1、给我1K内存VS难以打破的安全系统宫华宫华36W白帽大佬，斗象科技高级安全分析师我们所说的难以打破的安全系统启用磁盘加密的手机不开源的硬件系统其它商业软件与封闭系统受保护的计算机系统难难以以打打破破的的安安全全系系统统内存攻击法（传统）栈溢出 堆溢出 整数溢出 格式化字符串 双重释放 释放重引用 数组访问越界 内核相关 类型混淆 沙盒逃逸 等二进制漏洞！思考如果我们能够获得目标系统的1K内存，我们可以做什么？获取系统root权限！获取敏感数据！进行病毒样本分析！内存取证分析！修改磁盘内存映射文件！内存操作的危害 Do everything you want!获取内存数据的方法 二进制漏洞（版本

2、不通用）CPU硬件漏洞TotalMeltdown（难得一见）操作系统后门（略）冷启动攻击（操作难道较大）虚拟化（通用）操作系统/进程转储文件（常见）DMA（较通用）JTAG（较通用）冷启动攻击 攻击者有物理访问 冷启动攻击是一种新型的旁路攻击(sidechanelatack)。利用冷启动攻击，攻击者可以对其进行物理访问的正在运行的 计算机执行冷启动操作以绕过其软硬件防护机制，获取正在运 行的计算机的内存快照，并进一步从快照中提取出密钥等敏感 信息。冷启动攻击Cold-Boot Attack 内存条上的数据信息，断电之后仍然存在 数分钟数小时低温 Lest We Remember:Cold Bo

3、ot Attacks on Encryption Keys USENIX Security 2008 攻击者直接取下内存条，读取数据 在手机上，攻击同样存在 FROST:Forensic Recovery of Scrambled Telephones,ACNS 2013冷启动攻击冷启动攻击虚拟化攻击虚拟化内存获取与修改 环境 Windows 7 x64 Vmware Fusion（专业版 11.5.0(14634996)010Editor(v9.0.2)同样方法适用于其它常见虚拟化平台虚拟化内存获取与修改虚拟机挂起内存查看内存修改虚拟机恢复运行重新打开磁盘文件虚拟化内存获取与修改重启后失效磁

4、盘文件不变虚拟化内存获取与修改Java程序敏感数据泄漏虚拟化内存获取与修改VeraCrypt分析：没有明文ascii密码虚拟化内存获取与修改VeraCrypt分析：没有明文ascii密码，最近访问泄漏文件名，内存取证价值虚拟化内存获取与修改test:x:1000:1000:/home/test:/bin/bashtest:x:0:0:/home/testaaaaaa:/bin/bashLinux 提权获取root权限shell虚拟化内存获取与修改Linux 提权获取root权限shell总线攻击（DMA）DMA总线攻击 DMA 是所有现代电脑的重要特色，他允许不同速度的硬件装置来沟通，而不需要

5、依于 CPU 的大量 中断 负载 DMA总线允许直接dump内存中的数据而不需要经过操作系统和CPU的特别许可 tag攻击DMA总线攻击DMA总线攻击DMA Attack https:/ memory accessPCIe TLP accessAC701/FT601FPGAUSB3150MB/sYesYesPCIeScreamerFPGAUSB3100MB/sYesYesSP605/FT601FPGAUSB375MB/sYesYesSP605/TCPFPGATCP/IP100kB/sYesYesNeTV2/UDPFPGAUDP/IP7MB/sYesYesUSB3380-EVBUSB3380US

6、B3150MB/sNoNoPP3380USB3380USB3150MB/sNoNoDMA patched HP iLOBMCTCP/IP1MB/sYesNoDMA总线攻击攻击常用硬件fpga总线攻击（JTAG）JTAG攻击 Jtag 固件dump 对内存进行读取和写入 暂停固件执行(设置断点和观察点)将指令或数据添加到内存中 将指令直接注入目标芯片的管道(无需修改内存)提取固件(用于逆向工程/漏洞研究)绕过保护机制(加密检查，密码检查等)找到隐藏的JTAG功能，可能比我们想象的要多得多攻击场景 宿主机入侵虚拟机 自我保护系统的破解 Iot固件提取 系统提权 加密密钥获取 内存取证分析 病毒样本

7、分析 设备Debug 其它攻击场景总结攻击防御攻击防御 1.CPU TSX 2.事务内存 3.变量使用后释放 4.专用计算芯片 5.专用算法（Copker）1 Breuk,Rory,and Albert Spruyt.Integrating DMA attacks in Metasploit.Sebug:http:/ D.Vol.2.2012.2 Carrier,Brian D.,and Joe Grand.A hardware-based memory acquisition procedure for digital investigations.Digital Investigation

8、1.1(2004):50-60.3 Gtzfried,Johannes,and Tilo Mller.Analysing Androids Full Disk Encryption Feature.JoWUA5.1(2014):84-100.C2007(2007):1-18.4 Guan,Le,et al.Protecting private keys against memory disclosure attacks using hardware transactional memory.2015 IEEE Symposium on Security and Privacy.IEEE,201

9、5.5 Halderman,J.Alex,et al.Lest we remember:cold-boot attacks on encryption keys.Communications of the ACM52.5(2009):91-98.6 Rolles,Rolf.Unpacking virtualization obfuscators.3rd USENIX Workshop on Offensive Technologies.(WOOT).2009.7 Walters,Aaron,and Nick L.Petroni.Volatools:Integrating volatile memory into the digital investigation process.Black Hat DBibliography姓名 公司 联系方式