SSPUSH 未启用相关 CFI 时会怎样?
Zicfiss 指令按官方 Zimop/Zcmop 兼容规则退化,不执行影子栈检查或更新。
SSPUSH
RISC-V SSPUSH 指令详解
指令手册R-typeSSPUSH 将 x1/x5 链接寄存器值压入向下增长的影子栈。
指令语法
sspush rs1
操作数说明
目标寄存器 rd:存放运算结果的通用寄存器。
源寄存器 rs1:第一个操作数寄存器。
源寄存器 rs2:第二个操作数寄存器。
Zicfiss安全机制
指令行为说明
SSPUSH 将 ssp 先减小 XLEN/8,以新的 ssp 地址把 x1 或 x5 的返回地址副本写入影子栈;只有影子栈存储成功后,ssp 的更新才提交。它用于非叶子函数入口,配合普通栈保存返回地址来检测返回地址被篡改。
快速理解与检索要点
SSPUSH 属于 RISC-V CFI 相关指令;其行为受 Zicfilp/Zicfiss 是否启用以及相关环境配置控制。
影子栈操作隐式使用 ssp,宽度为 XLEN。
不要把 CFI MOP 兼容性误解为安全检查总是执行;未启用时可能退化为 no-op 或写零结果。
常见使用场景
函数调用与返回
使用 jal ra, label 或 jalr ra, rs, imm。
操作系统接口
结合 «sspush x1» 等实际代码理解该场景。
特定用途
结合 «sspush x1» 等实际代码理解该场景。
使用前检查清单
语法检查
- 确认当前指令格式为 R-type。
- 确认操作数排列顺序与示例一致。
语义检查
- 确认目标寄存器用途和调用约定兼容。
- 确认该指令不是伪指令展开后的底层形式。
容易混淆 / 常见误区
该指令只支持 x1 或 x5 作为源链接寄存器。
只有相应 Zicfiss 状态启用时才提供影子栈保护;未启用时按规范的兼容行为处理。
异常行为取决于当前特权级、环境配置 CSR 和页表/内存属性。
ssp 先递减形成存储地址,但只有存储成功后才提交更新。
SSPUSH/C.SSPUSH 只有在影子栈存储成功后才递减 ssp。
常见问题
SSPUSH 的官方来源是什么?
RISC-V 非特权 ISA 的 Control-flow Integrity 章节定义 LPAD、SSPUSH、SSPOPCHK、SSRDP 和 SSAMOSWAP。