《電子技術應用》
您所在的位置:首頁 > 可編程邏輯 > 業界動態 > 編譯器后門與防御

編譯器后門與防御

2015-09-18
關鍵詞: 編譯器

  Shawn the R0ck 寫道 "PoC||GTFO是最近幾年深受0ld sch00l黑客喜愛的電子雜志,最近的一期(第8期)里有一篇名為Deniable Backdoors Using Compiler Bugs(利用編譯器Bug的可抵賴后門)的文章,作者向我們展示了一種可能的威脅,這個威脅模型是需要兩個條件:1)一個可利用的編譯器miscompilation bug; 2) 向目標的開源社區提交看起來不怎么像后門的patch。作者修改了Sudo 1.8.13的少量代碼去利用Clang/LLVM 3.3的一個bug,最終導致提權。相比傳統的編譯器后門和傳統軟件后門(比如疑似NSA對Linux內核代碼的植入),這種方式更加的隱蔽,因為它是針對特定版本的編譯器下手。
  作者也對自由軟件社區的不同角色給出了對于這種后門植入的防御性建議:
  編譯器開發者
  * 優先修復miscompilation bugs
  * 考慮miscompilation bug針對維護版本的backport修復
  * 使用fuzz工具(文章中提到了Csmith和afl)
  開源包的維護人員
  * 謹慎的接收代碼提交
  * 考慮重新實現一些patch
  GNU/Linux發行版打包人員
  * 評估編譯器的可靠性
  * 在所有的平臺上測試編譯的程序后再進行部署
  * 對系統編譯器進行"trusting trust"測試
  終端用戶
  * 使用不同的編譯器或者編譯器版本對源代碼進行重新編譯
  * 對預編譯的程序進行你自己定制的測試(比如針對某些程序功能的回歸測試)
  研究人員
  * 開發可被證明對這種利用方式免疫的編譯器
  * 開發可檢測miscompilation的驗證模式
  * 開發可檢測后門執行的多版本編程系統"

本站內容除特別聲明的原創文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306118;郵箱:aet@chinaaet.com。
主站蜘蛛池模板: 男人女人做性全程视视频 | 亚洲第一成人天堂第一 | 中文字幕欧美日韩一 | 欧美精品久久久久久久影视 | 国产欧美日本 | 成人国产精品999视频 | 一区二区三区日韩精品 | 美女黄频免费观看 | 日日摸天天摸狠狠摸视频 | 国产图片亚洲精品一区 | 又黄又www | 美女被拍拍拍拍拍拍拍拍 | 91精品国产福利尤物免费 | 老司机免费福利午夜入口ae58 | 亚洲欧美成人网 | 日b毛片| 久草在现视频 | 成年人网站在线 | 欧美一区二区三区在线播放 | 中文字幕亚洲天堂 | 欧美日韩一区二区三区视频在线观看 | 一级做a爰片性色毛片视频图片 | 九九干| 国产啪在线 | 国产精品2020观看久久 | 中国一级特黄剌激爽毛片 | 欧美精品v日韩精品v国产精品 | 99久久免费精品国产免费高清 | 成人国产综合 | 国产精品国产三级国产专 | 久色福利 | 仑乱高清在线一级播放 | 成年男女免费视频网站播放 | 97超级碰碰碰免费公开在线观看 | 91精品国产91久久 | 91精品欧美一区二区三区 | 国产成人a大片大片在线播放 | 欧美精品束缚一区二区三区 | 欧美日韩99 | 无套内谢孕妇毛片免费看 | 乱淫网站 |