Intel CET缓解措施深度研究

0x00 TL;DR

上⼀篇⽂章中已经简单介绍过了CET的基本原理和实际应⽤的⼀些技术，站在防守⽅的视⻆下，CET确实是⼀个能 ⽐较有效防御ROP攻击技术的措施。那么在攻击者的视⻆来看，研究清楚CET的技术细节，进⽽判断CET是否是⼀ 个完美的防御⽅案，还是存在⼀定的局限性，则是攻击⽅的重中之重。

本⽂由浅⼊深地讲述CET的实现细节，最后提出⼏个理论可⾏的绕过⽅案，供研究者参考。

0x01 Shadow Stack Overview

上⼀篇⽂章已经⼤概对CET做了个基本概念介绍，所以就不重复，直接说重点。

Shadow Stack PTE

Shadow Stack本质上是块内存⻚，属于新增的⻚类型，因此需要增加⼀个新的⻚属性来标识Shadow Stack。PTE中的⼀些未有被CPU定义的，也有保留给操作系统使⽤的，例如第0位的Present就由CPU标识⻚是否分配。Linux 操作系统没有将所有保留位都使⽤掉（⽤于别的⽤途），但是其他操作系统则没有剩余可⽤的保留位了，因此从 Linux中取⼀个未使⽤的位，不太可取。

这⾥Linux采⽤了复⽤很少使⽤的⻚状态（写时复制的状态）：write=0, dirty=1。当Linux需要创建写时复制 write=0, dirty=1的⻚时，⽤软件定义的_PAGE_COW代替_PAGE_DIRTY，创建shadow stack时，则使⽤write=0, dirty=1。这就将两者区分开来了：

Shadow Stack

Management Instructions

为了保证shadow stack的独特性，CET专⻔设计了独有的汇编指令。普通的指令（MOV, XSAVE...）将不被允许操 作shadow stack。

这⾥重点说SAVEPREVSSP、RSTORSSP。Linux环境下，会存在栈切换的情况（系统调⽤、信号处理...），为了保 证shadow stack的正常运作，数据栈切换后shadow stack也需要相应切换，因此就会⽤到这两个指令。 

下图为执⾏RSTORSSP指令前后的shadow stack状态变化。执⾏的操作为先将SSP指针指向new shadow stack的 ‘restore token’，即0x4000。然后⽤current（old） shadow stack的地址做‘new restore token’替换掉‘restore token’，⽤于后续的SAVEPREVSSP指令使⽤。

下图为执⾏SAVEPREVSSP指令前后的变化。执⾏的操作为将前⾯设置的‘new restore token’压⼊previous shadow stack中，并将标志位置0。然后将SSP指针加1。

⾄此，就完成了shadow stack切换的整个过程。

0x02