rsp
401182: 53 push rbx
401183: 48 83 ec 08 sub rsp,0x8
401187: 48 8d 1d f9 ff ff ff lea rbx,[rip+0xfffffffffffffff9] # 401187 <main+0x9>
40118e: 49 bb 79 2e 00 00 00 00 00 00 movabs r11,0x2e79
401198: 4c 01 db add rbx,r11
40119b: 48 b8 30 00 00 00 00 00 00 00 movabs rax,0x30
4011a5: 48 8d 3c 03 lea rdi,[rbx+rax*1]
4011a9: 48 b8 26 d1 ff ff ff ff ff ff movabs rax,0xffffffffffffd126
4011b3: 48 8d 04 03 lea rax,[rbx+rax*1]
4011b7: ff d0 call rax
4011b9: 48 b8 34 00 00 00 00 00 00 00 movabs rax,0x34
4011c3: 48 8d 3c 03 lea rdi,[rbx+rax*1]
4011c7: 48 b8 26 d1 ff ff ff ff ff ff movabs rax,0xffffffffffffd126
4011d1: 48 8d 04 03 lea rax,[rbx+rax*1]
4011d5: ff d0 call rax
4011d7: b8 00 00 00 00 mov eax,0x0
4011dc: 48 83 c4 08 add rsp,0x8
4011e0: 5b pop rbx
4011e1: 5d pop rbp
4011e2: c3 ret
pustr(int *)的地址是0x401126。 readelf -l test-nopic显示文件类型为EXEC和以下标头:
Type Offset VirtAddr PhysAddr
FileSiz MemSiz Flags Align
PHDR 0x0000000000000040 0x0000000000400040 0x0000000000400040
0x0000000000000268 0x0000000000000268 R 0x8
INTERP 0x00000000000002a8 0x00000000004002a8 0x00000000004002a8
0x000000000000001c 0x000000000000001c R 0x1
[Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
LOAD 0x0000000000000000 0x0000000000400000 0x0000000000400000
0x00000000000004d8 0x00000000000004d8 R 0x1000
LOAD 0x0000000000001000 0x0000000000401000 0x0000000000401000
0x0000000000000275 0x0000000000000275 R E 0x1000
LOAD 0x0000000000002000 0x0000000000402000 0x0000000000402000
0x0000000000000168 0x0000000000000168 R 0x1000
LOAD 0x0000000000002e00 0x0000000000403e00 0x0000000000403e00
0x0000000000000238 0x0000000000000240 RW 0x1000
DYNAMIC 0x0000000000002e10 0x0000000000403e10 0x0000000000403e10
0x00000000000001d0 0x00000000000001d0 RW 0x8
NOTE 0x00000000000002c4 0x00000000004002c4 0x00000000004002c4
0x0000000000000044 0x0000000000000044 R 0x4
GNU_EH_FRAME 0x0000000000002010 0x0000000000402010 0x0000000000402010
0x0000000000000044 0x0000000000000044 R 0x4
GNU_STACK 0x0000000000000000 0x0000000000000000 0x0000000000000000
0x0000000000000000 0x0000000000000000 RW 0x10
GNU_RELRO 0x0000000000002e00 0x0000000000403e00 0x0000000000403e00
0x0000000000000200 0x0000000000000200 R 0x1
movabs rax, 0x401126?通过@Jester的评论,我解开了谜团。我还必须使用-fno-pic标志进行编译,以禁用PIE代码生成,而在大多数现代GNU / Linux发行版中,默认情况下,PIE代码生成是启用的。 -no-pie仅是一个链接器选项,-fno-pic或-fno-pie是代码生成选项。参见32-bit absolute addresses no longer allowed in x86-64 Linux?
来自问题的代码(与-mcmodel=large -no-pie -O0编译)使用对从rax寄存器获取的绝对地址的调用。该地址是使用以下代码从rip寄存器计算得出的。
401187: 48 8d 1d f9 ff ff ff lea rbx,[rip+0xfffffffffffffff9] # 401187 <main+0x9>
40118e: 49 bb 79 2e 00 00 00 00 00 00 movabs r11,0x2e79
401198: 4c 01 db add rbx,r11
40119b: 48 b8 30 00 00 00 00 00 00 00 movabs rax,0x30
4011a5: 48 8d 3c 03 lea rdi,[rbx+rax*1]
4011a9: 48 b8 26 d1 ff ff ff ff ff ff movabs rax,0xffffffffffffd126
4011b3: 48 8d 04 03 lea rax,[rbx+rax*1]
4011b7: ff d0 call rax
我计算了存储在rip中的地址,它看起来指向0x40118e。它用于计算函数及其参数的地址(var1的地址存储在rdi寄存器中,它指向RW LOAD段)。使用-fno-pic标志,函数调用看起来像我想要的。
40115c: 48 bf 30 40 40 00 00 00 00 00 movabs rdi,0x404030
401166: 48 b8 26 11 40 00 00 00 00 00 movabs rax,0x401126
401170: ff d0 call rax
large):没有-mcmodel=large标志(-no-pie -fno-pic -O0)看起来有所不同。静态数据和代码可以达到32位相对位移,甚至在非PIE代码中也可以达到32位绝对值。这效率更高,尤其是对于代码而言;尽可能避免使用-mcmodel=large。如果只需要一些巨大的静态数组,请使用-mcmodel=medium。
这是相对版本中的call:对于位置-从属代码,它可以使用有效的mov r32, imm32(How to load address of function or label into register in GNU Assembler)]将静态地址放入寄存器中>
401150: bf 30 40 40 00 mov edi,0x404030 401155: e8 cc ff ff ff call 401126 <putstr>这里是一个只有
-fpie的代码(在我的配置中默认启用)。>1165: 48 8d 3d c4 2e 00 00 lea rdi,[rip+0x2ec4] # 4030 <var1> 116c: e8 c8 ff ff ff call 1139 <putstr>并且在添加
-fpic标志后还启用了全局函数的符号插入功能,例如共享库:链接后没有真正的区别,只是多余的mov而不是首先将arg放入rdi。 (这是-O0的工件:快速编译,效果不佳)1165: 48 8d 05 c4 2e 00 00 lea rax,[rip+0x2ec4] # 4030 <var1> 116c: 48 89 c7 mov rdi,rax 116f: e8 c5 ff ff ff call 1139 <putstr>
gcc -O0碰巧避免了多余的mov,如果我们将var1声明为static(What does “static” mean in C?)。或更简单地说,启用至少-Og(更通常是-O2或-O3)的优化。未优化的代码充满了浪费的指令。