BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

360公布基于硬件虚拟化的Windows自动漏洞挖掘系统

| 作者 林日华 关注 1 他的粉丝 发布于 2017年8月21日. 估计阅读时间: 3 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

8月17日下午,360召开媒体沟通会,分享了其冰刃实验室在Windows漏洞自动化挖掘的研究成果,以及相关论文被USENIX Security会议收录的一些细节。

会议上,作为360冰刃实验室负责人的潘剑锋为大家介绍了相关信息。

360冰刃实验室自主研发的Windows漏洞自动化挖掘系统Digtool,主要利用“基于硬件的路径探测方法和基于硬件虚拟化的错误检测机制”对软件进行监控检测,捕获程序执行过程中触发的漏洞。它是一款利用硬件虚拟化技术的实用化自动漏洞挖掘系统;也是一个“黑盒”系统,不需要基于源码分析;而它的自动化则表现在,它可以借助极少的人工,批量地完成漏洞挖掘工作。

整个Digtool系统其实是一个虚拟机框架,在对漏洞进行挖掘时,将被检测软件(如Windows操作系统)放入其中作为客户系统,让其监控模块进行跟踪。该框架是基于硬件虚拟化扩展来实现的,这是该项目中最具技术含量的部分,它使漏洞挖掘时对系统性能的损失更小,这也是它相比同类型工具如Google Project Zero的Bochspwn能够具有某些优势的关键之一。

简单总结起来,该工具的工作原理主要包含两大模块,一个是尽可能多地探测程序执行的路径,同时对路径进行判断,如果分析探测出来的路径之后,发现它是个非正常的路径,那么就将其捕获。这两者相结合,才实现了Digtool的核心功能。

此次该研究成果被USENIX Security会议收录,是一次重大突破。USENIX Security是信息安全领域四大顶级学术会议之一,另外三个是S&P、CCS与NDSS,该会议始于上世纪90年代初,迄今有二十多届。中国参与比较少,到目前为止,中国大陆只有不到十篇论文入选,并且之前都是包含科研机构的联合研究成果。此次360公司的冰刃实验室独立完成研究并以第一作者身份发表研究成果,这也是中国商业公司首次独立完成相关研究并进入顶级学术会议。

这样的研究成果,对于白帽黑客来说无疑是既激动又无奈的。一方面,借助这样的技术与工具,可能以后他们的工作量就会大大减小;另一方面,这也就意味着,可能他们这种传统的以人工方式为主的漏洞挖掘方式市场将越来越小。不过,潘剑锋表示,虽然Digtool已经展现了它十分强劲的能力,但目前该项目还处于初期阶段,还有几个方面需要去完善、发展。

关于冰刃实验室

PC与移动内核研发实验室,研究方向是PC与移动操作系统内核、安全技术以及虚拟化技术。实验室的诸多研发成果成为安全产品线上的重要产品,并应用于多个部门的核心产品中,比如客户端沙箱、核晶嵌套硬件虚拟化防护产品、安全卫士HIPS的FD/RD/ND/AD防护驱动、国内与国际企业版杀毒产品的监控防御驱动、360WiFi硬件产品的PC端驱动,以及部分Android系统产品等。


感谢徐川对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT