控制流限制

正交防線是調節(jié)操作系統(tǒng)的控制流。通過確保攻擊者無法將控制權轉移到他們選擇的代碼上，即使我們不刪除內存錯誤，我們也使利用內存錯誤變得更加困難。最好的例子被稱為控制流完整性（CFI），現(xiàn)在許多編譯器工具鏈（如LLVM和微軟的VisualStudio），并于2017年以ControlFlowGuard的名義并入Windows內核-另見軟件安全CyBOK知識領域。

從概念上講，CFI非常簡單：我們確保代碼中的控制流始終遵循靜態(tài)控制流圖。例如，一個函數(shù)的返回指令應該只允許返回到它的調用站點，而使用C中的函數(shù)指針或C++中的虛函數(shù)的間接調用應該只能夠定位它應該能夠調用的合法函數(shù)的入口點。為了實現(xiàn)這種保護，我們可以標記間接控制轉移指令的所有合法目標（返回、間接調用和間接跳轉），并將這些標簽添加到特定于此指令的集合。在運行時，我們檢查指令即將進行的控制轉移是否是到集合中的目標。否則，CFI會發(fā)出警報和/或使程序崩潰。

與ASLR一樣，CFI有多種口味，從粗粒度到細粒度，從上下文敏感到上下文不敏感。就像在ASLR中一樣，今天的大多數(shù)實現(xiàn)只采用最簡單，最粗粒度的保護。粗粒度CFI意味著為了性能而稍微放寬規(guī)則。例如，它不是將函數(shù)的返回指令限制為可能調用此函數(shù)的僅目標合法調用站點，而是可以針對任何調用站點。雖然不如細粒度CFI安全，但它仍然極大地限制了攻擊者的回旋余地，并且具有更快的運行時檢查。

在現(xiàn)代機器上，某些形式的CFI甚至（或將要）得到硬件的支持。例如，英特爾控制流強制技術（CET）支持影子堆棧和間接分支跟蹤，以幫助分別強制實施退貨和前向控制傳輸?shù)耐暾裕ㄒ苑浅４至６鹊姆绞剑RM也不甘示弱，它提供了指針身份驗證，以防止對指針值進行非法修改—主要是通過使用指針的上位來存儲指針身份驗證代碼（PAC），其功能類似于加密指針值上的簽名（除非您獲得正確的PAC，否則您的指針無效）。

遺憾的是，CFI只能通過破壞返回地址、函數(shù)指針和跳轉目標等控制數(shù)據(jù)來幫助抵御改變控制流的攻擊，但對非控制數(shù)據(jù)攻擊卻無能為力。例如，它無法阻止覆蓋當前進程的權限級別并將其設置為“root”的內存損壞（例如，通過將有效用戶ID設置為root用戶的ID）。但是，如果對控制流的限制在實踐中如此成功，您可能想知道數(shù)據(jù)流是否也可以進行類似的限制。事實上，它們確實如此，這被稱為數(shù)據(jù)流完整性（DFI）。在DFI中，我們靜態(tài)地確定每個加載指令（即從內存中讀取的指令）存儲指令可能合法地產生了數(shù)據(jù)，并且我們標記這些指令并將這些標簽保存在一組中。在運行時，對于內存中的每個字節(jié)，我們記住該位置的最后一個存儲的標簽。當我們遇到加載指令時，我們會檢查該地址的最后一個存儲是否在合法存儲集中，如果不是，我們會發(fā)出警報。與CFI不同，DFI在實踐中并未被廣泛采用，可能是因為其顯著的性能開銷。