黑客的历史在很大程度上是一个来回的游戏，攻击者设计一种技术来攻破系统，防御者设计一种对策来阻止这种技术，而黑客则设计一种绕过系统安全的新方法。周一，英特尔宣布计划在其cpu中直接植入一种新的防攻击程序，以阻止在易受攻击的计算机上执行恶意代码的软件攻击。

 

控制流强制技术(CET)代表了处理器执行来自Web浏览器、电子邮件客户端或PDF阅读器等应用程序指令的方式的根本改变。由英特尔(Intel)和微软(Microsoft)联合开发的CET，旨在阻止一种名为“面向回报编程”(return-oriented programming)的技术。黑客利用这种技术绕过软件开发商大约10年前引入的反攻击措施。虽然英特尔在2016年首次发布了CET的实现，沐鸣开户测速但该公司周一表示，其老虎湖CPU微架构将是第一个包含该实现的。

 

ROP通常被称为面向返回的编程，它是软件开发者对可执行空间保护和地址空间布局随机化等保护措施的响应，这些措施在不到20年前进入了Windows、macOS和Linux。这些防御被设计用来显著地减少软件利用可能造成的破坏，通过引入系统内存的变化来防止恶意代码的执行。即使成功地锁定了缓冲区溢出或其他漏洞，该漏洞也只会导致系统或应用程序崩溃，而不会造成致命的系统危害。

 

ROP让攻击者重新夺回了高地。与使用攻击者编写的恶意代码不同，ROP攻击将良性应用程序或操作系统例程已经放置到称为堆栈的内存区域的功能重新定位。ROP中的“返回”指的是使用RET指令，沐鸣开户测速这是重新排序代码流的核心。

 

非常有效的

 

Alex Ionescu是一位经验丰富的Windows安全专家，也是安全公司CrowdStrike的工程副总裁，他喜欢说，如果一个良好的程序就像一个用乐高积木按特定顺序搭建的建筑，那么ROP就会使用相同的乐高积木，但顺序不同。这样，ROP就把大楼变成了一艘宇宙飞船。这种技术能够绕过反恶意软件防御，因为它使用了已经被允许执行的内存驻留代码。

 

CET在CPU中引入了一些变化，这些变化会创建一个称为控制堆栈的新堆栈。这个堆栈不能被攻击者修改，也不存储任何数据。它存储堆栈中已经存在的乐高积木的返回地址。因此，即使攻击者破坏了数据栈中的返回地址，控制栈也会保留正确的返回地址。处理器可以检测并停止执行。

 

Ionescu告诉我:“由于没有有效的软件缓解ROP, CET将非常有效地检测和阻止这类漏洞。”在此之前，操作系统和安全解决方案必须猜测或推断ROP已经发生，或执行法医分析，或检测第二阶段的有效负载/漏洞的影响。

 

并不是说CET仅限于对ROP的防御。CET提供了许多额外的保护，其中一些可以阻止被称为面向跳转编程和面向调用编程的开发技术，沐鸣开户测速仅举两例。然而，ROP是CET考试中最有趣的一个方面。

 

那些不记得过去的人

 

英特尔在其cpu中内置了其他安全功能，但效果不佳。其中之一是英特尔的SGX，它是Software Guard eXtension的缩写，旨在为安全敏感的功能(如创建加密密钥)分割出难以穿透的受保护内存块。来自Intel的另一个安全附加组件称为聚合安全和管理引擎，或简称为管理引擎。它是Intel cpu和芯组内部的一个子系统，实现了很多敏感功能，其中包括基于固件的可信平台模块，用于进行基于硅的加密，UEFI BIOS固件的认证，以及Microsoft System Guard和BitLocker。