c++ - 人们是否能够使用自己的实现来劫持已编译的库？

Question

我有一些遗留代码，它传递一个指向库用来操作和检查状态变量的内部数据结构的指针。在考虑重构这段代码时，我开始好奇创建一堆仅在我的库中内部使用的类是否会引起安全问题。其他人可以链接到他们自己对这些方法的实现吗？假设我有一个 Config 类，它读取加密的许可证并正确设置设置。是否有可能以某种方式操纵此类？

这是我写的一些代码来尝试初步的可行性

共享.cpp

#include "shared.h"


Config::Config() : max_clients()
{
}

Config::~Config()
{
}

int Config::getMaxClients() const
{
    return max_clients;
}

void Config::setMaxClients(int num)
{
    max_clients = num;
}

我把它编译成一个共享库

g++ -c shared.cpp -fpic
g++ -shared -o libshared.so shared.o

编译后，我们可以看到其他人可以看到我们库中的 Config 类。

$ nm -C libshared.so
0000000000201030 B __bss_start
0000000000201030 b completed.7696
                 w __cxa_finalize
0000000000000780 t deregister_tm_clones
0000000000000810 t __do_global_dtors_aux
0000000000200e20 t __do_global_dtors_aux_fini_array_entry
0000000000201028 d __dso_handle
0000000000200e58 d _DYNAMIC
0000000000201030 D _edata
0000000000201038 B _end
00000000000008f8 T _fini
0000000000000850 t frame_dummy
0000000000200e18 t __frame_dummy_init_array_entry
0000000000000a50 r __FRAME_END__
0000000000201000 d _GLOBAL_OFFSET_TABLE_
                 w __gmon_start__
0000000000000910 r __GNU_EH_FRAME_HDR
0000000000000720 T _init
                 w _ITM_deregisterTMCloneTable
                 w _ITM_registerTMCloneTable
00000000000007c0 t register_tm_clones
0000000000201030 d __TMC_END__
                 U operator delete(void*, unsigned long)
00000000000008de T Config::setMaxClients(int)
000000000000085a T Config::Config()
000000000000085a T Config::Config()
00000000000008a0 T Config::~Config()
0000000000000882 T Config::~Config()
0000000000000882 T Config::~Config()
00000000000008cc T Config::getMaxClients() const
0000000000200e48 V typeinfo for Config
0000000000000908 V typeinfo name for Config
0000000000200e28 V vtable for Config
                 U vtable for __cxxabiv1::__class_type_info

这里可能还有很多我不知道的分析。

错误.cpp

根据这些信息，我们可以猜测一些关于 setMaxClients 的返回类型并创建我们自己的实现。

#include <iostream>

class Config {
public:
    Config() {}
    void setMaxClients(int num);
};

void Config::setMaxClients(int num)
{
    std::cout << "do something bad" << std::endl;
}

我编译了这个文件

g++ -c mal.cpp -fpic
g++ -shared -o libmal.so mal.o

main.cpp

class Config {
public:
    Config();
    virtual ~Config();
    int getMaxClients();
    void setMaxClients(int num);
};

int main()
{
    Config config;
    config.setMaxClients(4);

    return 0;
}

最后，我编译了 main.cpp，首先链接了我的 mal 库，然后像这样共享

g++ main.cpp -lmal -lshared

这产生了一个二进制文件，运行时我得到了

$ LD_LIBRARY_PATH=. ./a.out
do something bad
*** stack smashing detected ***: <unknown> terminated
[1]    7842 abort (core dumped)  LD_LIBRARY_PATH=. ./a.out

是的，它崩溃了，但我没有更多的经验知道下一步该去哪里。这不是安全问题吗，因为您实际上无法更改任何类字段，因为您不知道成员变量？或者这里是否存在需要 C++ 最佳实践的问题？

Answer 1

理想情况下，您的替换类(class)应与原始类(class)大小相同。 main.cpp 中的配置有一个虚拟 dtor，而 mal.cpp 中没有。这将导致后者大 8 个字节(假设 64 位操作系统)，并且总是会导致类的破坏问题。如果这是一个真正的问题，一个简单的下一步是对 dll 执行校验和，并在运行时验证它(如果校验和不匹配则退出)。对于真正关心的人来说，这不会有太大帮助。如果您对 asm 足够了解，您通常可以使用一些空操作来修补二进制 exe，直到您的检查返回 true。