中国企业的历史性突破 360 自主安全研究成果被纳入USENIX Security

漏洞挖掘是安全研究人员津津乐道的任务。

从开始渗透网站到发现漏洞再提交给厂商，整个过程会消耗白帽子大量的时间和精力，甚至可能要连续几天坐在电脑前连夜反复测试。

尤其是Windows系统的漏洞挖掘，由于微软不提供源代码，需要手动挖掘进行逆向分析。

另外，微软的代码非常庞大，手动挖掘极其费时费力。

那么，如何才能快速、大量地发现系统漏洞呢？在8月16日至18日举行的USENIX安全大会上，冰仁实验室将分享《Digtool：A Virtualization-Based Framework for Detecting Kernel Vulnerabilities》话题，介绍四类Windows漏洞自动挖掘技术。

运行游戏后，发现了十多个漏洞。

Digtool是Ice Blade Labs自主研发的自动化Windows漏洞挖掘系统。

它主要采用“基于硬件的路径检测方法和基于硬件虚拟化的错误检测机制”进行检测。

，捕获程序执行过程中触发的漏洞。

“Digtool自动化采矿系统取得了显着的成果，具有学术和工业价值。

”冰刃实验室的掌门人潘剑锋说道。

Digtool是第一个实用的利用硬件虚拟化技术的自动漏洞挖掘系统。

它也是一个“黑匣子”漏洞挖掘系统，无需源代码即可完成漏洞挖掘。

更神奇的是，Digtool可以实现自动化，对于批量工作，“你可能只需要运行一款游戏就能挖出十几个漏洞”。

Digtool的工作流程就像挖金子：首先，Digtool可以记录内存访问日志，这就实现了挖矿的第一步。

然后，Digtool的分析模块将对其进行分析。

一旦满足六大主要漏洞行为特征规则，就会实现“淘金热”，即发现漏洞。

IceBlade Labs利用Digtool，在短期初步功能验证实验中发现了20个微软内核漏洞和41个来自反病毒厂商的驱动程序漏洞。

Digtool为Windows漏洞挖掘带来了新方向。

潘剑锋构建了Digtool系统的虚拟化挖矿框架。

这也是Digtool技术含量最高的部分，相当于整个系统的基石。

其虚拟机监控器的原理与目前主流的云服务基础虚拟化框架（如XEN/Hyper-v等）类似，但它并不依赖它们，而是一个含金量极高的新型虚拟化基础框架内容。

在最近的 Blackhat 演讲中，Google 零号项目成员 j00ru 引用了 Ice Blade Labs 的 Digtool 自动化发现 Windows 内核信息泄露漏洞的方法。

《Windows Internals》的作者之一Alex Ionescu也称赞这是一个“伟大的项目”。

IceBlade Labs和j00ru使用不同的技术发现了大量的Windows内核信息泄露漏洞，但IceBlade Labs的Digtool速度更快，对系统性能的损失更小，并且检测到的漏洞类型更全面。

可以说，Digtool的出现，让Windows内核漏洞挖掘有了质的飞跃。

过去，手动挖掘耗时耗力，安全研究人员需要逐行分析代码。

Digtool系统极大地提高了漏洞挖掘的自动化程度，改变了漏洞挖掘的操作模式，同时也提高了速度和准确性，使其能够在第一站使用。

发现漏洞。

全球顶级安全会议首次迎来中国企业自主研究成果的展示。

USENIX Security是信息安全领域“四大”顶级学术会议（还包括S&P、CCS、NDSS）之一。

它始于 20 世纪 90 年代初；同时，USENIX Security被中国计算机学会（CCF）列为“网络与信息安全”A类会议（分为ABC三类，A类最好）；被清华大学计算机科学与技术系班会列为重要国际学术会议A类。

截至目前，仅有少数来自中国大陆的论文被录用，且均为科研机构联合研究成果，尚未发表中国企业的独立研究成果。

今年，冰仁实验室向USENIX Security提交的论文成功收录，这意味着其成为首家进行独立研究并以第一作者身份发表研究成果的中国公司。

今年USENIX Security共收到投稿，最终收录85篇，录用率不足16.3%。

已有24年历史的顶级安全会议首次迎来中国企业自主研究成果展示，这也标志着其在学术安全研究领域达到了世界一流水平。

作为系统内核安全研究的顶尖团队，仅2020年2月至7月，冰仁实验室就首次获得了谷歌和微软两大操作系统厂商的感谢。

其中，谷歌Android内核漏洞确认数量位居全球第一。

此外，还获得华为的感谢19次，苹果的感谢2次。

它还向高通报告了 42 个漏洞并得到了确认。

IceSword Lab是PC和移动内核的研发实验室。

研究方向为PC及移动操作系统内核、安全技术、虚拟化技术。

实验室的许多研发成果已成为安全产品线中的重要产品，应用于多个部门的核心产品，如客户端沙箱；芯晶嵌套式硬件虚拟化防护产品； Security Guard HIPS 的 FD/RD/ND/AD 保护驱动程序；国内、国际、企业防病毒产品的监控和防御驱动； WiFi硬件产品的PC驱动程序；以及一些Android系统产品等。

这些成果正在为数亿个人用户和数百万企业用户提供安全保障。