返回地址加密会阻止使用 ROP gadget，因为攻击者无法预测密钥的值，因此攻击者将不知道在堆栈上写什么以导致在一个 gadget 末尾的返回指令将控制权转移到下一个小工具。

记住 ROP 攻击的工作原理。攻击涉及执行一系列 ROP 小工具。攻击者必须安排内存，以便这些小工具以所需的顺序执行。在 ROP 攻击中，攻击者通过覆盖堆栈以包含一堆假堆栈帧来实现此目的，其中每个堆栈帧包含单个小工具所需/预期的任何堆栈数据。每个 ROP gadget 都以 RET（返回）指令结束，因此相应的假堆栈帧包含一个保存的返回地址，将由 RET 指令使用：当您执行 gadget 时，当它到达 RET 指令时，RET 指令将弹出堆栈上的“返回地址”并跳转到它。因此，攻击者安排堆栈的内容，使每个小工具都有一个假的“返回地址”，而假的“

在标准的 ROP 攻击中，这是可行的，因为攻击者知道每个小工具的地址，并且可以将这些地址写入堆栈。

使用 G-Free 的返回地址加密，这种攻击不再有效。攻击者无法将gadget的地址存储到堆栈中；相反，攻击者需要存储一个加密的返回地址（即下一个gadget地址的加密）。如果不知道加密密钥，攻击者将不知道要写什么。

因此，在不知道加密密钥的情况下，ROP 攻击不起作用，因为攻击者无法将这些小工具链接在一起。

PS我同意你的看法。G-Free 确实很棒。我希望我有一个编译器标志，可以让我用 G-Free 编译程序；这是一个非常酷的防御，对性能的影响不大。