c - 易失/修改的返回地址

Question

考虑一个 C 函数(具有外部链接)，如下所示:

void f(void **p)
{
  /* do something with *p */
}

现在假设 f 的调用方式使得 p 指向堆栈上 f 的返回地址，如下所示以下代码(假设 System V AMD64 ABI):

leaq -8(%rsp), %rdi
callq f

可能发生的情况是，f 的代码通过给 *p 赋值来修改堆栈上的返回地址。因此，编译器必须将堆栈上的返回地址视为 volatile 值。我如何告诉编译器(在我的例子中是 gcc)返回地址是 volatile 的？

否则，编译器至少在原则上可以为 f 生成以下代码:

pushq %rbp
movq 8(%rsp), %r10
pushq %r10
## do something with (%rdi)
popq %r10
popq %rbp
addq 8,%rsp
jmpq *%r10

诚然，编译器不太可能生成这样的代码，但如果没有任何进一步的函数属性，它似乎不会被禁止。并且此代码不会注意到堆栈上的返回地址是否在函数中间被修改，因为原始返回地址已在函数开头检索。

P.S.:正如 Peter Cordes 所建议的，我应该更好地解释我的问题的目的:这是关于使用移动垃圾收集器动态生成的机器代码进行垃圾收集:函数 f 代表垃圾收集器。 f 的被调用者可能是一个函数，其代码在 f 运行时被移动，所以我想到了让 f知道返回地址，以便 f 可以根据返回地址指向的内存区域是否已移动来相应地修改它。

Answer 1

在 AMD64/x86-64 上使用 SysV ABI(Linux、FreeBSD、Solaris、Mac OS X/macOS)，您只需要一个围绕实际垃圾收集器函数的简单汇编函数。

下面的f.s定义了void f(void *)，并调用了真正的GC，real_f(void *, void **) ，添加的第二个参数指向返回地址。

    .file       "f.s"
    .text

    .p2align    4,,15
    .globl      f
    .type       f, @function

f:
    movq        %rsp, %rsi
    call        real_f
    ret

    .size       f, .-f

如果 real_f() 已有两个其他参数，请使用 %rdx(第三个参数)而不是 %rsi。如果是三到五个，则分别使用 %rcx、%r8 或 %r9。 AMD64/x86-64 上的 SysV ABI 仅支持寄存器中最多六个非浮点参数。

让我们用一个小的 example.c 来测试上面的内容:

#include <stdlib.h>
#include <stdio.h>

extern void f(void *);

void real_f(void *arg, void **retval)
{
    printf("real_f(): Returning to %p instead of %p.\n", arg, *retval);
    *retval = arg;
}

int main(void)
{
    printf("Function and label addresses:\n");
    printf("%p f()\n", f);
    printf("%p real_f()\n", real_f);
    printf("%p one_call:\n", &&one_call);
    printf("%p one_fail:\n", &&one_fail);
    printf("%p one_skip:\n", &&one_skip);
    printf("\n");

    printf("f(one_skip):\n");
    fflush(stdout);

one_call:
    f(&&one_skip);

one_fail:
    printf("At one_fail.\n");
    fflush(stdout);

one_skip:
    printf("At one_skip.\n");
    fflush(stdout);

    return EXIT_SUCCESS;
}

请注意，上述内容依赖于 GCC 行为(&& 提供标签地址)以及 AMD64/x86-64 架构上的 GCC 行为(对象和函数指针可以互换)，如下所示C 编译器没有对 main() 中的代码进行任何无数的优化。

(real_f()是否优化并不重要；只是我懒得在main()中找出更好的例子。例如，一个在调用 f() 的可执行数据段中创建一个小函数，并使用 real_f() 移动该数据段，并相应地调整返回地址。这将匹配OP 的场景，这几乎是我能想到的这种操作的唯一实际用例。相反，我只是编写了一个粗略的示例，该示例可能对其他人有效，也可能无效。)

此外，我们可能希望将 f() 声明为具有两个参数(它们将在 %rdi 和 %rsi 中传递)同样，第二个无关紧要，以确保编译器不会期望 %rsi 保持不变。 (如果我没记错的话，SysV ABI 可以让我们破坏它，但我可能记错了。)

在这台特定的机器上，编译上述内容

gcc -Wall -O0 f.s example.c -o example

运行

./example

产生

Function and label addresses:
0x400650 f()
0x400659 real_f()
0x400729 one_call:
0x400733 one_fail:
0x40074c one_skip:

f(one_skip):
real_f(): Returning to 0x40074c instead of 0x400733.
At one_skip.

请注意，如果您告诉 GCC 优化代码(例如 -O2)，它会对 main() 中的代码做出假设，这是完全允许的按照 C 标准执行，但这可能会导致所有三个标签具有完全相同的地址。这发生在我的特定机器和 GCC-5.4.0 上，当然会导致无限循环。它根本不反射(reflect) f() 或 real_f() 的实现，只是我在 main() 中的示例相当糟糕。我很懒。