什么设置 fs:[0x28] （堆栈金丝雀）？

Question 1

跟踪此初始化很容易，因为（几乎）每个进程strace在进程运行的一开始都显示一个非常可疑的系统调用：

arch_prctl(ARCH_SET_FS, 0x7fc189ed0740) = 0

就是这样man 2 arch_prctl说的：

   ARCH_SET_FS
          Set the 64-bit base for the FS register to addr.

是的，看起来这就是我们所需要的。为了找到谁调用了arch_prctl，让我们寻找回溯：

(gdb) catch syscall arch_prctl
Catchpoint 1 (syscall 'arch_prctl' [158])
(gdb) r
Starting program: <program path>

Catchpoint 1 (call to syscall arch_prctl), 0x00007ffff7dd9cad in init_tls () from /lib64/ld-linux-x86-64.so.2
(gdb) bt
#0  0x00007ffff7dd9cad in init_tls () from /lib64/ld-linux-x86-64.so.2
#1  0x00007ffff7ddd3e3 in dl_main () from /lib64/ld-linux-x86-64.so.2
#2  0x00007ffff7df04c0 in _dl_sysdep_start () from /lib64/ld-linux-x86-64.so.2
#3  0x00007ffff7dda028 in _dl_start () from /lib64/ld-linux-x86-64.so.2
#4  0x00007ffff7dd8fb8 in _start () from /lib64/ld-linux-x86-64.so.2
#5  0x0000000000000001 in ?? ()
#6  0x00007fffffffecef in ?? ()
#7  0x0000000000000000 in ?? ()

因此，FS 段基数是在程序加载期间由设定的ld-linux，它是的一部分glibc（如果程序是静态链接的，则此代码将嵌入到二进制文件中）。这就是一切发生的地方。

在启动过程中，加载程序初始化 TLS。这包括内存分配和设置 FS 基值以指向 TLS 开头。这是通过以下方式完成的arch_prctl 系统调用。 TLS 初始化后security_init 功能被调用，它生成堆栈保护的值并将其写入内存位置，该位置fs:[0x28]指向：

并且是位于 TLS 开头的结构体中字段0x28的偏移量。stack_guard

Answer

跟踪此初始化很容易，因为（几乎）每个进程strace在进程运行的一开始都显示一个非常可疑的系统调用：

arch_prctl(ARCH_SET_FS, 0x7fc189ed0740) = 0