Checksec.sh 项目中 FORTIFY_SOURCE 检测机制的优化与实现

背景介绍

Checksec.sh 是一个用于检查二进制文件安全特性的脚本工具，能够检测包括 ASLR、NX、RELRO、FORTIFY_SOURCE 等多种安全机制的状态。在 checksec-2.7.1 版本中，开发者发现了一个关于 FORTIFY_SOURCE 检测的重要问题：当对运行中的进程进行检查时，FORTIFY_SOURCE 的检测结果与直接检查对应二进制文件时存在不一致的情况。

问题分析

FORTIFY_SOURCE 是 GNU C 库提供的一种安全机制，通过在编译时插入额外的检查代码来防止缓冲区溢出等内存安全问题。在 checksec.sh 项目中，原有的进程检查逻辑对 FORTIFY_SOURCE 的检测过于简单，仅能返回"是"或"否"两种状态，而实际上应该有三种可能状态：

1. 完全支持(Yes)：所有可加固的函数都使用了安全版本
2. 部分支持(Partial)：只有部分可加固的函数使用了安全版本
3. 不支持(N/A)：没有使用可加固的函数或没有链接 libc

原实现中，进程检查总是返回"是"或"否"，而文件检查则能正确识别这三种状态，导致结果不一致。

解决方案

为了解决这个问题，开发者将文件检查中成熟的 FORTIFY_SOURCE 检测逻辑移植到了进程检查中。新实现的主要改进包括：

1. libc 检测：首先检查进程是否链接了 libc 库
2. 函数统计：
   • 从 libc 中提取所有带有 _chk 后缀的安全函数
   • 从进程的可执行文件中提取所有使用的函数
   • 统计已检查和未检查的函数数量
3. 状态判断：
   • 如果没有链接 libc 或没有可加固函数，返回"N/A"
   • 如果所有可加固函数都使用了安全版本，返回"Yes"
   • 如果部分可加固函数使用了安全版本，返回"Partial"
   • 如果没有可加固函数使用安全版本，返回"No"

测试验证

为了确保新实现的正确性，开发者设计了全面的测试方案：

1. 静态测试：使用预编译的二进制文件验证各种情况
2. 动态测试：对运行中的进程进行检查，确保结果与文件检查一致
3. 特殊案例测试：
   • 使用汇编编写的无 libc 程序验证"N/A"状态
   • 修改简单的 C 程序使其包含 sleep() 调用，以便进行进程测试
   • 32位和64位程序的双重验证

测试中特别考虑了以下情况：

• 完全不使用 libc 的程序
• 静态链接的程序
• 部分加固的程序
• 完全加固的程序

技术细节

在实现过程中，开发者深入研究了以下技术点：

1. 进程可执行文件路径获取：通过读取 /proc/[pid]/exe 符号链接获取
2. 动态符号表解析：使用 readelf 工具提取二进制文件中的符号信息
3. 函数名匹配：精确匹配带有 _chk 后缀的安全函数
4. 跨架构支持：同时支持32位和64位程序检查

对于无 libc 的测试程序，开发者提供了两种实现方案：

1. 使用汇编语言直接编写，通过系统调用实现功能
2. 使用 C 语言编写但静态编译，消除外部依赖

实际应用

在实际系统检查中，新实现能够正确识别各种情况：

# 检查特定进程
./checksec --proc=update-notifier

# 检查所有进程
./checksec --proc-all

输出结果现在能够准确反映每个进程的 FORTIFY_SOURCE 状态，与直接检查对应二进制文件的结果保持一致。

总结

通过对 checksec.sh 项目中 FORTIFY_SOURCE 检测机制的优化，解决了进程检查与文件检查结果不一致的问题。新实现不仅提高了准确性，还通过完善的测试用例确保了在各种边界条件下的可靠性。这一改进使得 checksec.sh 工具在系统安全评估中更加精确和可信。

对于安全研究人员和系统管理员来说，准确的安全机制检测是评估系统防护能力的基础。checksec.sh 的这一改进为其在实践中的应用提供了更好的支持。