北京时间8月17日,第26届国际信息安全顶级会议USENIX Security在加拿大温哥华举行。
冰人实验室高级研究员范晓草在会上做了题为“《Digtool:A Virtualization-Based Framework for Detecting Kernel Vulnerabilities》”的演讲,介绍了冰人实验室自主研发的Windows漏洞自动挖掘系统以及四种Windows漏洞自动挖掘方法。
这意味着成为第一家作为第一作者单位独立开展研究并在USENIX Security上发表研究成果的中国公司。
(冰仁实验室研究员在第26届USENIX Security上演讲)USENIX Security是信息安全领域“四大”顶级学术会议之一(还包括S&P、CCS、NDSS)。
它始于 20 世纪 90 年代初。
。
截至今年,中国大陆地区被接收的论文仅有寥寥几篇,且全部都是科研机构联合研究的成果。
目前尚未有中国企业的独立研究成果发表。
有着20多年历史的顶级安全会议首次迎来中国企业的自主研究成果,这也标志着其在学术安全研究领域达到了世界一流水平。
(信息安全领域“四大”顶级学术会议之一USENIX Security)在安全领域,发现操作系统(OS)内核中的漏洞并进行修补是操作系统安全的关键,也是许多安全研究人员的最爱。
漏洞挖掘的重要原因。
然而,目前在漏洞挖掘领域,还没有有效的Windows内核漏洞检测工具。
对于微软Windows等闭源代码操作系统,通常采用逆向分析或暴力Fuzz的方式进行手动挖掘,耗时耗力。
文章作者之一严光禄博士介绍,Digtool是冰仁实验室自主研发的自动化Windows漏洞挖掘系统。
它主要采用“基于硬件的路径检测方法和基于硬件虚拟化的错误检测机制”来检测和捕获程序执行情况。
过程中触发的漏洞。
与基于软件的方法相比,该方法不需要修改目标程序,效率更高。
谈到Digtool的特点,范晓草表示,它是第一个实用的利用硬件虚拟化技术的自动漏洞挖掘系统;也是一个“黑匣子”漏洞挖掘系统,不需要源代码即可完成漏洞挖掘;同时,Digtool可以实现自动化和批量工作。
Digtool系统的虚拟化挖矿框架是Digtool技术含量最高的部分,相当于整个系统的基石。
通过虚拟化挖掘框架,Digtool能够成功捕获内核执行的各种动态行为,例如内核对象分配、内核内存访问、线程调度和函数调用。
然后通过分析框架进行分析,符合设定的行为特征的就认为是漏洞。
需要指出的是,Digtool系统自动挖掘的漏洞中,不同漏洞类型的检测误报率不同。
有的需要人工干预才能确认,有的只要上报就是漏洞。
“Digtool自动化采矿系统取得了显着的成果,具有学术和工业价值。
”秉仁实验室负责人潘剑锋说。
IceBlade Labs利用Digtool,在短期初步功能验证实验中发现了20个微软内核漏洞和41个来自反病毒厂商的驱动程序漏洞。
作为系统内核安全研究的顶尖团队,冰仁实验室仅在2020年2月至7月就多次收到来自谷歌和微软两大操作系统厂商的感谢。
其中,谷歌Android内核漏洞确认数量位居全球第一。
此外,还获得华为的感谢19次,苹果的感谢2次。
它还向高通报告了 42 个漏洞并得到了确认。
IceSword Lab是PC和移动内核的研发实验室。
研究方向为PC及移动操作系统内核、安全技术、虚拟化技术。
实验室的许多研发成果已成为安全产品线中的重要产品,应用于多个部门的核心产品,如客户端沙箱;芯晶嵌套式硬件虚拟化防护产品; Security Guard HIPS 的 FD/RD/ND/AD 保护驱动程序;国内、国际、企业防病毒产品的监控和防御驱动; WiFi硬件产品的PC驱动程序;以及一些Android系统产品等。
这些成果正在为数亿个人用户和数百万企业用户提供安全保障。