二进制文件安全优化实践：编译器行为对代码复用攻击的影响

编译器优化的安全隐患

"生成高效代码不够，还必须生成安全代码。"尽管编译器经过严格测试和认证，其优化过程仍可能意外引入信息泄露或删除安全关键操作。例如图1展示的CWE-733漏洞：编译器死存储消除优化会删除程序员编写的密钥清零操作，导致密钥可能被攻击者恢复。

代码复用攻击原理

攻击者通过ROP/JOP技术复用程序自身的代码片段（gadgets）构建攻击链。如图2所示，攻击者利用内存破坏漏洞将gadget地址链植入栈空间，每个gadget以间接分支指令（如retn）结尾，形成"指令拼图"。

关键研究发现

• 间接分支指令复制：GCC的帧指针省略优化会复制retn指令（图3），使可用gadget数量增加35%
• 二进制布局变更：优化导致的指令位移变化可能意外生成0xC3（retn）编码（图4），产生非对齐gadget
• 85%的优化案例会增大gadget集合规模或可用性

解决方案：二进制重编译优化

基于Egalito实现五种优化策略：

1. 返回指令合并：函数内所有return合并为单一实例
2. 位移雪橇消除：清除跳转位移中的指令编码
3. 间接跳转合并：同寄存器跳转合并
4. 指令屏障扩展：消除特殊用途gadget
5. 函数重排序：消除调用偏移中的gadget

效果验证：

• 平均消除31.8%有用gadget
• 78%变体的gadget效用降低
• 代码体积仅增加6.1KB，零性能损耗

未来方向

研究寄存器分配等编译器行为的影响，探索其对控制流完整性（CFI）的潜在性能优化效益。

研究合作：佐治亚理工学院Matthew Pruett、Robert Bigelow等

原始数据见GSA工具