背景

我们已经对抛出SIGSEGV提出了挑战，那么为什么不对抛出SIGILL提出挑战呢？

什么是SIGILL？

SIGILL是在处理器处发出非法指令的信号，这种情况很少发生。收到SIGILL后的默认操作是终止程序并编写核心转储。SIGILL的信号ID为4。您很少遇到SIGILL，除了通过，我完全不知道如何在您的代码中生成它sudo kill -s 4 <pid>。

规则

您将在程序中具有root用户，但是如果出于任何原因您不想这样做，则也可以使用普通用户。我在使用德语语言环境的Linux计算机上，我不知道在捕获SIGILL后显示的英文文本，但是我认为它类似于“非法指令”。抛出SIGILL的最短程序获胜。

PDP-11汇编程序（UNIX第六版），1字节

9

指令9在PDP-11上不是有效的指令（八进制为，它000011不会出现在指令列表（PDF）中）。UNIX第六版附带的PDP-11汇编程序显然将它不了解的所有内容直接回显到文件中；在这种情况下，9是一个数字，因此它生成一个文字指令9。它还具有奇数个属性（如今在汇编语言中不常见），该文件从头开始运行，因此我们不需要任何声明即可制作程序工作。

您可以使用此仿真器测试该程序，尽管您必须在输入该程序时稍作努力。

一旦弄清楚了如何使用文件系统，编辑器，终端以及您认为已经知道如何使用的类似内容，这就是这些事情的结局：

% a.out
Illegal instruction -- Core dumped

我已经在文档中确认这是一个真正的SIGILL信号（甚至在那个时候它的信号号都相同，为4！）

C（x86_64，tcc），7个字节

main=6;

受到这个答案的启发。

在线尝试！

这个怎么运作

生成的程序集如下所示。

    .globl  main
main:
    .long 6

请注意，TCC不会在数据段中放置定义的“功能” 。

编译后，_start将照常指向main。当执行结果程序时，它期望main中的代码并找到little-endian（！）32位整数6，该整数被编码为0x06 0x00 0x00 0x00。第一个字节– 0x06 –是无效的操作码，因此程序以SIGILL终止。

C（x86_64，gcc），13个字节

const main=6;

在线尝试！

这个怎么运作

如果没有const修饰符，则生成的程序集将如下所示。

    .globl  main
    .data
main:
    .long   6
    .section    .note.GNU-stack,"",@progbits

GCC的链接器将最后一行视为生成的对象不需要可执行堆栈的提示。由于main已明确放置在数据段中，因此它包含的操作码不可执行，因此程序将终止SIGSEGV（分段错误）。

删除第二行或最后一行将使生成的可执行文件按预期工作。最后一行可以用编译器标志忽略-zexecstack（在线尝试！），但这花费12个字节。

一个较短的替代方法是使用const修饰符声明main，从而导致以下汇编。

        .globl  main
        .section    .rodata
main:
        .long   6
        .section    .note.GNU-stack,"",@progbits

这无需任何编译器标志即可工作。请注意，这main=6;会在data中写入定义的“函数” ，但是const修饰符使GCC 改为在rodata中写入它，（至少在我的平台上）它可以包含代码。

Swift，5个字节

[][0]

访问空数组的索引0。这将调用fatalError()，从而显示错误消息并因SIGILL而崩溃。 您可以在这里尝试。

GNU C，25个字节

main(){__builtin_trap();}

GNU C（带有扩展名的C的特定方言）包含有意使程序崩溃的指令。确切的实现因版本而异，但是开发人员通常会尝试以尽可能便宜的方式实现崩溃，这通常涉及使用非法指令。

我用来测试的特定版本是gcc (Ubuntu 5.4.0-6ubuntu1~16.04.4) 5.4.0; 但是，此程序会在相当多的平台上导致SIGILL，因此可移植性很高。此外，它通过实际执行非法指令来实现。这是上面使用默认优化设置编译成的汇编代码：

main:
    pushq %rbp
    movq %rsp, %rbp
    ud2

ud2 是英特尔保证永远保持不确定状态的指令。

C（x86_64），11、30、34或34 + 15 = 49字节

main[]="/";
c=6;main(){((void(*)())&c)();}
main(){int c=6;((void(*)())&c)();}

我已经提交了几个使用库函数SIGILL通过各种方式进行抛出的解决方案，但是可以说这是作弊的，因为库函数可以解决问题。这是一系列不使用库函数的解决方案，它们对操作系统愿意在何处执行不可执行的代码做出各种假设。（这里的常数是为x86_64选择的，但是您可以对其进行更改，以获得适用于大多数其他具有非法指令的处理器的有效解决方案。）

06是与x86_64处理器上定义的指令不对应的机器代码的最低编号字节。因此，我们要做的就是执行它。（或者，2F它也是未定义的，并且对应于一个可打印的ASCII字符。）不能保证始终未定义这两个字符，但是至今尚未定义它们。

这里的第一个程序2F从只读数据段执行。大多数链接程序都无法产生从.text到.rodata（或与操作系统等效）的工作跳转，因为在正确分段的程序中，它永远不会有用。我尚未找到可在其上运行的操作系统。您还必须考虑到许多编译器希望所讨论的字符串为宽字符串这一事实，这将需要一个额外的L; 我假设可以运行的任何操作系统对事物的看法都已经过时，因此默认情况下是为C94之前的标准构建的。该程序可能无处工作，但该程序也可能存在某处，因此我将其列在此组合中。（在我发布此答案后，丹尼斯还在main[]={6}聊天中提到了可能性，该长度相同，并且不会遇到字符宽度问题，甚至暗示了潜在的可能性main=6；我无法合理地将这些答案声明为我的，因为我自己没有想到它们。）

这里的第二个程序06从读写数据段执行。在大多数操作系统上，这将导致分段错误，因为可写数据段被认为是严重的设计缺陷，有可能导致被利用。但是，情况并非总是如此，因此它可能适用于足够旧的Linux版本，但是我无法轻松对其进行测试。

第三个程序06从堆栈执行。再次，这现在引起分段错误，因为出于安全原因通常将堆栈分类为不可写。我见过很多的链接器文档暗示，从堆栈中执行该链接是合法的（与前两种情况不同，这样做有时是有用的），因此尽管我无法对其进行测试，但我敢肯定，其中有些可以在其上运行的Linux版本（可能还有其他操作系统）。

最后，如果您给-Wl,-z,execstack（gcc如果使用GNU ld作为后端的一部分）付出（15字节的罚款），它将显式关闭可执行的堆栈保护，从而使第三个程序正常工作并给出预期的非法操作信号。我已经测试并验证了此49字节版本可以正常工作。（丹尼斯在聊天中提到，该选项显然与配合使用main=6，得分为6 + 15。我很惊讶，由于6显然不在堆栈中，因此该选项很有效；链接选项显然比顾名思义。）

GNU as（x86_64），3个字节

ud2

$ xxd sigill.S

00000000: 7564 32                                  ud2

$ as --64 sigill.S -o sigill.o; ld -S sigill.o -o sigill

sigill.S: Assembler messages:
sigill.S: Warning: end of file not at end of a line; newline inserted
ld: warning: cannot find entry symbol _start; defaulting to 0000000000400078

$ ./sigill

Illegal instruction

$ objdump -d sigill

sigill:     file format elf64-x86-64

Disassembly of section .text:

0000000000400078 <__bss_start-0x200002>:>
  400078:       0f 0b                   ud2

Bash在QEMU上的Raspbian上，4（1？）个字节

不是我的工作。我只是报告另一个人的工作。我什至无法测试该要求。由于此挑战的关键部分似乎是找到一个可以发出和捕获此信号的环境，因此，我不包括QEMU，Raspbian或bash的大小。

2013年2月27日晚上8:49，用户emlhalac在Raspberry Pi论坛上报告了“ 在尝试chroot时获取'非法指令' ”。

ping

生产

qemu: uncaught target signal 4 (Illegal instruction) - core dumped
Illegal instruction (core dumped)

我想象更短的命令将产生此输出，例如tr。

编辑：基于@fluffy的注释，将输入长度上的推测下限减小为“ 1？”。

x86 MS-DOS COM文件，2字节

编辑：正如评论中指出的那样，DOS本身不会捕获CPU异常，而只会挂起（而不仅仅是应用程序和整个操作系统）。在运行Windows XP等基于NT的32位操作系统上，确实会触发非法指令信号。

0F 0B

从文档中：

生成无效的操作码。提供此指令用于软件测试，以显式生成无效的操作码。

这是不言自明的。另存为.com文件，然后在任何DOS模拟器中运行 DOS模拟器将崩溃。在Windows XP，Vista或7 32位上运行。

C（32位Windows），34字节

f(i){(&i)[-1]-=9;}main(){f(2831);}

仅当编译时不进行优化（否则，f函数中的非法代码会被“优化”），这才有效。

该main函数的反汇编如下所示：

68 0f 0b 00 00    push 0b0f
e8 a1 d3 ff ff    call _f
...

我们可以看到它使用了push带文字值的指令0b0f（小端，因此它的字节被交换了）。所述call指令将返回地址（的...，这是位于该函数的参数接近在栈上的指令）。通过使用[-1]位移，该函数将覆盖返回地址，因此它指向字节之前的9个字节0f 0b。

按照设计，这些字节会导致“未定义指令”异常。

Java，50 43 24字节

a->a.exec("kill -4 $$");

这是java.util.function.Consumer<Runtime>^1，其命令已从蓬松的答案中窃取。之所以有效，是因为您必须将其称为whateverNameYouGiveIt.accept(Runtime.getRuntime())！

请注意，这将创建一个新进程并使它抛出SIGILL而不是抛出SIGILL本身。

^{1-从技术上讲，它也可能是a，java.util.function.Function<Runtime, Process>因为Runtime#exec(String)返回a java.lang.Process可以用来执行shell命令来控制刚创建的进程。}

为了用这种冗长的语言做一些更令人印象深刻的事情，以下是72 60 48字节的奖励：

a->for(int b=0;;b++)a.exec("sudo kill -s 4 "+b);

这是另一个Consumer<Runtime>经历所有过程（包括自身）的过程，使每个过程都引发SIGILL。更好地准备好进行暴力崩溃。

还有另一个好处（a Consumer<ANYTHING_GOES>），至少可以假装以20个字节抛出SIGILL：

a->System.exit(132);

Perl，9个字节

kill+4,$$

只需调用适当的库函数来发信号通知一个进程，并使用来获取程序以发信号通知自己SIGILL。这里没有涉及任何实际的非法指示，但是可以产生适当的结果。（我认为这使挑战相当便宜，但是如果允许的话，这就是您要使用的漏洞……）

ARM统一汇编语言（UAL），3个字节

nop

例如：

$ as ill.s -o ill.o
$ ld ill.o -o ill
ld: warning: cannot find entry symbol _start; defaulting to 00010054
$ ./ill 
Illegal instruction

执行完后nop，处理器将该.ARM.attributes部分解释为代码，并在该处某处遇到非法指令：

$ objdump -D ill

ill:     file format elf32-littlearm


Disassembly of section .text:

00010054 <__bss_end__-0x10004>:
   10054:       e1a00000        nop                     ; (mov r0, r0)

Disassembly of section .ARM.attributes:

00000000 <.ARM.attributes>:
   0:   00001341        andeq   r1, r0, r1, asr #6
   4:   61656100        cmnvs   r5, r0, lsl #2
   8:   01006962        tsteq   r0, r2, ror #18
   c:   00000009        andeq   r0, r0, r9
  10:   01080106        tsteq   r8, r6, lsl #2

在Raspberry Pi 3上测试。

Microsoft C（从Visual Studio 2005起），16字节

main(){__ud2();}

我很难对此进行测试，但是根据文档，它应该通过有意尝试从用户模式程序执行仅内核指令来产生一条非法指令。（请注意，由于非法指令使程序崩溃，因此我们不必尝试从中返回main，这意味着该K＆R样式的main函数有效。VisualStudio从C89开始从未使用过，这通常是一件坏事，但它确实来自于C89在这里有用。）

Ruby，13个字节

`kill -4 #$$`

我猜可以安全地假设我们从* nix shell运行此程序。反引号文字将运行给定的shell命令。$$是正在运行的Ruby进程，#用于字符串插值。

不直接调用shell：

Ruby，17个字节

Process.kill 4,$$

任何shell（sh，bash，csh等），任何POSIX（10字节）

琐碎的回答，但我还没有看到有人发布。

kill -4 $$

只需将SIGILL发送到当前进程即可。OSX上的示例输出：

bash-3.2$ kill -4 $$
Illegal instruction: 4

ELF + x86机器代码，45字节

这应该是抛出SIGILL的Unix机器上最小的可执行程序（由于Linux不能识别可执行文件（如果将其缩小的话））。

nasm -f bin -o a.out tiny_sigill.asm在x64虚拟机上经过测试的进行编译。

实际的45个字节的二进制文件：

0000000 457f 464c 0001 0000 0000 0000 0000 0001

0000020 0002 0003 0020 0001 0020 0001 0004 0000

0000040 0b0f c031 cd40 0080 0034 0020 0001

程序集列表（请参见下面的源代码）：

;tiny_sigill.asm      
BITS 32


            org     0x00010000

            db      0x7F, "ELF"             ; e_ident
            dd      1                                       ; p_type
            dd      0                                       ; p_offset
            dd      $$                                      ; p_vaddr 
            dw      2                       ; e_type        ; p_paddr
            dw      3                       ; e_machine
            dd      _start                  ; e_version     ; p_filesz
            dd      _start                  ; e_entry       ; p_memsz
            dd      4                       ; e_phoff       ; p_flags


_start:
                ud2                             ; e_shoff       ; p_align
                xor     eax, eax
                inc     eax                     ; e_flags
                int     0x80
                db      0
                dw      0x34                    ; e_ehsize
                dw      0x20                    ; e_phentsize
                db      1                       ; e_phnum
                                                ; e_shentsize
                                                ; e_shnum
                                                ; e_shstrndx

  filesize      equ     $ - $$

免责声明：以下教程中的代码编写最小的汇编程序以返回数字，但使用操作码ud2而不是mov：http： //www.muppetlabs.com/~breadbox/software/tiny/teensy.html

AutoIt，93字节

使用flatassembler内联汇编：

#include<AssembleIt.au3>
Func W()
_("use32")
_("ud2")
_("ret")
EndFunc
_AssembleIt("int","W")

在SciTE交互模式下运行时，它将立即崩溃。Windows调试器应弹出一秒钟的时间。控制台输出将如下所示：

--> Press Ctrl+Alt+Break to Restart or Ctrl+Break to Stop
0x0F0BC3
!>14:27:09 AutoIt3.exe ended.rc:-1073741795

-1073741795WinAPI抛出的未定义错误代码在哪里。这可以是任何负数。

使用我自己的汇编程序LASM类似：

#include<LASM.au3>
$_=LASM_ASMToMemory("ud2"&@CRLF&"ret 16")
LASM_CallMemory($_,0,0,0,0)

NASM，25个字节

我不知道它是如何工作的，只是它在我的计算机（Linux x86_64）上确实有效。

global start
start:
jmp 0

像这样编译和运行：

$ nasm -f elf64 ill.asm && ld ill.o && ./a.out
ld: warning: cannot find entry symbol _start; defaulting to 0000000000400080
Illegal instruction

TI-83十六进制组件，2字节

PROGRAM:I
:AsmPrgmED77

运行为Asm(prgmI)。执行非法的0xed77操作码。我将每对十六进制数字都视为一个字节。

Python，32个字节

from os import*;kill(getpid(),4)

x86 .COM，1个字节

c

ARPL原因#UD在16位模式下

Linux Shell，9个字节

kill -4 0

发送SIGILL给PID为0的进程。我不知道哪个进程的PID为0，但它始终存在。

在线尝试！

GNU C，24 19 18字节

^{-4感谢Dennis
-1感谢ceilingcat}

main(){goto*&"'";}

在线尝试！假设使用ASCII和x86_64。它尝试运行机器代码27，这是非法的。

shortC，10 5 4字节

AV"'

等效于上面的GNU C代码。在线尝试！

x86_64上的MachineCode，2个 1字节

7

在线尝试！

只需调用x86_64指令0x07（ceilingcat建议使用0x07而不是0x27）