c - 为什么 GCC -mcmodel=large 在没有 -fPIC 的情况下即使使用 -no-pie 标志也会向函数调用添加偏移量？

Question

我尝试用 gcc 编译非 PIC 代码，我注意到 GCC 生成的汇编代码没有使用纯函数地址来调用，而是添加了一个奇怪的偏移量。

我将 GCC 9.3.0 用作 gcc test.c -o test-nopic -mcmodel=large -no-pie -O0，代码如下。我遗漏了 -fPIC。

#include <stdio.h>

int var1 = 1;
int var2 = 2;

void putstr(int* ptr) {
    printf("val: %d\n", *ptr);
}

int main() {
    putstr(&var1);
    putstr(&var2);
}

这里列出了 objdump -wdrC -M intel test-nopic 中的 main() 代码。

000000000040117e <main>:
  40117e:       55                      push   rbp
  40117f:       48 89 e5                mov    rbp,rsp
  401182:       53                      push   rbx
  401183:       48 83 ec 08             sub    rsp,0x8
  401187:       48 8d 1d f9 ff ff ff    lea    rbx,[rip+0xfffffffffffffff9]        # 401187 <main+0x9>
  40118e:       49 bb 79 2e 00 00 00 00 00 00   movabs r11,0x2e79
  401198:       4c 01 db                add    rbx,r11
  40119b:       48 b8 30 00 00 00 00 00 00 00   movabs rax,0x30
  4011a5:       48 8d 3c 03             lea    rdi,[rbx+rax*1]
  4011a9:       48 b8 26 d1 ff ff ff ff ff ff   movabs rax,0xffffffffffffd126
  4011b3:       48 8d 04 03             lea    rax,[rbx+rax*1]
  4011b7:       ff d0                   call   rax
  4011b9:       48 b8 34 00 00 00 00 00 00 00   movabs rax,0x34
  4011c3:       48 8d 3c 03             lea    rdi,[rbx+rax*1]
  4011c7:       48 b8 26 d1 ff ff ff ff ff ff   movabs rax,0xffffffffffffd126
  4011d1:       48 8d 04 03             lea    rax,[rbx+rax*1]
  4011d5:       ff d0                   call   rax
  4011d7:       b8 00 00 00 00          mov    eax,0x0
  4011dc:       48 83 c4 08             add    rsp,0x8
  4011e0:       5b                      pop    rbx
  4011e1:       5d                      pop    rbp
  4011e2:       c3                      ret

pustr(int*) 的地址是0x401126。 readelf -l test-nopic 显示文件类型为 EXEC 和以下 header :

  Type           Offset             VirtAddr           PhysAddr
                 FileSiz            MemSiz              Flags  Align
  PHDR           0x0000000000000040 0x0000000000400040 0x0000000000400040
                 0x0000000000000268 0x0000000000000268  R      0x8
  INTERP         0x00000000000002a8 0x00000000004002a8 0x00000000004002a8
                 0x000000000000001c 0x000000000000001c  R      0x1
      [Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
  LOAD           0x0000000000000000 0x0000000000400000 0x0000000000400000
                 0x00000000000004d8 0x00000000000004d8  R      0x1000
  LOAD           0x0000000000001000 0x0000000000401000 0x0000000000401000
                 0x0000000000000275 0x0000000000000275  R E    0x1000
  LOAD           0x0000000000002000 0x0000000000402000 0x0000000000402000
                 0x0000000000000168 0x0000000000000168  R      0x1000
  LOAD           0x0000000000002e00 0x0000000000403e00 0x0000000000403e00
                 0x0000000000000238 0x0000000000000240  RW     0x1000
  DYNAMIC        0x0000000000002e10 0x0000000000403e10 0x0000000000403e10
                 0x00000000000001d0 0x00000000000001d0  RW     0x8
  NOTE           0x00000000000002c4 0x00000000004002c4 0x00000000004002c4
                 0x0000000000000044 0x0000000000000044  R      0x4
  GNU_EH_FRAME   0x0000000000002010 0x0000000000402010 0x0000000000402010
                 0x0000000000000044 0x0000000000000044  R      0x4
  GNU_STACK      0x0000000000000000 0x0000000000000000 0x0000000000000000
                 0x0000000000000000 0x0000000000000000  RW     0x10
  GNU_RELRO      0x0000000000002e00 0x0000000000403e00 0x0000000000403e00
                 0x0000000000000200 0x0000000000000200  R      0x1

1. 为什么 gcc 在调用之前不只使用 movabs rax, 0x401126？
2. 为什么在 4011a9 处使用的地址(？)充满了所有这些 0xFF？
3. 为什么 gcc 使用添加了奇怪偏移量的 rip 寄存器，然后使用不适合上面列出的任何段的神奇值 0x2e79。

Answer 1

随着@Jester 的评论，我解开了这个谜团。我还必须使用 -fno-pic 标志进行编译，以禁用大多数现代 GNU/Linux 发行版中默认启用的 PIE 代码生成。 -no-pie 只是一个链接器选项，-fno-pic 或 -fno-pie 是代码生成选项。参见 32-bit absolute addresses no longer allowed in x86-64 Linux?

问题中的代码(使用 -mcmodel=large -no-pie -O0 编译)使用了对从 rax 寄存器获取的绝对地址的调用。该地址是使用以下代码从 rip 寄存器中计算出来的。

  401187:       48 8d 1d f9 ff ff ff    lea    rbx,[rip+0xfffffffffffffff9]        # 401187 <main+0x9>
  40118e:       49 bb 79 2e 00 00 00 00 00 00   movabs r11,0x2e79
  401198:       4c 01 db                add    rbx,r11
  40119b:       48 b8 30 00 00 00 00 00 00 00   movabs rax,0x30
  4011a5:       48 8d 3c 03             lea    rdi,[rbx+rax*1]
  4011a9:       48 b8 26 d1 ff ff ff ff ff ff   movabs rax,0xffffffffffffd126
  4011b3:       48 8d 04 03             lea    rax,[rbx+rax*1]
  4011b7:       ff d0                   call   rax

我计算了存储在 rip 中的地址，它看起来指向 0x40118e。它用于计算函数及其参数的地址(var1 的地址存储在 rdi 寄存器中，它指向 RW LOAD 段)。使用 -fno-pic 标志，函数调用看起来就像我想要的那样。

  40115c:       48 bf 30 40 40 00 00 00 00 00   movabs rdi,0x404030
  401166:       48 b8 26 11 40 00 00 00 00 00   movabs rax,0x401126
  401170:       ff d0                   call   rax

---

在默认代码模型中(不是large):

没有 -mcmodel=large 标志 (-no-pie -fno-pic -O0) 它看起来不一样。静态数据和代码可以通过 32 位相对位移访问，甚至可以通过非 PIE 代码中的 32 位绝对位移访问。这样效率更高，尤其是对于代码；尽可能避免 -mcmodel=large。如果您只需要一些巨大的静态数组，请使用 -mcmodel=medium。

这是一个call在相关版本中:对于位置相关代码，它可以将静态地址放入寄存器中，具有高效的mov r32, imm32 ( How to load address of function or label into register in GNU Assembler )

  401150:       bf 30 40 40 00          mov    edi,0x404030
  401155:       e8 cc ff ff ff          call   401126 <putstr>

这是一个只有 -fpie 的代码(在我的配置中默认启用)。

    1165:       48 8d 3d c4 2e 00 00    lea    rdi,[rip+0x2ec4]        # 4030 <var1>
    116c:       e8 c8 ff ff ff          call   1139 <putstr>

并且在添加 -fpic 标志后还可以为全局函数启用符号插入，例如共享库:链接后没有真正的区别，只是一个额外的不必要的 mov首先将 arg 放入 rdi 中。 (这是-O0的神器:编译快，不好)

    1165:       48 8d 05 c4 2e 00 00    lea    rax,[rip+0x2ec4]        # 4030 <var1>
    116c:       48 89 c7                mov    rdi,rax
    116f:       e8 c5 ff ff ff          call   1139 <putstr>

gcc -O0 如果我们将 var1 声明为 static(What does “static” mean in C? ).或者更简单地说，至少使用 -Og 启用优化，更常见的是 -O2 或 -O3。未优化的代码充满了浪费的指令。