x86→x64

Windows はこのプラットフォームの変化によって、様々な部分が変化した。そして、色々な部分が進化した。例外ハンドリングもそのひとつだ。その代わり、コンパイラがマトモなモノでないとこの恩恵を得ることができない。x86 用の Windows がターゲットならばかなり腐ったコンパイラでも一丁前の実行ファイルを得られたが、x64 ではそうはいかない。具体的には次の部分がある。

• x64 用標準 ABI の整備
  • レジスタ渡しになったのはかなりのプラスだが、関数のプロローグとエピローグの形は大きく制約されることになった。x86 だと少なくとも関数プロローグやエピローグの形はコンパイラ好みの任意のものが使用できる。
• 例外ハンドリングの再編
  • テーブルベースの例外ハンドリングが標準になることで、セキュリティとパフォーマンスの向上。ただし弊害も。

mingw-w64 とは

32/64-bit 共用の Windows 向けツールチェーンであり、gcc や binutils といったツールを使用して Windows 向けのネイティブアプリケーションを作成することができる。積極的な貢献によってユーザモードアプリケーションを作る分にはほとんど申し分ないほどに進化しており、カーネルモードのドライバも作れないことはない。
ただ、カーネルモードドライバ、特に 64-bit 向けのものを作るには、最大の障害が存在した。例外処理である。

SEH (Structured Exception Handling)

SEH (構造化例外処理) は、Windows に存在する低レベルの例外処理機構である。例えば、次のように使用する。

__try
{
    /** 例外発生の可能性があるハンドラ **/
}
__except (EXCEPTION_EXECUTE_HANDLER)
{
    /** 例外発生時の処理 **/
}
__finally
{
    /** 何があろうと実行するルーチン **/
}

これによって、自分でカスタムのエラー処理を (C++ 例外などの高級なものから、ゼロ除算などの CPU 例外までキャッチするハンドラとして) 書くことができる。
しかしながら、これは x86 と x64 で大きくその機構が異なる。

function1→function2→function3→function4→function5 という呼び出し履歴がある場合:
+---------------------------+     +------------------------+     +------------------------+     +------------------------+     +------------------------+
|  fs:0 (例外登録レコード)  |<----|  function5 の例外処理  |---->|  function2 の例外処理  |---->|  function1 の例外処理  |---->|  デフォルトの例外処理  |
+---------------------------+     +------------------------+     +------------------------+     +------------------------+     +------------------------+

- function 1 : rbp, rsi, rdi を保存
- function 2 : rbp を保存; 24 バイトのバッファを確保
- function 3 : rbp, xmm6, xmm7 を特定箇所に保存; 136 バイトのバッファを確保
- function 4 : rbp を保存....
- function 5 : ....

sample.exe → sample.dll と呼び出しの最中:
-----------------------------------------------------------------
sample.exe (MSVC でビルド、実行 [例外ハンドリングをしている])
  → sample.dll (mingw-w64 でビルド、実行 [SEH, unwind ともになし])
----------------------------------------------------------------- ↑before↓after
sample.exe (例外ハンドリングをしていたのに正常に呼び出されず、クラッシュ)
  → sample.dll (例外発生↑)

mingw-w64 の進歩

しかし、最近のバージョンの mingw-w64 では、ちゃんと関数の unwind 情報を吐き出すようになっている。

$ x86_64-w64-mingw32-objdump -p a.exe | less
--------------------------------------------------------------
// なにもしない <main> 関数の unwind 情報
 000000000000606c:
        Flags: UNW_FLAG_NHANDLER.
        Entry has 3 codes.      Prologue size: 8, Frame offset = 0x2.
        Frame register is rbp.
         At pc 0x0000000000401550 there are the following saves (in logical order).
          insn ends at pc+0x01: push rbp.
          insn ends at pc+0x08: save stack region of size 0x0000000000000020.
          insn ends at pc+0x08: FPReg = (FrameReg) + 0x0000000000000000.

これは、binutils と gcc (4.6 系のみ) の双方が unwind 情報をサポートした効果である。では、return 0 のみを書いたシンプルな main 関数のアセンブリ出力を見てみよう。

        .globl  main
        .def    main;   .scl    2;      .type   32;     .endef
        .seh_proc       main
main:
        pushq   %rbp
        .seh_pushreg    %rbp
        movq    %rsp, %rbp
        subq    $32, %rsp
        .seh_stackalloc 32
        .seh_setframe   %rbp, 32
        .seh_endprologue
        call    __main
        movl    $0, %eax
        addq    $32, %rsp
        popq    %rbp
        ret
        .seh_endproc

すぐに、.seh_ で始まるキーワードが多数使用されていることに気づく。そう。SEH 関連の情報を吐き出す疑似命令を as がサポートし、gcc はそれに合わせた出力を行い、ld は複数オブジェクトの unwind 情報を統合することで、このような unwind 情報を吐き出すことに成功しているのだ。
これなら、このバイナリから例外を問題なく流すことができる。(mingw-w64 で作成したバイナリによって例外ハンドリングが滞ることがない。)
しかし、これは SEH を「使える」ことを意味しない。gcc は本来 SEH のための __try/__except キーワードをサポートしておらず、最近のバージョンの mingw-w64 でもエラーとなる。となるとカーネルモードでは使いようがない…そう思った。しかし mingw-w64 が吐き出したバイナリの情報を見ていると、興味深いことに気づいた。

$ x86_64-w64-mingw32-objdump -p a.exe | less
--------------------------------------------------------------
// !?
 000000000000602c:
        Flags: UNW_FLAG_EHANDLER.
        Entry has 1 codes.      Prologue size: 4, Frame offset = 0x0.
        Frame register is none.
         At pc 0x0000000000401510 there are the following saves (in logical order).
          insn ends at pc+0x04: save stack region of size 0x0000000000000028.
        User data:
          000: d0 28 00 00 01 00 00 00 1e 15 00 00 28 15 00 00
          010: d0 19 00 00 28 15 00 00
 000000000000604c:
        Flags: UNW_FLAG_EHANDLER.
        Entry has 1 codes.      Prologue size: 4, Frame offset = 0x0.
        Frame register is none.
         At pc 0x0000000000401530 there are the following saves (in logical order).
          insn ends at pc+0x04: save stack region of size 0x0000000000000028.
        User data:
          000: d0 28 00 00 01 00 00 00 3e 15 00 00 48 15 00 00
          010: d0 19 00 00 48 15 00 00

なんと！ mingw-w64 の objdump では User data とのみ記されているが、これは紛れもなく例外ハンドラの情報だ。*2 gcc は SEH キーワードが使えないのになぜできるのか? 逆アセンブリと照合すると、この 2 つの関数は WinMainCRTStartup と mainCRTStartup だ。これは mingw-w64 の CRT 内に目標がありそうな雰囲気。というわけで、mingw-w64-crt/crt 中の crtexe.c を参照する。

/**
    mingw-w64 ソースコードより引用。
    当該部分はパブリックドメインである。
    http://mingw-w64.svn.sourceforge.net/viewvc/mingw-w64/trunk/mingw-w64-crt/crt/crtexe.c
    http://mingw-w64.svn.sourceforge.net/viewvc/mingw-w64/trunk/mingw-w64-crt/crt/crtexe.c?view=log
**/
int WinMainCRTStartup (void)
{
  int ret = 255;
#ifdef __SEH__
  asm ("\t.l_startw:\n"
    "\t.seh_handler __C_specific_handler, @except\n"
    "\t.seh_handlerdata\n"
    "\t.long 1\n"
    "\t.rva .l_startw, .l_endw, _gnu_exception_handler ,.l_endw\n"
    "\t.text"
    );  
#endif
  /* (中略) */
#ifdef __SEH__
  asm ("\t.l_endw: nop\n");
#endif
  return ret;
}

読めれば簡単だ。先ほどの例と同じく .seh_* というキーワードを、今度はインラインアセンブリとして記述している。(#ifdef が入っているのは、unwind 情報出力をサポートしない古い mingw-w64 に加え、テーブルベースの SEH ではない 32-bit 版をサポートするため。) しかも、ここで SEH の例外ハンドラを設定しており、例外がきちんと CRT に渡されるようになっている。*3最後の nop は、ラベルを正常に働かせるためのダミーだろう。となれば、この手法を使えばどのようなアプリケーションであってもそのための正常な SEH テーブルのデータを構築できる。というわけで、やってみよう…アレ、動かない!?

mingw-w64 のバグ

32-bit でクラッシュするのは予期してたモノ*4だけど、64-bit でもクラッシュするのは予想外だぞ。というわけで、WinDbg を駆使してなんとかバグ発見。(例外ハンドラではソフトウェアブレークポイントが無効になることを知らず、えらく時間を食った。) 昨日 mingw-w64 プロジェクトにパッチを投げて、即日で修正された。

    "\t.rva .l_startw, .l_endw, _gnu_exception_handler ,.l_endw\n"

これは 4 つのポインタをデータとして出力しているが、このフォーマットは次のようになっている。*5

• BeginAddress
  • __try ブロックの開始アドレス
• EndAddress
  • __try ブロックの終了アドレス
• HandlerAddress
  • 例外フィルタ (関数への RVA)
• JumpTarget
  • __except ブロックのアドレス (mingw-w64 においては未使用)

そして、BeginAddress と EndAddress の間で例外が発生したならば例外フィルタ (そして必要ならハンドラ) を呼び出す…のだが、この判定は、次の C コードにほぼ等しい。

if (target >= BeginAddress && target < EndAddress)
    /* catch exception */

しかし、.l_endw 直後の nop 命令…の前の命令は call 命令で、実際にはこの戻りアドレスである nop 命令のアドレスが判定に用いられる。しかし nop 命令は .l_endw の後にあるため、フレームベースの例外ハンドリングが正しく働いていなかった*6。(CRT が例外を別の手段でキャッチしているため、今まで顕在化しなかっただけ。) というわけで、.l_endw と .l_endw+1 に置換するか、.l_endw ラベルの前に nop 命令を挿入するかのどちらかで直る。(もう一方も同様に修正する。) 修正版はこんな感じ。(前者の修正を適用したものだが、本家の mingw-w64 には後者のパッチが採用された。)

/**
    mingw-w64 ソースコードを修正。
    当該部分はパブリックドメインである。
    http://mingw-w64.svn.sourceforge.net/viewvc/mingw-w64/trunk/mingw-w64-crt/crt/crtexe.c
    http://mingw-w64.svn.sourceforge.net/viewvc/mingw-w64/trunk/mingw-w64-crt/crt/crtexe.c?view=log
**/
int WinMainCRTStartup (void)
{
  int ret = 255;
#ifdef __SEH__
  asm ("\t.l_startw:\n"
    "\t.seh_handler __C_specific_handler, @except\n"
    "\t.seh_handlerdata\n"
    "\t.long 1\n"
    "\t.rva .l_startw, .l_endw+1, _gnu_exception_handler ,.l_endw+1\n"
    "\t.text"
    );  
#endif
  /* (中略) */
#ifdef __SEH__
  asm ("\t.l_endw: nop\n");
#endif
  return ret;
}

ちなみにこれは mingw-w64 標準の例外ハンドリングをうまく働かせるための修正だが… mingw-w64 標準の例外フィルタ (_gnu_exception_handler) は、例外を signal に変換する機能を持つ。signal の使い方を知っているなら、Linux と同じように例外をハンドルすることが可能だ。(残念ながら sigaction*7 ではないが。)

となればやること。

さて、では別のこともやってみよう。本来は x64 カーネルモードで例外を発生させるサンプルを作る予定だったが、安全性を検証する時間がなかったので代わりに VMware を検出するサンプルを作ってみた。この状況なら signal も使えなくもないが、ネタ的にはあまり面白くないので、今は眠っていてもらう。

#include <stdio.h>
#include <stdlib.h>
#include <windows.h>

long CALLBACK
detect_vmware_except(
	PEXCEPTION_POINTERS data
)
{
	data->ContextRecord->Rbx = 0;
	data->ContextRecord->Rip += 1;
	return EXCEPTION_CONTINUE_EXECUTION;
}

__attribute__((noinline))
int detect_vmware(void)
{
	DWORD result;
	__asm__ __volatile__
	(
		".seh_handler __C_specific_handler, @except\n\t"
		".seh_handlerdata\n\t"
		".long 1\n\t"
		".rva .l_vmdetect, .l_vmdetect+1, detect_vmware_except\n\t"
		".long 0\n\t"
		".text\n\t"
		"xorl %%ebx, %%ebx\n\t"
		"movl $0x564d5868, %%eax\n\t"
		"movl $10, %%ecx\n\t"
		"movw $0x5658, %%dx\n"
		".l_vmdetect:\n\t"
		".byte 0xed" /* in (%dx),%eax */
		: "=b"(result)
		: : "%eax", "%ecx", "%edx", "cc", "memory"
	);
	return result == 0x564d5868;
}

int main(int argc, char** argv)
{
	if (detect_vmware())
	{
		printf("VMware is detected!\n");
	}
	else
	{
		printf("VMware is NOT detected.\n");
	}
	return 0;
}

VMware の検出には、バックドアポートを使用している。しかし、そこで使用している in 命令は VMware の無い環境下では例外を発生させてしまう。そこで、この部分で発生した例外をキャッチし、適切に握り潰しているのが上記のサンプルだ。64-bit、gcc 4.6 ベースの mingw-w64 では適切に動作する。ここではさらに洗練された握り潰し方を採用している。JumpTarget はダミーの .long で適当に埋めて、その上で in 命令の 1 バイトだけが __try ブロックに相当するような実装になっている。(end に相当するラベルがない。) ここで例外が発生した場合、in 命令だけをスキップさせ、VMware が検出されなかったことを示すダミーの数字を入れることで、ちゃんと「非 VMware」の検出にも成功しているのだ。
ちなみに、__attribute__（（noinline）） と書いているのは、不必要な (-O3 などのオプションによる) インライン化を防止するためだ。MS 製コンパイラなら SEH のエントリを適切に生成してくれるが、mingw-w64 ではまだそうはいかない。万が一インライン化されると不必要な衝突を引き起こす可能性がある (今回のコードの場合は多分問題ないけど。) ため、この属性を付けてインライン化を防止している。

まとめ

というわけで、どうだろう? 御世辞にも洗練されたとは言えない実装だが、x64、非 MS コンパイラでも一応 SEH がマトモに使えるようになってきた。あなたなら、これをどう使う?