upd

1 files changed, 31 insertions, 5 deletions

diff --git a/chap/chap2.tex b/chap/chap2.tex
index d2bcecf..df129b4 100644
--- a/chap/chap2.tex
+++ b/chap/chap2.tex
@@ -99,13 +99,39 @@ Spectre 型攻击利用处理器对控制流或数据流的预测，并进行推
 Spectre-PHT 利用分支预测器，攻击者可以训练转移预测器，使得转移预测器执
 行一个分支，该分支的指令序列可以泄露受害者地址空间或寄存器的信息。
 
-Spectre v1 是 Spectre-PHT 类型的 Spectre 攻击。
+Spectre v1 是最早提出的 Spectre 攻击，属于 Spectre-PHT 类型。它利用受
+害者程序中的分支，一个例子如下：
+
+\begin{minted}{C}
+if (x < array1_size)
+    y = array2[array1[x] * 4096];
+\end{minted}
+
+这段程序的 if 条件语句用于判断用户给定的下标 \verb|x| 是否在 array1 界
+内，如果在界外，则无法读取 \verb|array1[x]|. 但是在推测式执行中，瞬时
+指令可以执行读取 \verb|array1[x]| 的操作，并且继续利用读取的值用于访问
+\verb|array2|，导致一个依赖于 \verb|array1[x]| 的地址出现在缓存中。
 
 推测式缓冲区溢出（Speculative Buffer Overflow）
-\supercite{spec-buffer-overflow} 是 Spectre-PHT 的另一种形式。它可以在
-瞬时执行指令流中绕过边界检查，造成缓冲区溢出，从而攻击者可以用类似于缓
-冲区溢出的方式，使程序在推测式执行的过程中，执行攻击者指定的指令流，泄
-露秘密数据。
+\supercite{spec-buffer-overflow} 是 Spectre-PHT 的另一种形式。处理器存
+在一个存储缓冲区（store buffer），往存储系统写入的数据在指令提交前将写
+入数据的地址和值存放在这个缓冲区中，后续的指令要使用这个地址的值时，可
+以将缓冲区中的数据转发给需要的指令。推测式缓冲区溢出利用了这个特性，例
+如以下程序：
+
+\begin{minted}{C}
+if (x < len)
+    a[x] = z;
+\end{minted}
+
+攻击者给出一个超过数组 \verb|a| 大小的 \verb|x| 时，在推测式执行时，会
+将 \verb|a[x]| 的地址和攻击者输入的值 \verb|z| 写入至存储缓冲区。如果
+\verb|a[x]| 的地址是一个函数在栈中存放的返回地址，这段程序之后有返回指
+令，返回指令就会从存储缓冲区读取这个函数的返回地址，并从这个地址开始执
+行指令，从而攻击者可以使程序在推测式执行时执行以 \verb|z| 为地址开始的
+指令流。通过构造输入 \verb|x| 和 \verb|z|，攻击者可以使处理器在推测式
+执行中执行攻击者指定的代码，这些代码可能会将程序中的秘密数据泄露在微架
+构状态中。
 
 \subsubsection{Spectre-BTB}