- 1Python PIP离线安装_pip 离线
- 2git分支管理规范
- 3VS Code 配置 C/C++ 编程运行环境(保姆级教程)_配置vscodec++运行环境
- 4python爬虫实战(十) 热门视频信息爬取(简易版)| 接口爬取_视频爬虫
- 5Codeforces Global Round 3-F. Foo Fighters-思维_俄罗斯ffoo性另类
- 62024|CISP认证详细报考流程和条件_cisp在哪里报名考试
- 7Pytorch 分布式训练DDP(torch.distributed)详解-原理-代码_pytorch ddp
- 8[实时流基础 flink] 窗口_会话窗口
- 9mybatis-plus学习笔记(Kotlin)_mybatisplus kotlin
- 10Android AutoSize屏幕适配:适配不同屏幕大小的尺寸,让我们无需去建立多个尺寸资源文件
Intel CET缓解措施深度研究
赞
踩
0x00 TL;DR
上⼀篇⽂章中已经简单介绍过了CET的基本原理和实际应⽤的⼀些技术,站在防守⽅的视⻆下,CET确实是⼀个能 ⽐较有效防御ROP攻击技术的措施。那么在攻击者的视⻆来看,研究清楚CET的技术细节,进⽽判断CET是否是⼀ 个完美的防御⽅案,还是存在⼀定的局限性,则是攻击⽅的重中之重。
本⽂由浅⼊深地讲述CET的实现细节,最后提出⼏个理论可⾏的绕过⽅案,供研究者参考。
0x01 Shadow Stack Overview
上⼀篇⽂章已经⼤概对CET做了个基本概念介绍,所以就不重复,直接说重点。
Shadow Stack PTE
Shadow Stack本质上是块内存⻚,属于新增的⻚类型,因此需要增加⼀个新的⻚属性来标识Shadow Stack。PTE中的⼀些未有被CPU定义的,也有保留给操作系统使⽤的,例如第0位的Present就由CPU标识⻚是否分配。Linux 操作系统没有将所有保留位都使⽤掉(⽤于别的⽤途),但是其他操作系统则没有剩余可⽤的保留位了,因此从 Linux中取⼀个未使⽤的位,不太可取。
这⾥Linux采⽤了复⽤很少使⽤的⻚状态(写时复制的状态):write=0, dirty=1。当Linux需要创建写时复制 write=0, dirty=1的⻚时,⽤软件定义的_PAGE_COW代替_PAGE_DIRTY,创建shadow stack时,则使⽤write=0, dirty=1。这就将两者区分开来了:
Shadow Stack
Management Instructions
为了保证shadow stack的独特性,CET专⻔设计了独有的汇编指令。普通的指令(MOV, XSAVE...)将不被允许操 作shadow stack。
这⾥重点说SAVEPREVSSP、RSTORSSP。Linux环境下,会存在栈切换的情况(系统调⽤、信号处理...),为了保 证shadow stack的正常运作,数据栈切换后shadow stack也需要相应切换,因此就会⽤到这两个指令。
下图为执⾏RSTORSSP指令前后的shadow stack状态变化。执⾏的操作为先将SSP指针指向new shadow stack的 ‘restore token’,即0x4000。然后⽤current(old) shadow stack的地址做‘new restore token’替换掉‘restore token’,⽤于后续的SAVEPREVSSP指令使⽤。
下图为执⾏SAVEPREVSSP指令前后的变化。执⾏的操作为将前⾯设置的‘new restore token’压⼊previous shadow stack中,并将标志位置0。然后将SSP指针加1。
⾄此,就完成了shadow stack切换的整个过程。
