1 PAC

AMR64提供了PAC(P ointer A uthentication Code)机制。

所谓PAC，简单来说就是使用存储在芯片硬件上的「密钥」，一个「上下文」，与「指针地址」进行加密计算，得出一个「签名」，将这个「签名」写入指针的高bit上。

计算出来的「签名」之所以可以写入指针的高bit，是因为在实际使用中，并不是所有指针64bit都会被使用，通常高bit都会被保留用来做其他用途。

如果在程序运行过程中，有人恶意的修改了指针地址，在后面将签名后的指针地址，作用于验证指令，就会报错。

验证过程和计算签名过程一样，只是比较前后计算的签名值是否一样。如果验证成功，签名就会从高bit上移除。

2 指令语法

bash 复制代码

PACIBSP

上面指令对函数返回地址进行PAC，也就是对X30的值进行PAC，或者说对LR寄存器的值进行PAC。

在PAC过程中，有2种密钥，一种是密钥A，另一种是密钥B。

指令PACIBSP中的B就代表使用密钥B，同时SP表示「上下文」使用的是SP寄存器的值。

下面是一个运行PACIBSP后，X30的值变化的例子:

c++ 复制代码

// PAC 前
(lldb) p/x $x30
(unsigned long) 0x000000010817f7bc

// PAC 后
(lldb) p/x $x30
(unsigned long) 0x3f57fc010817f7bc

从上面的输出可以看到，X30的高bit在PAC后发生了变化。

c++ 复制代码

PACIB <Xd>, <Xn|SP>

密钥: 密钥B。

上下文: Xn寄存器的值或者SP寄存器的值。

指针地址: Xd寄存器的值

c++ 复制代码

PACIB1716

密钥: 密钥B。

上下文: 寄存器X16的值。

指针地址: 寄存器X17的值。

c++ 复制代码

PACIBZ

密钥: 密钥B。

上下文: 0。

指针地址: X30寄存器或者说LR寄存器的值。

c++ 复制代码

PACIZB <Xd>

密钥: 密钥B。

上下文: 0。

指针地址: 寄存器Xd的值。

指令PACIASP PACIA PACIA1716 PACIAZ PACIZA除了使用密钥A进行PAC之外，其它都与对应的PACIB*指令一样。