到底怎么写
- 找AI问问
Research Questions
RQ1 在真实 Linux 用户态程序中,可执行页上的数据访问有多普遍?
RQ2 这些嵌入数据访问主要由哪些机制导致?它们的相对贡献是多少?
RQ3 这些访问模式能否被用于攻击检测,而不会带来过高误报和性能开销?
主线
业界和学界都希望部署 XOM,但现实中执行页并不总是纯代码;缺少对这类合法数据访问的系统性理解,导致 XOM 很难真正落地。我们先测量这个问题。 一个能够在真实系统中捕获、归因并分析 execute-page-as-data 访问事件的测量平台。 除了表征问题,我们还发现,某些访问模式明显偏离正常嵌入数据访问特征,因此可以用启发式规则做攻击检测。
贡献
Contribution 1 提出并实现一个细粒度观测框架,可在 Linux 上捕获对可执行页的数据访问,并记录进程、模块、页、指令、调用上下文等信息。 Contribution 2 基于大规模程序与 workload,首次对嵌入数据访问的普遍性、成因和分布进行系统化实证分析,揭示 XOM 部署的主要兼容性障碍。 Contribution 3 证明这些访问模式不仅是兼容性问题,也可转化为攻击检测信号;提出启发式规则,并评估其检测能力、误报和性能代价。 注意: 如果你还没有真正把嵌入数据从执行页中消除,就不要把贡献写成“实现了完整 XOM”。 更稳妥的说法是:
- 揭示 XOM 落地障碍
- 提供测量工具
- 提供检测思路
分析与防御
- 访存的角度找模式(而非成因)
- 超出读取范围杀掉
性能优化
- elf加载器:本应只读的section设置为原本的权限(如果它们4k对齐了)
- 检查libLLVM和fish是否4k对齐
- 没对齐
- 检查libLLVM和fish是否4k对齐
- 预处理:在安全环境下将被读取的页面加入白名单,之后放进危险环境,这些需要被读取的页加上读取权限(需要评估对安全性的影响)
- 高频访问:给被高频而安全的访问加上读取权限(需要评估对安全性的影响)
misc
- 栈回溯??