NX-bit

玻尔百科

核心要点

NX-bit 是一种硬件特性，它允许操作系统将特定的内存页面标记为不可执行。
该特性由处理器的内存管理单元 (MMU) 强制执行，通过在尝试从数据区域执行代码时触发页错误，来阻止代码注入攻击。
它是关键的“写异或执行”(W^X) 安全策略的基础，该策略规定一个内存页面可以被写入或执行，但绝不能同时具备这两种属性。
除了防止攻击，NX-bit 还通过一个受控的权限变更过程，使得即时 (JIT) 编译器等高级软件能够安全运行。
这种保护是分层的，它与处理器特权级别和分层分页机制相结合，提供弹性的深度防御。

引言

存储程序概念是 von Neumann 架构的基石，它通过将代码和数据存储在同一内存中，赋予了计算机惊人的灵活性。然而，这种优雅的设计也带来了一种危险的模糊性：如果指令和数据本质上都只是一串比特序列，那么如何阻止恶意行为者欺骗处理器将数据当作代码来执行？这个漏洞为一类毁灭性的安全威胁——代码注入攻击——打开了大门，这个问题已经困扰了计算领域数十年。解决方案并非某个复杂的软件，而是一种简单而强大的硬件机制：非执行位（No-eXecute bit），简称 NX-bit。

本文深入探讨了 NX-bit 作为现代处理器中一种基本安全原语的关键作用。我们将探究这个页表条目中的单个比特位如何在代码和数据之间划出一条不可逾越的界线，充当防止恶意执行的硬件守护者。在接下来的章节中，您将学习到这种防御机制背后的核心概念及其广泛影响。“原理与机制”一节将揭示 NX-bit 如何与内存管理单元 (MMU) 以及“写异或执行”(W^X) 等操作系统策略协同工作，以保护程序的地址空间。随后的“应用与跨学科联系”一节将阐述其深远影响，从其作为抵御恶意软件的数字免疫系统的角色，到其作为构建高性能 JIT 编译器和安全虚拟化环境（这些技术驱动着当今的数字世界）的必备工具。

原理与机制

在我们探索计算机内部工作原理的旅程中，我们常常会遇到一些概念，它们的设计简洁而优美，其影响却深远无比。非执行 (No-eXecute) 位，或称 NX-bit，就是这样一个概念。它不仅仅是一项技术特性，更是硬件对一个深植于现代计算核心的哲学问题的回答：如果代码和数据都只是存储在同一内存中的一串串 0 和 1，机器如何区分彼此？它如何知道应该遵循食谱中的指令，而不是把食谱本身当成食材来使用？

存储程序概念的困境：代码即数据

如今几乎所有计算机的构建都基于一项革命性的思想，即存储程序概念，有时也称为 von Neumann 架构。它规定机器的指令（其代码）应与其操作的数据存储在同一内存中。这是一次巨大的飞跃，带来了令人难以置信的灵活性；计算机可以从内存中加载不同的程序，瞬间从计算器变身为文字处理器。

但这种代码与数据的优雅统一也造成了一种微妙而危险的模糊性。如果一个程序存在缺陷——一个攻击者可以利用的漏洞——就可能欺骗计算机将恶意数据当作合法代码来处理。想象一下，一个攻击者通过将一份恶意的食谱写在一袋面粉上，从而将其偷运到你的厨房。如果你被骗去尝试从面粉袋上“读取食谱”，混乱便会随之而来。这本质上就是最常见的网络攻击形式之一：代码注入攻击。攻击者将恶意指令注入到一个数据区域——比如用户输入缓冲区、栈或堆——然后欺骗程序跳转到该内存位置并执行它。几十年来，这一直是我们计算机系统装甲上的一个巨大缺口。

沙滩上的界线：读、写和执行权限

我们如何解决这个问题？我们不能简单地将代码和数据放入物理上分离的内存中；那会牺牲存储程序模型的灵活性。解决方案更为优雅：我们划出一条逻辑界线。我们为内存的每个区域添加标签，或者说权限。

现代处理器不仅仅将内存看作一个庞大的字节块。通过一种称为分页的机制，它们将虚拟内存分割成固定大小的块，称为页面（通常大小为 $4\,\text{KiB}$ ）。对于每一个页面，操作系统在一个名为页表条目 (PTE) 的特殊数据结构中维护一组权限。其中最基本的权限是：

读 ( $R$ )： 程序是否被允许从此页面读取数据？
写 ( $W$ )： 程序是否被允许向此页面写入数据？
执行 ( $X$ )： 程序是否被允许从此页面获取并执行指令？

这种分离是关键。从一个页面读取数据、向其写入数据以及从中执行指令的能力是三个可以独立授予或拒绝的不同权限。

硬件守护者：MMU 和 NX-bit

拥有这些权限是一回事；强制执行它们则是另一回事。这时，一个关键的硬件部件——内存管理单元 (MMU)——就登场了。MMU 就像一个站在 CPU 核心和内存系统之间的警惕守卫。CPU 每一次想要访问内存，都必须经过 MMU。而且重要的是，CPU 对于不同操作的意图是不同的。

当 CPU 需要读取或写入一个变量时，它执行的是数据访问。当它需要获取下一条指令时，它执行的是指令提取。MMU 知道这两者的区别。

对于数据读取，MMU 检查该页面的读权限位（ $R=1$ ）是否被设置。
对于数据写入，它检查写权限位（ $W=1$ ）是否被设置。
对于指令提取，它检查执行权限位（ $X=1$ ）是否被设置。

NX-bit 正是这种执行权限的硬件实现。当 PTE 中的 NX-bit 被设置时，意味着 $X=0$ ，该页面就被指定为非执行 (No-eXecute)。

让我们回到攻击者的场景。他们已经成功地将恶意代码注入到程序栈上的一个数据缓冲区中。这个页面具有 $R=1$ 和 $W=1$ 的权限，因为程序需要读写栈数据。但是，具有安全意识的操作系统同时也设置了 NX-bit，意味着 $X=0$ 。

注入： 攻击者的漏洞利用程序导致恶意字节被写入栈中。这是一次数据写入。MMU 检查权限，看到 $W=1$ ，并允许该操作。陷阱设置好了。
尝试执行： 随后，该漏洞利用程序改变了程序的执行流程，使其试图从栈缓冲区中提取下一条指令。这是一次指令提取。MMU 立即行动，检查该页面的权限，发现 NX-bit 已被设置（ $X=0$ ）。访问当场被拒绝。

有些处理器甚至为地址转换配备了独立的硬件缓存：用于数据访问的数据转换后备缓冲区 (DTLB) 和用于指令提取的指令转换后备缓冲区 (ITLB)。这在硬件层面进一步强化了这种区分，确保一次成功的数据写入（它会在 DTLB 中缓存一个转换条目）不能被滥用于允许指令提取，因为指令提取是由 ITLB 独立检查的。

拉响警报：页错误

MMU “拒绝”一次访问意味着什么？它不会只是默默地失败。它会触发一个名为页错误的硬件异常。这会立即停止程序的执行，并将控制权转移给操作系统的页错误处理程序。

当然，页错误可能因多种原因发生。一个常见的原因是页面根本不在物理内存中；它被临时移到了硬盘上（被换出）。在这种情况下，操作系统处理程序的任务就是从磁盘加载页面并恢复程序。

但由 NX 违规触发的错误是不同的。硬件足够智能，能够告诉操作系统它出错的原因。传递给操作系统的错误码实际上是在说：“这不是一个页不存在错误。这是一个保护违规。而且它发生在指令提取期间。”

收到这条消息，操作系统就确切地知道发生了什么。这不是一次常规的内存管理事件，而是一次严重的安全违规。程序试图从一个不可执行的内存区域执行代码。操作系统的响应是迅速而公正的：它终止这个违规的进程，从而彻底挫败了攻击。

从机制到策略：W^X 原则

NX-bit 是一种硬件机制。要使其真正有效，必须用它来实现一个健全的安全策略。被最广泛采用的策略被称为写异或执行 (Write XOR Execute, W^X)。“XOR”代表“异或”，其原则简单而优美：一个内存页面可以被写入，或者可以被执行，但绝不能同时两者兼备。

操作系统在设置程序的地址空间时强制执行此策略：

代码段包含程序的指令，它们从可执行文件中加载并映射到内存中，权限为读和执行（ $R=1, W=0, X=1$ ）。值得注意的是，在大多数商用硬件（如 x86-64）上，页面不能被设置为“仅执行”；如果它可以被访问以执行，那么它也可以被访问以读取。
数据段，如栈和堆，被创建为读和写（ $R=1, W=1, X=0$ ）。NX-bit 被设置。

这个建立在 NX 机制之上的 W^X 策略，干净利落地将“食谱”与“食材”分离开来，以几乎没有性能开销的方式挫败了所有简单的代码注入攻击，因为检查是硬件地址转换过程中的一个自然环节。

适应规则：JIT 编译器与权限之舞

这种严格的分离提出了一个有趣的问题：那些需要在运行时生成代码的合法程序怎么办？最常见的例子是 Java 和 JavaScript 等平台使用的即时 (JIT) 编译器。它们将字节码动态编译为原生机器指令以获得更好的性能。这难道不需要内存既是可写的（用于写入新代码）又是可执行的（用于运行它）吗？

在严格的 W^X 策略下，答案是否定的。相反，这些程序会执行一个由操作系统协调的、精心编排的“权限之舞”：

JIT 编译器向操作系统请求一块内存，并被授予读/写权限（ $W=1, X=0$ ）。
JIT 编译器将新生成的机器代码写入这块内存。
完成后，它向操作系统发起一个特殊的系统调用（如 Linux 上的 mprotect）。这是一个请求更改内存权限的正式请求。
内核作为受信任的守门人，验证该请求。然后，它更新该内存的页表条目，将其权限更改为读/执行（ $W=0, X=1$ ）。
JIT 现在可以安全地从这块内存中执行其新代码，该内存已不再是可写的，从而维护了 W^X 原则。

这场“舞蹈”完美地诠释了协作安全模型。用户级应用程序不能自行更改权限；它必须请求处于特权监管者级别的内核来执行，而内核则强制执行全系统的安全策略。

深度防御：层层防护

NX-bit 提供的安全性并非一堵单一、脆弱的墙。它是一个分层的、深度防御策略的一部分。

首先，正如我们刚才看到的，权限受到特权级别的保护。存储 NX-bit 的页表本身是受保护的内存，只能由在监管者模式下运行的操作系统内核修改。处于用户模式的应用程序不能简单地伸手修改这些比特位，使其栈变为可执行。

其次，采用分层分页的现代 CPU 提供了另一层保护。为了转换一个虚拟地址，MMU 可能需要遍历多级页表（在 x86-64 上，可以有四级）。NX-bit 存在于每一级页表的条目中。要使一个页面可执行，从上到下的整个链条中，NX-bit 都必须被清除。如果攻击者能以某种方式（例如，通过像 Rowhammer 这样的硬件故障攻击）翻转最终页表条目中的 NX-bit，但上级页目录中的条目仍然标记为“非执行”，那么执行尝试仍然会失败。这提供了卓越的弹性。

现代前沿：推测与操作顺序

在对性能的不懈追求中，现代 CPU 会做一件了不起的事情：推测执行。它们试图猜测程序接下来会做什么，并提前执行指令。如果猜对了，就节省了时间；如果猜错了，结果就会被丢弃。

这引入了一个极其微妙的安全风险。如果 CPU 推测性地从一个它没有权限的内存位置提取指令会怎么样？即使该指令从未被正式“退役”且其结果被丢弃，但从内存中提取它的行为本身就可能在 CPU 的缓存中留下微弱的痕迹。一个老练的攻击者可以通过侧信道攻击检测这些痕迹，并推断出受保护的数据。

这意味着仅仅最终检查权限并触发错误是不够的。要真正安全，权限检查必须是进行推测性访问的先决条件。对于任何来自用户模式的内存访问，最起码的安全检查顺序是：

检查特权： 页面的 $U/S$ （用户/监管者）位是否允许来自用户模式的访问？如果不允许，则停止。不许通过。不从内存中提取。此检查可挫败 Meltdown 风格的攻击。
检查访问类型： 如果特权检查通过，现在检查针对意图操作的特定权限（读为 $R$ ，写为 $W$ ，执行为 $X$ ）。如果此检查失败，则停止。
启动访问： 只有当特权和访问类型检查都通过时，硬件才能安全地继续从内存中提取数据或指令，即使是推测性地执行。

NX-bit，曾经只是页表条目中的一个简单补充，如今已与处理器设计中最前沿的方面深度交织。它是一个优美的例子，展示了一个简单而强大的思想——代码和数据的基本分离——如何贯穿计算机系统的每一层，从芯片设计到操作系统策略，构成了我们日常所依赖的安全基石。

应用与跨学科联系

简单的规则能够催生复杂有序的系统，这其中蕴含着深刻的美感。在物理学中，引力和电学的平方反比定律塑造了宇宙。在计算领域，我们在一个信息比特位中也发现了类似的优雅：非执行位（No-Execute），即 NX-bit。我们已经了解了此比特位的工作原理——一个简单的硬件标志，允许操作系统告诉处理器：“你可以在这里读写数据，但在任何情况下，都不得将其解释为指令。”这个看似微不足道的禁令，一个简单的“不”字，其影响却波及整个数字世界，既充当了盾牌，也充当了凿子。它是数字免疫系统的基石，同时也是构建现代软件奇迹的基础工具。让我们一同探索这段旅程，从抵御数字瘟疫到实现定义当今计算的动态特性。

数字免疫系统：抵御恶意软件

想象一下你的电脑是一个无菌实验室。你的指令——你的程序——都经过精心编写和消毒。然后你打开一扇通往外部世界（互联网）的窗户，数据便涌入。这些数据可以是任何东西：一封邮件、一张图片、一个视频流。它们本应被观察、分析和存储——它们是数据。但如果其中一些根本不是数据，而是一组伪装成数据的恶意指令呢？如果一个程序被一个微小的漏洞欺骗，意外地试图执行这些传入的数据，会发生什么？

这就是一大类网络攻击的本质。在经典的“缓冲区溢出”或“堆喷射”攻击中，攻击者精心制作一份恶意机器码的有效载荷并将其发送给一个程序。然后他们利用漏洞溢出一个数据缓冲区，不仅将其代码注入计算机内存（栈或堆），还覆盖了一个关键的控制信息，比如一个函数的返回地址。其目标是劫持程序的执行流，欺骗处理器跳转到注入代码的位置。

如果没有 NX-bit，这种攻击的破坏力是毁灭性的。处理器作为一个顺从的仆人，会简单地开始执行攻击者的指令，因为对它来说，字节就是字节。但有了 NX-bit，情况就完全不同了。操作系统遵循一个名为写异或执行（ $W \oplus X$ ）的明智策略，将所有用于数据存储的内存页（如栈和堆）标记为可写但不可执行。当攻击者的计谋得逞，程序计数器被重定向到恶意载荷时，处理器的内存管理单元 (MMU) 准备提取第一条指令。它检查该页的权限，看到 NX-bit 处于激活状态。硬件说“不”。瞬间，一个错误被触发，操作系统得到通知。恶意企图被当场制止，违规程序通常在造成任何损害之前被终止。攻击被挫败，不是通过复杂的软件检测，而是通过一条基本的、不容置疑的硬件规则。这是一种精确而直接的防御，在跳转到被禁止的确切地址时就将其捕获。

这与另一项安全特性——地址空间布局随机化 (ASLR)——产生了美妙的协同效应。NX-bit（及其产生的策略，通常称为数据执行保护或 DEP）杜绝了简单的代码注入攻击。这迫使攻击者采取更困难的策略：代码重用，即他们不再注入新代码，而是将现有合法代码的小片段（“gadgets”）链接起来以达到其目的。这正是 ASLR 发挥作用的地方。通过将程序代码和库的内存位置随机化，ASLR 使攻击者极难知道他们想使用的 gadgets 的地址。因此，DEP 和 ASLR 形成了一套强大组合拳：DEP 防止简单的攻击，而 ASLR 则缓解了更难的攻击。

当我们思考 NX-bit 失效会发生什么时，其重要性便得到了最鲜明的体现。一个假设性的内核漏洞，若意外清除了可写用户页上的 NX-bit，将立即为代码注入攻击重新打开闸门，从而有效地禁用 DEP，并使面向返回的编程 (ROP) 等技术在很大程度上变得没有必要。它本身不会授予攻击者内核级权限——其他保护措施，如用户/监管者位，仍然有效——但它将彻底破坏用户进程内的一个基础安全层。这个比特位的完整性至关重要。

创造的艺术：构建复杂系统的工具

人们很容易将 NX-bit 和 $W \oplus X$ 策略视为纯粹的限制。但就像语法规则催生了诗歌一样，这些约束创造了一个有纪律的环境，使新型软件成为可能。最引人注目的例子是即时 (JIT) 编译器。

JIT 编译器是许多现代编程语言（如 Java、JavaScript 和 C#）高性能背后的引擎。它们在程序运行时进行观察，识别被频繁执行的“热”代码片段，并动态地将它们从高级字节码编译成高度优化的原生机器码。这兼具了解释型语言的可移植性和编译型语言的速度。

但这里有一个难题：为了完成工作，JIT 编译器必须创建新的指令然后执行它们。在一个由 $W \oplus X$ 统治的世界里，它如何做到这一点？它不能简单地写入一个页面然后从中执行，因为那样页面需要同时是可写和可执行的——这是一个被禁止的状态。

解决方案是一个优雅的流程，一种被称为“ $W \oplus X$ 之舞”的“权限翻转”操作。它通过离散、安全的步骤工作：

分配与写入： JIT 编译器向操作系统请求一个具有读写权限的内存页。当然，此时 NX-bit 是激活的。在这种状态下，该页面只是一块用于存放数据的画布。JIT 随后将新生成的机器码指令逐字节写入此页面。
同步： 这一步很微妙但至关重要，揭示了软件与硬件架构之间的深层联系。在许多处理器上，用于数据的缓存（D-cache）和用于指令的缓存（I-cache）并非自动保持同步。新代码作为数据被写入后，可能驻留在 D-cache 中，但对于 I-cache 却是不可见的。在执行前，JIT 必须发出特殊指令，将新代码从 D-cache 刷到主内存，并使 I-cache 中相应的行无效。这确保了处理器的指令提取器将看到新代码，而不是过时的垃圾数据。
翻转权限： 在代码写入并同步缓存后，JIT 向操作系统发出一个系统调用（如 mprotect），请求将该页面的权限从读写更改为读执行。操作系统接受请求，更新页表条目：写权限位被清除，执行权限位被设置（即清除硬件 NX-bit）。
执行： 该页面现在是一个只读、可执行的代码块。JIT 可以安全地引导程序跳转到这段新代码，并以全原生速度执行它。

整个过程由内核协调，即使在多核系统上也是安全和稳健的，因为更改权限的系统调用还会触发必要的同步操作，如 TLB（转换后备缓冲区）刷下，以确保所有处理器核心都能看到新的权限。这场“舞蹈”是一个美丽的例子，展示了操作系统和应用程序运行时如何合作，利用硬件制定的基本规则，安全、正确地执行看似神奇的动态代码生成。NX-bit 不是障碍；它是使这一复杂过程变得可控的护栏。

程序的蓝图：从文件到内存

代码与数据分离的原则是如此基础，以至于从程序被加载到内存的那一刻起，它就融入了程序的组织结构中。当你运行一个应用程序时，操作系统的加载器读取可执行文件（例如，Linux 上的 ELF 文件），并不仅仅是将其转储到内存中。相反，它会根据文件中规划的蓝图，仔细构建进程的虚拟地址空间，并为每个区域应用适当的权限。

代码段，包含程序的实际机器码指令，被以只读和可执行的权限映射到内存中。它是不可写的，以防止意外损坏和恶意修改。此外，该段通常在运行同一程序的所有进程之间共享，从而节省大量物理内存。
数据段和 BSS 段，存放全局变量和静态变量，被以读写权限映射。至关重要的是，它们通过 NX-bit 被标记为不可执行。这里是程序状态存在和变化的地方，必须与可执行代码严格分开。这些映射对每个进程都是私有的，通常使用写时复制机制，以便一个进程中的修改不会影响另一个进程。

这种初始布局在程序的第一个指令运行之前就由加载器建立起来，将 $W \oplus X$ 的理念实例化到整个地址空间中。NX-bit 不仅仅是为了安全而事后添加的；它是一种主要的架构组织工具，确保程序的内存是一个由不同、受保护区域组成的井然有序的城市，而不是一片混乱的蔓延。

世界中的世界：虚拟化中的 NX-Bit

我们这个不起眼的比特位的最后一站，将我们带入虚拟化这个抽象领域，这项技术是云计算的动力源泉。在这里，一个完整的“客户”操作系统在虚拟机内部运行，由“宿主”hypervisor 或虚拟机监视器 (VMM) 管理。在这个分层世界中，内存权限是如何工作的？

现代处理器为虚拟化提供了硬件支持，例如 Intel 的扩展页表 (EPT)。这创建了一个两阶段地址转换过程。客户操作系统将一个客户虚拟地址 (GVA) 转换为它认为是物理地址的地址，即客户物理地址 (GPA)。然后，硬件在 VMM 的控制下，执行第二次转换，将 GPA 转换为机器内存中实际的宿主物理地址 (HPA)。

包括 NX-bit 在内的权限在两个阶段都会被强制执行。任何内存访问要成功，必须同时得到客户操作系统的页表和宿主 EPT 的许可。有效权限是两者权限的逻辑与 (AND)。

设想一个思想实验：一个客户操作系统将其自有内存中的一个页面标记为不可执行（ $NX=1$ ）。然而，宿主 VMM 在其 EPT 中，为该客户页面所对应的底层物理内存映射为可执行（ $X=1$ ）。当客户机内部的一个进程试图从该页面执行代码时会发生什么？

答案揭示了该设计的稳健性。由于有效权限是两者中限制性最强的那个，访问被拒绝。客户机将页面设为不可执行的请求得到了尊重。硬件根据客户机自己的页表检测到违规，并生成一个页错误。而且由于 VMM 被配置为让客户机处理自己的页错误，该异常被直接传递给客户操作系统，完全就像它在裸机上运行一样。客户机仍然完全控制自己的安全策略，对 VMM 更宽松的设置一无所知。

这展示了一个优美的分层包含原则。NX-bit 提供的安全保证不会因为增加了抽象层而被破坏或绕过。它坚如磐石，提供了一个一致且可预测的安全模型，这对于构建构成现代互联网骨干的安全、多租户环境至关重要。从芯片上的一个晶体管到全球云基础设施，NX-bit 这个简单而强大的思想为秩序和安全提供了一个持续、可靠的基础。