ShadowCallStack

ShadowCallStack (SCS) 是一種LLVM 檢測模式，通過將函數的返回地址保存到非葉函數的函數序言中單獨分配的ShadowCallStack並從函數中的 ShadowCallStack 加載返回地址來防止返回地址覆蓋（如堆棧緩衝區溢出）結語。返回地址也存儲在常規堆棧中以與展開器兼容，但未使用。這確保了修改常規堆棧上的返回地址的攻擊對程序控制流沒有影響。

在 aarch64 上，檢測使用x18寄存器來引用 ShadowCallStack，這意味著對 ShadowCallStack 的引用不必存儲在內存中。這使得實現運行時避免將 ShadowCallStack 的地址暴露給可以讀取任意內存的攻擊者成為可能。

執行

Android 支持內核和用戶空間的 ShadowCallStack。

為內核啟用 SCS

要為內核啟用 ShadowCallStack，請將以下行添加到內核配置文件中：

CONFIG_SHADOW_CALL_STACK=y

在用戶空間啟用 SCS

要在用戶空間組件中啟用 ShadowCallStack，請將以下行添加到組件的藍圖文件中：

sanitize: {
  scs: true
}

SCS 假定x18寄存器被保留用於存儲 ShadowCallStack 的地址，並且不用於任何其他目的。雖然編譯所有系統庫以保留x18寄存器，但如果為與進程內遺留代碼（例如，可能由第三方應用程序加載的庫）互操作的用戶空間組件啟用 SCS，這可能會出現問題，這可能會破壞x18寄存器。因此，我們只建議在不會加載到舊版二進製文件中的獨立組件中啟用 SCS。

驗證

沒有專門針對 SCS 的 CTS 測試。相反，請確保在啟用和不啟用 SCS 的情況下通過 CTS 測試，以驗證 SCS 不會影響設備。