1 PAC
AMR64提供了PAC(Pointer Authentication Code)机制。
所谓PAC,简单来说就是使用存储在芯片硬件上的「密钥」,一个「上下文」,与「指针地址」进行加密计算,得出一个「签名」,将这个「签名」写入指针的高bit上。
计算出来的「签名」之所以可以写入指针的高bit,是因为在实际使用中,并不是所有指针64bit都会被使用,通常高bit都会被保留用来做其他用途。
如果在程序运行过程中,有人恶意的修改了指针地址,在后面将签名后的指针地址,作用于验证指令,就会报错。
验证过程和计算签名过程一样,只是比较前后计算的签名值是否一样。如果验证成功,签名就会从高bit上移除。
2 指令语法
PACIBSP3 指令语义
上面指令对函数返回地址进行PAC,也就是对X30的值进行PAC,或者说对LR寄存器的值进行PAC。
在PAC过程中,有2种密钥,一种是密钥A,另一种是密钥B。
指令PACIBSP中的B就代表使用密钥B,同时SP表示「上下文」使用的是SP寄存器的值。
下面是一个运行PACIBSP后,X30的值变化的例子:
// PAC 前
(lldb) p/x $x30
(unsigned long) 0x000000010817f7bc
// PAC 后
(lldb) p/x $x30
(unsigned long) 0x3f57fc010817f7bc从上面的输出可以看到,X30的高bit在PAC后发生了变化。
4 同类指令
4.1 PACIB
PACIB <Xd>, <Xn|SP>密钥: 密钥B。
上下文: Xn寄存器的值或者SP寄存器的值。
指针地址: Xd寄存器的值
4.2 PACIB1716
PACIB1716密钥: 密钥B。
上下文: 寄存器X16的值。
指针地址: 寄存器X17的值。
4.3 PACIBZ
PACIBZ密钥: 密钥B。
上下文: 0。
指针地址: X30寄存器或者说LR寄存器的值。
4.4 PACIZB
PACIZB <Xd>密钥: 密钥B。
上下文: 0。
指针地址: 寄存器Xd的值。
4.5 密钥 A 指令
指令PACIASP PACIA PACIA1716 PACIAZ PACIZA除了使用密钥A进行PAC之外,其它都与对应的PACIB*指令一样。
![HTB:Photobomb[WriteUP]](https://i-blog.csdnimg.cn/direct/7cc80387d0314bbb9ecb5105ca1263d7.png)
