segfault期间是否访问了物理内存的其他部分?

在这个例子中,很容易理解,但实际上他们怎么知道attacked\u address是什么样子的呢?

你说得对,幽灵和熔毁只是可能,不是现成的攻击。如果您知道来自其他来源的攻击地址,即使使用浏览器,幽灵和熔毁也是获取数据的方法。

它是一个带有偏移量的虚拟地址,还是一个物理地址,它们如何首先找到“重要内存”所在的位置?

当然,它是一个虚拟地址,因为它都发生在用户空间程序中。但在最近的内核补丁之前,我们将完整的内核空间映射到每个用户空间进程中。这样做是为了加速系统调用,即只对每个系统调用执行权限上下文切换,而不是进程上下文切换。

因此,由于这种设计和崩溃,可以从未修补内核上的非特权用户空间应用程序(例如浏览器)读取内核空间。

通常,最简单的攻击场景是针对具有旧内核的机器,而旧内核不使用地址随机化,即内核符号位于运行特定内核版本的任何机器上的相同位置。基本上,我们在测试机器上运行特定的内核,写下“重要内存地址”,然后使用这些地址在受害者机器上运行攻击。

看看我的基于Specter的熔毁PoC(即2合1): https://github.com/berestovskyy/spectre-meltdown

它比Specre论文中的原始代码更简单、更容易理解。它只有99行C语言(包括注释)。

它使用上述技术,即对于Linux 3.13,它只是尝试读取预定义的地址 0xffffffff81800040 这是 linux_proc_banner 位于内核空间的符号。它在内核为3.13的不同机器上无任何权限运行,并成功读取每台机器上的内核空间。

它是无害的,但只是一个很小的工作PoC。