网上看了别人的博客和有关资料，谈一下自己的见解。

CPU常见概念

一、缓存

缓存就是数据交换的缓冲区（称作Cache），当某一硬件要读取数据时，会首先从缓存中查找需要的数据，如果找到了则直接执行，找不到的话则从内存中找。由于缓存的运行速度比内存快得多，故缓存的作用就是帮助硬件更快地运行。通俗地说，就是把曾经读过的内存，备一份在速度更快的缓存里。下次再读同一块数据的时候就可以直接从缓存里取(请注意这句话)，就会更快。

二、乱序执行

因为访问内存有性能瓶颈，指令之间的执行时间差距可能非常大。

一条普通的计算指令1拍结束。一条访存指令如果缓存命中，需要10到100拍；如果缓存不命中，到内存里取，需要上万拍甚至更多。如果上一条指令被访存卡了十万拍，后面其他的指令只能等着吗？不可能的，所以现代CPU全部都设计了乱序执行的特性。

顺序执行就是排队入场，先来后到，一直保持同一个顺序。前边的人停下了，后边所有人都必须跟着停。

乱序执行就好象逛超市，大家排着队进场每人发个编号，之后自由乱逛，到结账的地方如果你前边编号的还有人没出去，你就在出口坐着等会儿，最终实现大家出去的时候仍然按进入的顺序排成一队。

这个等候调度区在计算机中被称为ROB（重排序缓存），基于硬件的推测：

必须把指令变序执行与实际结束分离开来，成为两步实现：

1、变序执行是动态调度的需要，必须把指令的执行结果，通过旁路方法，随时提供给其它指令使用；

2、按序结束是为了确保实现精确中断的需要（能确保恢复中断前的状态）。

三、异常

计算机只有一块内存，这块内存上既存着某个不知名应用的运行信息，也存着你的密码。

怎么样防止不知名小程序看到你的密码呢？当程序读内存的时候，CPU会帮忙检查读的地址是否属于这个程序。如果不属于，就是非法访问，CPU会在这条指令上产生一个异常。

操作系统为了处理异常，有一个要求：如果出现异常，那么异常指令之前的所有指令都已经执行完，异常指令之后的所有指令都尚未执行。

但是我们已经乱序执行了啊，怎么办？所以ROB承担起这个责任。

指令乱序执行的时候，要修改什么东西都暂且记着，不真正修改。只有在从ROB里排队出去的时候，才真正提交修改，维持指令之间的顺序关系。如果一条指令产生了异常，那么它会带着异常来到ROB排队。ROB按顺序把之前的正常指令全部提交了，看到这条指令带有异常之后就封锁出口，异常指令和其后其他指令会被抛弃掉，不予提交。

四、投机执行

看如下程序

if(a<100)

{

        a++;

}

else

{

        a--;

}

现代CPU都设计有投机执行的特性。CPU会根据历史上这条分支取过哪边，来猜测这一次会取哪边。比如以前一百次分支都取的是a++那边，那这一次我肯定猜它还会取a++那边，我就直接放a++跟着进去（请注意这句话）。

万一猜错了？让出口那的ROB把a++取消掉不让他们提交就行了，我这边再放a--进去。

五、微结构侧面效应

被取消掉的指令不会得到提交，所以它们修改不了任何东西，也不会产生异常。所以我大可以随意去投机执行指令，不会有任何危险，因为大不了我取消掉他们就万事大吉了。

这次的全部几个BUG就都出在这里。被取消掉的指令，虽然不会造成结构上的影响，但在微结构上会留下可以观测的影响——就是缓存，你的运行代码因为速度要求而被放进了缓存里。

这些被取消掉的指令不受异常的控制，可以访问任何东西，比如你的密码，然后借口自己执行错了被取消掉，就不会被操作系统管。它们曾访问过哪些内存，哪些内存的后续访问就会变快。

原理说明

执行这样一句代码：

if (x < array1_size)

    y = array2[array1[x] * 4096];

看起来这程序好像非常正经，对array1的访问甚至有边界检查，不让下标x超过array1的大小。

这边界检查很重要，因为要访问任何地址，比如你的密码的第一位(假设为k)，存储在地址v的话，令x=v-array1，array1[x]就是在访问地址v了。

if (x < array1_size)

开始执行的第一步，CPU首先会遇到一条分支指令，判断x和array1_size谁大。假设array1_size没在缓存里，CPU需要跑去内存里取。

在把array1_size取回来之前没人知道x和array1_size谁大，于是有一万拍的时间内CPU都不知道这个边界检查是成功了还是失败了，这个时间窗口内CPU将继续投机执行。

CPU猜测可能是x更小，投机执行下面的语句。你会发现这种猜测是可以被攻击者误导的，攻击者可以在开始之前先用x=0多次执行这句代码，让CPU误以为x大多数时候都很小。

但实际上，这次的x突然暗藏杀机，因为x=v-array1，而CPU就这样被骗过去了。

if (x < array1_size)

y = array2[array1[x] * 4096];

投机执行的第一步，就是array1[x]，试图访问你的密码。CPU说不可以，于是给这条指令的脸上贴了一张异常罚单，但仍然允许它带着密码的真实值k到ROB那里去排队。 

如果这条指令没有被撤销，操作系统就会结束这个程序；如果撤销了，那么体系结构设计者相信你绝对没办法活着把k带走。

if (x < array1_size)

y = array2[k * 4096];

投机执行的第二步。攻击者尝试让投机指令把k留下，而这些最终将被撤销的指令，唯一能留下的信息就是缓存。

第二条投机指令以k作为地址去访问array2。k被乘以一个较大的数值，例如页大小4096，这是出于一个技术细节原因。

假设array2的所有内容都不在缓存中，那么这条指令执行后，将仅有一个位置被加载到缓存上，这个位置的访问速度将明显快于其他位置，所以在投机执行完成判断前已经加入了缓存，这个位置就标明了k的值。

if (x < array1_size)

y = array2[array1[x] * 4096]; 

随后，array1_size的值读取到了，CPU后知后觉发现投机执行错了，于是上面投机执行的指令全部被取消。然而这时被取消的指令已经留下了一条缓存项，出卖了密码k。

攻击者只需要读取array2的每一个位置，测量读取花费的时间，然后找到读取最快的那个位置对应着k是多少，就这样攻破了密码的第一位。

之后攻击者读取一些其他数据，将array1_size和array2再次挤出缓存，使用x=0反复执行这段代码欺骗CPU的分支预测，就可以故伎重施，取出你密码的下一位，以至于每一位。