Voyage en C++ie : les objets

Magazine
Marque
MISC
Numéro
96
Mois de parution
mars 2018
Spécialité(s)


Résumé

Cet article est le second d'une mini-série sur le C++, ou plutôt sur les binaires compilés depuis C++, leurs particularités, comment les concepts du langage se retrouvent parfois dans le binaire final.


Body

 

Comprendre le lien entre du code C++ et sa version compilée fournit parfois une aide précieuse à l’analyste. Dans cette optique, cette mini-série explore différentes facettes d’un binaire et leur lien avec le source d’origine quand ce dernier est du C++.

Pour cette fois, nous allons nous intéresser aux objets, à l'héritage, aux fonctions virtuelles et à comment ces concepts se retrouvent dans le fichier ELF final — on restera dans le monde Linux. Le compilateur utilisé est clang++ 5.0, et c’est le standard C++11 qui est utilisé. Et enfin, on cible du x86 64 bits.

1. Un objet, c’est bien peu de choses

Les concepts de classe, d'héritage, de fonctions membres virtuelles n'existent pas au niveau assembleur. Ils ne sont même pas présents explicitement au niveau LLVM, c'est dire. Parfois, ils ne changent rien, comme la l’attribut de fonction membre override, ou les visibilités public, private, etc. Parfois, ils laissent une trace dans le binaire, et c'est ça qui va nous intéresser.

Commençons simplement, avec un constructeur par défaut :

struct S {
    int field;
} s;

Si je compile ce code avec GCC, comme j'ai déclaré une variable globale, j'obtiens :

s:
    .zero    4
    .size    s, 4

Si je remplace le constructeur par une factory pour appeler le constructeur dynamiquement :

struct S {
    int field;
};
 
S make_s() {
    return {};
}

On obtient (en compilant avec clang++ -O2 a.cc -S -o - -std=c++11 -masm=intel | grep -E -v '^\s*[\.#]' | sed 's/ *#.*//' un code qui peut paraître troublant :

_Z6make_sv:
    xor eax, eax
    ret

OK pour le xor qui donne une valeur par défaut au champ field, mais on remarque que la valeur de retour se confond avec l'unique membre de S. Cela correspond au fait que la notion de type a disparu, notre objet n'est plus qu'une séquence de champs qui tient là dans un registre. Si on enrichit un peu notre objet :

#include <tuple>
 
std::tuple<int, double> make_tuple() {
    return {};
}

On obtient :

_Z10make_tuplev:
    xorps    xmm0, xmm0
    xor    eax, eax
    ret

On notera que même si on s’attend, pour notre architecture, à ce que le tuple fasse 4 + 8 = 12 octets, un sizeof nous confirme qu’elle en fait 16, il y a eu du padding.

Et si notre objet grossit un peu, on ne se contente plus de passer une valeur de retour, mais on modifie un pointeur vers l'objet non initialisé, passé en paramètre :

#include <tuple>
 
std::tuple<int, double[2]> make_tuple() {
    return {};
}

Se compile en :

_Z10make_tuplev:
    xorps    xmm0, xmm0
    movups    xmmword ptr [rdi], xmm0
    mov    dword ptr [rdi + 16], 0
    mov    rax, rdi
    ret

On l'a compris, une classe, ce n'est jamais rien d'autre qu'un paquet d'octets rangés les uns à côté des autres. On notera au passage que l'utilisation d'un std::tuple<...> est correctement optimisée par le compilateur.

2. L'héritage Mitsouko

Si un objet est équivalent à la suite de ses variables membres, qu'en est-il d'un objet dont la classe est définie par héritage ? On a un premier élément de réponse avec le code de la section précédente, puisque dans la libstdc++, les tuples sont définis par héritage : quand on hérite d'une classe, on ajoute (récursivement) les champs de la classe héritée aux nôtres, comme l'illustre ce petit exemple :

struct P {
  double p ;
};
struct Q {
  int p  ;
};
struct R {
  double p ;
};
 
struct S : P, Q, R {
};
 
S make_s() {
  return {};
}

Qui une fois compilé, donne :

_Z6make_sv:
    xorps    xmm0, xmm0
    movups    xmmword ptr [rdi], xmm0
    mov    qword ptr [rdi + 16], 0
    mov    rax, rdi
    ret

Toutes les règles d'héritage virtuel ne changent rien à cette organisation de la mémoire. Du moins tant qu'il n'y a pas de fonctions virtuelles, mais on verra ça un peu plus loin.

3. Les fonctions membres

Les familiers de Python seront certainement ravis d'observer le résultat de la compilation de la fonction suivante :

class S {
  int field;
  public:
  __attribute__((noinline)) int get() const  { return field; }
};
 
int foo(S s) {
   return s.get();
}

Et là, stupeur et tremblements :

_Z3foo1S:
    push    rax
    mov    dword ptr [rsp], edi
    mov    rdi, rsp
    call    _ZNK1S3getEv
    pop    rcx
    ret
 
_ZNK1S3getEv:
    mov    eax, dword ptr [rdi]
    ret

La fonction S::get() const prend en premier paramètre, à travers rdi, la valeur de this.

4. Les fonctions virtuelles

Ahhh les fonctions virtuelles. Elles ont fait la gloire de Java et permettent de briller en société en parlant de vtable. Le principe est simple. Si on a un appel de méthode virtuelle, la résolution de méthode se fait à l'exécution et non à la compilation :

struct S {
  virtual int get() const;
};
 
int foo(S& s) {
   return s.get();
}

Le code compilé est assez curieux au premier abord :

_Z3fooR1S:
    mov    rax, qword ptr [rdi]
    jmp    qword ptr [rax]

Le mov déréférence le pointeur passé en paramètre (oui, une référence n'est jamais qu'un pointeur forcément initialisé) et la valeur obtenue est utilisée pour faire un appel de fonction indirect à travers un jmp. Ce premier déréférencement correspond à l'accès à la vtable, comme on peut le voir si on crée une instance de classe dérivant de S :

struct S {
  virtual int get() const;
};
 
struct P : S {
  virtual int get() const { return 1; }
};
 
 
P make_p() {
   return {};
}

Le code compilé pour la fonction make_p n'est pas aussi vide qu'on l'y croirait :

_Z6make_pv:
    mov    qword ptr [rdi], _ZTV1P+16
    mov    rax, rdi
    ret
 
_ZNK1P3getEv:
    mov    eax, 1
    ret
[...]
_ZTV1P:
    .quad    0
    .quad    _ZTI1P
    .quad    _ZNK1P3getEv
    .size    _ZTV1P, 24
 
    .type    _ZTS1P,@object
    .section    .rodata._ZTS1P,"aG",@progbits,_ZTS1P,comdat
    .weak    _ZTS1P
_ZTS1P:
    .asciz    "1P"
    .size    _ZTS1P, 3
 
    .type    _ZTI1P,@object
    .section    .rodata._ZTI1P,"aG",@progbits,_ZTI1P,comdat
    .weak    _ZTI1P
_ZTI1P:
    .quad    _ZTVN10__cxxabiv120__si_class_type_infoE+16
    .quad    _ZTS1P
    .quad    _ZTI1S
    .size    _ZTI1P, 24

Alors il y a pas mal de choses à dire. Si on regarde _Z6make_pv, on voit que l'objet P n'est pas vide, mais contient un champ, qui est initialisé à _ZTV1P+16, soit _ZNK1P3getEv, l'adresse de la fonction à effectivement appeler dans le cas d'un appel virtuel.

On notera aussi que _ZTV1P+8 contient les fameuses RTTI les RunTime Type Informations. D'ailleurs, si on utilise le drapeau de compilation -fno-rtti, cette valeur est bien mise à 0.

On parle de virtual table parce qu'il y a une entrée pour chaque fonction virtuelle, comme dans le cas suivant :

struct S {
  virtual int get() const;
  virtual int& get();
};
 
struct P : S {
  int n;
  virtual int get() const { return n; }
  virtual int& get() { return n; }
};
 
 
P make_p() {
   return {};
}

Qui, une fois compilé et un peu nettoyé, donne :

_Z6make_pv:
    mov    qword ptr [rdi + 8], 0
    mov    qword ptr [rdi], _ZTV1P+16
    mov    rax, rdi
    ret
 
_ZNK1P3getEv:
    mov    eax, dword ptr [rdi + 8]
    ret
 
_ZN1P3getEv:
    lea    rax, [rdi + 8]
    ret
 
_ZTV1P:
    .quad    0
    .quad    0
    .quad    _ZNK1P3getEv
    .quad    _ZN1P3getEv
    .size    _ZTV1P, 32

On identifie rapidement dans _ZTV1P+16 les adresses des deux fonctions virtuelles de P. Voilà pour les fonctions virtuelles !

5. Fonctions virtuelles et héritage multiple

Si on combine ce qu'on a découvert sur les vtable et sur l'héritage, on peut facilement prédire ce qui se passera lors de la compilation de ce fragment de code :

struct P {
  virtual int get() const { return 1;}
};
struct S {
  int field;
  virtual int &get() { return field;}
};
struct F : P, S {
};
 
F make_f() {
  return {};
}

A priori, on devrait avoir un champ dans F, ainsi que l'initialisation de la vtable de P et celle de S. Vérifions :

_Z6make_fv:
    mov    qword ptr [rdi + 16], 0
    mov    eax, _ZTV1F+40
    movq    xmm0, rax
    mov    eax, _ZTV1F+16
    movq    xmm1, rax
    punpcklqdq    xmm1, xmm0
    movdqu    xmmword ptr [rdi], xmm1
    mov    rax, rdi
    ret
 
_ZNK1P3getEv:
    mov    eax, 1
    ret
 
_ZN1S3getEv:
    lea    rax, [rdi + 8]
    ret
 
_ZTV1F:
    .quad    0
    .quad    _ZTI1F
    .quad    _ZNK1P3getEv
    .quad    -8
    .quad    _ZTI1F
    .quad    _ZN1S3getEv
    .size    _ZTV1F, 48

Et voilà ! Une table virtuelle pour _ZTV1F+40 qui stocke _ZN1S3getEv et une pour _ZTV1F+16 qui stocke _ZNK1P3getEv. D'ailleurs, un static_assert(sizeof(F) == 24, "large!") nous garantit que notre petit objet, même s'il ne contient qu'un seul champ field de 4 octets sur ma machine, contient aussi des champs cachés : les deux adresses des vtables (8 octets chacune). Les 4 octets restants sont là pour l'alignement, d'ailleurs si on ajoute la directive #pragma pack(1), on obtient sizeof(F) == 20.

Conclusion

Déjà, merci à Lancelot Six, Paul Blottière et Adrien Guinet pour leurs relectures attentives /o/. Et en guise de conclusion, on ne peut qu'apprécier ce fameux principe du costless abstraction en C++. Par rapport à la complexité du langage, l'assembleur généré est d'une surprenante légèreté !

 



Article rédigé par

Par le(s) même(s) auteur(s)

Crévindiou, c’est pas du bon C d’chez nous ça, cé du C deu’l ville !

Magazine
Marque
GNU/Linux Magazine
Numéro
267
Mois de parution
janvier 2024
Spécialité(s)
Résumé

IANAL (I Am Not A Linguist), mais quand j’entends du québécois, je ne comprends pas tout, mais je comprends. Mais qu’en est-il des dialectes du langage C ? Car oui, le langage C a des dialectes, et nous allons voyager un peu à travers l’un d’entre eux, le dialecte GNU, supporté principalement par GCC, mais aussi, en partie, par Clang.

Les derniers articles Premiums

Les derniers articles Premium

Quarkus : applications Java pour conteneurs

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Initié par Red Hat, il y a quelques années le projet Quarkus a pris son envol et en est désormais à sa troisième version majeure. Il propose un cadre d’exécution pour une application de Java radicalement différente, où son exécution ultra optimisée en fait un parfait candidat pour le déploiement sur des conteneurs tels que ceux de Docker ou Podman. Quarkus va même encore plus loin, en permettant de transformer l’application Java en un exécutable natif ! Voici une rapide introduction, par la pratique, à cet incroyable framework, qui nous offrira l’opportunité d’illustrer également sa facilité de prise en main.

De la scytale au bit quantique : l’avenir de la cryptographie

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Imaginez un monde où nos données seraient aussi insaisissables que le célèbre chat de Schrödinger : à la fois sécurisées et non sécurisées jusqu'à ce qu'un cryptographe quantique décide d’y jeter un œil. Cet article nous emmène dans les méandres de la cryptographie quantique, où la physique quantique n'est pas seulement une affaire de laboratoires, mais la clé d'un futur numérique très sécurisé. Entre principes quantiques mystérieux, défis techniques, et applications pratiques, nous allons découvrir comment cette technologie s'apprête à encoder nos données dans une dimension où même les meilleurs cryptographes n’y pourraient rien faire.

Les nouvelles menaces liées à l’intelligence artificielle

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Sommes-nous proches de la singularité technologique ? Peu probable. Même si l’intelligence artificielle a fait un bond ces dernières années (elle est étudiée depuis des dizaines d’années), nous sommes loin d’en perdre le contrôle. Et pourtant, une partie de l’utilisation de l’intelligence artificielle échappe aux analystes. Eh oui ! Comme tout système, elle est utilisée par des acteurs malveillants essayant d’en tirer profit pécuniairement. Cet article met en exergue quelques-unes des applications de l’intelligence artificielle par des acteurs malveillants et décrit succinctement comment parer à leurs attaques.

Les listes de lecture

11 article(s) - ajoutée le 01/07/2020
Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.
8 article(s) - ajoutée le 13/10/2020
Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.
10 article(s) - ajoutée le 13/10/2020
Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.
Voir les 66 listes de lecture

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous