noriwiki - 사용자 기여 [ko]

SoftBound: Highly Compatible and Complete Spatial Memory Safety for C

2026-05-18T09:05:15Z

Ahn9807: 새 문서: 분류: ACM PLDI {{Paper|title=SoftBound: Highly Compatible and Complete Spatial Memory Safety for C|authors=Santosh Nagarakatte Jianzhou Zhao Milo M. K. Martin Steve Zdancewic|conference=Proceedings of the ACM SIGPLAN Conference on Programming Language Design and Implementation (PLDI)|year=2009}} == 개요 == Softbound는 spatial safety bug를 잡기 위한 방식이다. 모든 오브젝트 할당마다 base랑 size를 저장하는 내부 변수를 만들고, 매 load/st...

[[분류: ACM PLDI]]

{{Paper|title=SoftBound: Highly Compatible and Complete Spatial Memory Safety for C|authors=Santosh Nagarakatte Jianzhou Zhao Milo M. K. Martin Steve Zdancewic|conference=Proceedings of the ACM SIGPLAN Conference on Programming Language Design and Implementation (PLDI)|year=2009}}

== 개요 ==
Softbound는 spatial safety bug를 잡기 위한 방식이다.
모든 오브젝트 할당마다 base랑 size를 저장하는 내부 변수를 만들고, 매 load/store마다 그 변수들을 이용한 체크를 삽입한다. 이를 통해서, AddressSanitizer이전의, spatial safety를 잡을 수 있다는 spatial safety를 software적인 방식을 통해서 잡을 수 있는 방법을 제시한 논문이다.

DMGUARD: Safeguarding Kernels from Physical-Page Use-After-Free Vulnerabilities

2026-05-04T07:11:27Z

Ahn9807:

[[분류:USENIX Security]]

{{Paper|title=DMGUARD: Safeguarding Kernels from Physical-Page Use-After-Free Vulnerabilities|author=Juhee Kim, Jaeyoung Chung, Dae R. Jeong, Byoungyoung Lee|year=2026|conference=USENIX Security}}

== 개요 ==
Physical-page use-after-free라는 Page table entry 수준에서 일어나는 Use-after-free를 새로운 Vulnerability domain으로 정의하고, 이를 막을 수 있는 Runtime mitigation인 DMGUARD를 제시하였다.

기존의 Use-after-free는 일반적으로 Virtual address space 안에서 Freed object를 가리키는 Dangling pointer 문제로 이해되었다. 반면 본 논문에서 정의하는 Physical-page use-after-free는 Virtual address가 Page table을 통해 이미 Free되었거나 Reallocation된 Physical page를 계속 가리키는 문제이다. 즉, Object pointer가 아니라 Virtual-to-physical address translation layer에서 발생하는 Use-after-free이다.

DMGUARD는 각 Physical page의 Lifecycle을 State machine으로 모델링하고, Page allocation, Mapping, Unmapping, Free 시점에서 Per-page metadata를 업데이트한다. 이를 통해 Page가 아직 Mapping된 상태에서 Free되는 Free-before-unmap과, 이미 Free된 Page reference를 다시 Mapping하는 Map-after-free를 탐지한다.

핵심 메커니즘은 두 가지이다. 첫째, MapCount를 이용해서 해당 Physical page가 User-space page table에 몇 번 Mapping되어 있는지를 추적한다. 둘째, PageTag와 RefTag를 이용해서 Page reference가 현재 Allocation cycle에 속한 유효한 Reference인지 확인한다. 이를 통해 CPU page table뿐 아니라 GPU page table, IOMMU page table처럼 여러 Translation domain에 걸친 Dangling mapping을 탐지하고 차단한다.

== Motivation & Importance ==
현대 Kernel security mechanism들은 대부분 Page table의 정확성을 전제로 한다. 예를 들어 ASLR, CFI, DFI, PAC, MTE, MPK와 같은 방어 기법은 Virtual address가 올바른 Physical page로 Translation된다는 가정 위에서 동작한다. 그러나 Page table에 Dangling mapping이 남아 있으면, 공격자는 기존 방어 기법을 우회해서 Freed page 또는 Reallocated page를 User space에서 접근할 수 있다.

특히 Mobile/Embedded system에서는 CPU와 Integrated GPU가 같은 Physical memory를 공유하면서도 서로 다른 Page table을 사용한다. 예를 들어 Mali GPU나 Adreno GPU는 System DRAM을 공유하지만, GPU driver가 별도의 Page allocator와 GPU page table을 관리한다. 이 과정에서 CPU page table, GPU page table, IOMMU page table이 같은 Physical page를 가리킬 수 있다. Zero-copy memory sharing은 성능상 이점이 있지만, Page allocation과 Mapping/Unmapping의 책임이 여러 Subsystem에 분산되기 때문에 Page lifecycle 관리가 복잡해진다.

기존의 CONFIG_PAGE_TABLE_CHECK(ptcheck)는 CPU-side Page table mapping을 중심으로 관리한다. 따라서 GPU allocator가 할당한 Page가 CPU page table에 Mapping되거나, GPU page table/IOMMU page table에 Mapping되는 경우를 충분히 추적하지 못한다. 또한 ptcheck는 Mapping status는 일부 추적하지만 Allocation status를 추적하지 않기 때문에 Map-after-free를 근본적으로 탐지하기 어렵다.

또한 Page management는 Performance-sensitive path에 있다. Page fault, mmap, munmap, fork, GPU memory management 등은 자주 호출되기 때문에, 단순히 Global lock을 걸거나 Heavy synchronization을 추가하는 방식은 실용적이지 않다. 따라서 이 논문의 Motivation은 Heterogeneous translation domain 전체에서 Page lifecycle을 정확히 추적하면서도 낮은 Overhead를 유지하는 것이다.

== Challenge ==
* '''Systems with multiple different page tables distribute lifecycle management across independent subsystems'''
** 현대 시스템에서는 CPU, GPU, IOMMU 등이 각각 독립적인 Page table 또는 Translation structure를 가질 수 있다.
** Page allocation은 GPU driver가 수행하고, CPU mapping은 Kernel이 수행하며, IOMMU mapping은 별도의 Subsystem이 수행할 수 있다.
** 이처럼 Page lifecycle이 여러 Subsystem에 분산되어 있기 때문에, 어떤 Physical page가 아직 Mapping되어 있는지 전역적으로 판단하기 어렵다.

* '''Page management resides in a performance-sensitive path where synchronization overhead across different subsystems is expensive'''
** Page table operation은 Page fault, fork, mmap/munmap, GPU memory operation 등 성능에 민감한 경로에서 수행된다.
** 따라서 CPU/GPU/IOMMU 사이의 모든 Mapping 상태를 Lock 기반으로 동기화하면 Runtime overhead가 커질 수 있다.
** DMGUARD는 이를 해결하기 위해 Lockless design을 사용하고, Atomic operation과 Memory barrier를 통해 Concurrent Map/Free race를 막는다.

* '''The kernel provides low-level mapping interfaces that bypass standard page management mechanisms'''
** Linux kernel은 VM_PFNMAP과 같이 Page descriptor나 Reference counting을 우회하는 Low-level PFN-based mapping interface를 제공한다.
** 이러한 Interface는 MMIO처럼 일반 Buddy allocator가 관리하지 않는 Memory를 Mapping하기 위해 필요하지만, Device driver가 Buddy allocator에서 온 Page에도 이를 사용하면 Reference count가 제대로 갱신되지 않을 수 있다.
** 결과적으로 Page가 아직 Mapping되어 있음에도 Free되거나, 이미 Free된 PFN을 다시 Mapping하는 문제가 생길 수 있다.

* '''Correctness under concurrency is non-trivial'''
** Map과 Free가 서로 다른 CPU core 또는 Subsystem에서 동시에 발생할 수 있다.
** Weak memory model을 가진 ARM/RISC-V에서는 Instruction reordering 때문에 MapCount update와 PageTag check의 순서가 뒤바뀔 수 있다.
** DMGUARD는 LKMM(Linux Kernel Memory Model)을 기준으로 Memory barrier와 Atomic operation을 배치하여, Concurrent Map-Free 상황에서도 Dangling mapping이 생기지 않도록 설계한다.

== Background ==
; Physical-page use-after-free
* Traditional heap use-after-free는 Virtual address space 안의 Pointer가 이미 Free된 Object를 가리키는 문제이다.
* Physical-page use-after-free는 Page table entry가 이미 Free되었거나 다른 목적으로 Reallocation된 Physical page를 계속 가리키는 문제이다.
* 따라서 문제의 위치가 Object allocator가 아니라 Address translation layer이다.
* 공격자는 Page spraying을 통해 Freed physical page가 Attacker-controlled content로 재할당되도록 유도할 수 있다.
* 그 결과 User process가 Dangling mapping을 통해 Kernel page table, Credential structure 등 민감한 Physical memory를 접근할 수 있다.

; Dangling mapping
* Dangling mapping은 Page table entry가 이미 Free된 Physical page를 계속 가리키는 상태이다.
* 이 상태에서 Processor가 해당 Virtual address에 접근하면, 실제로는 Free되었거나 다른 용도로 재사용된 Physical page에 접근하게 된다.
* 논문은 Dangling mapping을 Physical-page UAF의 직접적인 원인으로 본다.

; Free-before-unmap
* Page가 Page table에 아직 Mapping되어 있는데 먼저 Free되는 경우이다.
* 정상적인 순서는 Unmap(P) 이후 Free(P)이다.
* 하지만 Free(P)가 Unmap(P)보다 먼저 발생하면 기존 Page table entry가 Freed page를 계속 가리키게 된다.
* DMGUARD는 Free 시점에 MapCount가 0인지 확인하여 이를 탐지한다.

; Map-after-free
* 이미 Free된 Page reference를 사용해서 Mapping을 만드는 경우이다.
* 예를 들어 Old struct page* 또는 Old PFN이 남아 있고, 이 Reference를 이용해 다시 PTE를 만들면 Freed page에 대한 Mapping이 생성될 수 있다.
* DMGUARD는 PageTag와 RefTag를 비교하여 Reference가 현재 Allocation cycle에 속하는지 확인한다.

; CVE-2025-0072 사례
* 논문은 Mali GPU driver의 CVE-2025-0072를 대표적인 Real-world example로 제시한다.
* Mali driver는 mmap() 과정에서 GPU command buffer를 위한 Virtual address를 예약하고, GPU page allocator에서 Page를 할당한 뒤 queue->phys에 Physical address를 저장한다.
* 실제 CPU mapping은 Lazy하게 Page fault 시점에 생성된다.
* 취약한 경로에서는 두 번째 mmap()이 queue->phys를 새 Page로 덮어쓴 뒤, 첫 번째 mmap region을 munmap할 때 실제 Mapping은 제거되지 않지만 queue->phys가 가리키는 두 번째 Page가 Free된다.
* 그 결과 VA2 -> PA2 Mapping이 CPU page table에 남아 있는데 PA2가 Free되어 Free-before-unmap 취약점이 발생한다.

== Main Idea ==
DMGUARD의 핵심 아이디어는 Physical page의 Lifecycle을 State machine으로 표현하고, 각 State transition이 올바른 순서로 일어나는지 Runtime에 검사하는 것이다.

Page는 크게 다음 상태를 가진다.

* '''Freed-Unmapped'''
** Page allocator의 Free pool에 있는 상태이다.
** 어떤 Page table에도 Mapping되어 있지 않다.
** Virtual address를 통해 접근할 수 없다.

* '''Allocated-Unmapped'''
** Page allocator에서 할당되었지만 아직 어떤 User-space page table에도 Mapping되지 않은 상태이다.
** Kernel은 struct page* 또는 PFN을 통해 이 Page를 참조할 수 있지만, User process는 아직 접근할 수 없다.

* '''Allocated-Mapped'''
** Page가 할당되어 있고, 하나 이상의 Page table entry가 이 Physical page를 가리키는 상태이다.
** CPU page table, GPU page table, IOMMU page table 등 여러 Translation domain에서 동시에 Mapping될 수 있다.

정상적인 Lifecycle은 다음과 같다.

* Freed-Unmapped -> Allocated-Unmapped
** Alloc(P)에 의해 Page가 할당된다.

* Allocated-Unmapped -> Allocated-Mapped
** Map(P)에 의해 Page table entry가 생성된다.

* Allocated-Mapped -> Allocated-Unmapped
** Unmap(P)에 의해 모든 Mapping이 제거된다.

* Allocated-Unmapped -> Freed-Unmapped
** Free(P)에 의해 Page가 allocator로 반환된다.

DMGUARD는 이 State machine에서 잘못된 Transition을 탐지한다.

* '''Free-before-unmap'''
** Allocated-Mapped 상태의 Page가 Unmap 없이 Free되는 경우이다.
** 즉, Allocated-Mapped -> Freed-Unmapped로 바로 가는 잘못된 Transition이다.
** DMGUARD는 Free(P) 시점에 MapCount(P) != 0이면 이를 Free-before-unmap으로 판단한다.

* '''Map-after-free'''
** Freed-Unmapped 상태의 Page reference를 이용해서 Mapping을 만드는 경우이다.
** 즉, Freed-Unmapped -> Allocated-Mapped처럼 Allocation 없이 Mapping이 만들어지는 잘못된 Transition이다.
** DMGUARD는 Map(P) 시점에 PageTag(P)와 RefTag(P)가 다르면 이를 Map-after-free로 판단한다.

이를 위해 DMGUARD는 두 종류의 Metadata를 사용한다.

* '''MapCount'''
** Physical page마다 유지되는 Counter이다.
** User-space Mapping이 생성될 때 증가하고, Mapping이 제거될 때 감소한다.
** CPU page table뿐 아니라 GPU page table, IOMMU page table의 Mapping도 함께 반영한다.
** Page를 Free할 때 MapCount가 0이 아니면 아직 Dangling mapping이 존재할 수 있으므로 Free-before-unmap으로 탐지한다.

* '''PageTag / RefTag'''
** PageTag는 Physical page의 현재 Allocation cycle을 나타내는 Per-page tag이다.
** RefTag는 struct page* 또는 PFN 같은 Page reference에 붙는 Tag이다.
** Page가 Allocate될 때 PageTag를 새 Random value로 갱신하고, 그 Page를 가리키는 Reference에는 같은 RefTag를 부여한다.
** Page가 Free되면 PageTag를 다시 갱신하여 Old reference를 무효화한다.
** Mapping을 만들 때 PageTag와 RefTag가 일치하지 않으면, Old reference를 통한 Map-after-free로 판단한다.

즉, DMGUARD는 Mapping status는 MapCount로 추적하고, Allocation status는 PageTag/RefTag로 추적한다. 이 두 정보를 결합하여 “Freed page가 Mapping되거나, Mapped page가 Free되는 상태”를 Runtime에 막는다.

== Design ==
DMGUARD의 설계는 크게 State machine, Twofold state tracking, Lockless integration, Kernel/GPU driver instrumentation으로 구성된다.

=== Page Lifecycle State Machine ===
DMGUARD는 각 Physical page의 상태를 Allocation status와 Mapping status의 조합으로 본다.

* Allocation status
** Freed
** Allocated

* Mapping status
** Unmapped
** Mapped

이 조합을 통해 Page는 Freed-Unmapped, Allocated-Unmapped, Allocated-Mapped 상태를 가진다. Freed-Mapped 상태는 존재해서는 안 되는 Invalid state이다. Physical-page UAF는 결국 Freed-Mapped 상태가 만들어지는 문제로 볼 수 있다.

DMGUARD의 목표는 Runtime에 Page operation을 감시하여 Freed-Mapped 상태가 생기기 전에 중단하는 것이다.

=== Tracking Mapping Status with MapCount ===
MapCount는 Page가 몇 개의 User-space Mapping을 가지고 있는지를 나타낸다.

* Map(P)
** Page가 User-space page table에 Mapping되면 MapCount(P)를 증가시킨다.

* Unmap(P)
** Page의 Mapping이 제거되면 MapCount(P)를 감소시킨다.

* Free(P)
** Page를 Free하기 전에 MapCount(P)를 확인한다.
** MapCount(P)가 0이면 안전하게 Free할 수 있다.
** MapCount(P)가 0보다 크면 아직 Mapping이 남아 있으므로 Free-before-unmap으로 탐지한다.

이 방식은 Reference counting과 유사하지만, 일반적인 Object reference count가 아니라 Page table mapping의 개수를 추적한다는 점이 중요하다. 또한 CPU page table뿐 아니라 GPU/IOMMU page table의 Mapping까지 포함한다.

=== Tracking Allocation Status with PageTag / RefTag ===
MapCount만으로는 Map-after-free를 막을 수 없다. 이미 Free된 Page reference가 남아 있고, 이를 이용해 Mapping을 만들면 MapCount는 새로 증가할 수 있기 때문이다. 따라서 DMGUARD는 Allocation cycle을 구분하기 위해 Tagging을 사용한다.

* PageTag
** Physical page의 Per-page metadata에 저장된다.
** 현재 Allocation cycle을 나타낸다.
** Page가 Allocate되거나 Free될 때 새 Random tag로 갱신된다.

* RefTag
** struct page* 또는 PFN 같은 Page reference에 저장된다.
** 해당 Reference가 만들어졌을 때의 PageTag를 보존한다.
** ARM64에서는 TBI(Top Byte Ignore)를 활용하여 struct page*의 Top byte에 RefTag를 저장한다.

Mapping을 만들 때 DMGUARD는 PageTag(P)와 RefTag(P)를 비교한다.

* PageTag(P) == RefTag(P)
** Reference가 현재 Allocation cycle의 Page를 가리키므로 Mapping을 허용한다.

* PageTag(P) != RefTag(P)
** Reference가 Old allocation cycle의 Stale reference이므로 Map-after-free로 탐지한다.

논문에서는 8-bit Tag를 사용한다. 하나의 값은 Default tag로 예약하고, 나머지 값을 Random하게 사용한다. 이 때문에 일반적인 Reallocation 이후 Map-after-free에는 1/255 확률의 Tag collision 가능성이 있다. 그러나 Free 직후 바로 Mapping하는 Immediate map-after-free의 경우 이전 Tag와 다른 값을 강제하여 100% 탐지한다고 설명한다.

=== Lockless Integration ===
Page management path는 매우 성능에 민감하므로 DMGUARD는 Global lock을 사용하지 않는다. 대신 Atomic operation과 Memory barrier를 사용하여 Concurrent operation의 Correctness를 보장한다.

DMGUARD의 핵심 Operation은 다음과 같다.

* dmcAlloc()
** 기존 Alloc()을 호출해 Page를 할당한다.
** PageTag를 새 값으로 갱신한다.
** 반환되는 struct page* 또는 PFN에 같은 RefTag를 설정한다.

* dmcMap()
** MapCount를 증가시킨다.
** Memory barrier를 수행한다.
** PageTag와 RefTag를 비교한다.
** Tag가 일치하면 실제 Map(P)를 수행한다.
** Tag가 다르면 Map-after-free로 판단한다.

* dmcUnmap()
** 실제 Unmap(P)를 수행한다.
** MapCount를 감소시킨다.
** MapCount가 음수가 되면 잘못된 Unmap으로 판단한다.

* dmcFree()
** PageTag를 먼저 갱신하여 기존 Reference를 무효화한다.
** Memory barrier를 수행한다.
** MapCount가 0인지 확인한다.
** MapCount가 0이면 실제 Free(P)를 수행한다.
** MapCount가 0보다 크면 Free-before-unmap으로 판단한다.

이 순서는 Concurrent Map-Free race를 막기 위해 중요하다. 예를 들어 dmcMap에서 MapCount 증가가 PageTag check보다 뒤로 Reorder되면, 동시에 수행되는 dmcFree가 MapCount를 0으로 보고 Page를 Free할 수 있다. DMGUARD는 Memory barrier를 통해 이러한 Reordering을 막는다.

논문은 이 Lockless design이 x86, ARM, RISC-V 등 Linux가 지원하는 Architecture의 Memory model에서도 안전하게 동작하는지 LKMM(Linux Kernel Memory Model) Litmus test로 검증했다고 주장한다.

=== Integration with Kernel and GPU Drivers ===
DMGUARD는 Linux kernel과 GPU driver의 Page operation interface에 통합된다.

* Linux kernel
** Map: set_pte_at
** Unmap: ptep_get_and_clear, ptep_get_and_clear_full
** Alloc: post_alloc_hook
** Free: free_pages_prepare

* Mali GPU driver
** Map: entry_set_ate, entry_set_pte
** Unmap: entries_invalidate
** Alloc: kbase_mem_pool_alloc, kbase_mem_pool_alloc_pages 등
** Free: kbase_mem_pool_free, kbase_mem_pool_free_pages 등

* Adreno GPU driver
** Map: __arm_lpae_set_pte, arm_lpae_init_pte
** Unmap: __arm_lpae_set_pte, arm_lpae_init_pte, __arm_lpae_free_pgtable, __arm_lpae_unmap
** Alloc: kgsl_pool_alloc_page
** Free: kgsl_pool_free_page

구현 규모는 Core DMGUARD가 약 400 LOC, Tagged PFN macro가 약 560 LOC, Mali GPU driver 변경이 약 90 LOC, Adreno GPU driver 변경이 약 80 LOC이다. 이는 DMGUARD가 기존 Kernel 구조를 크게 바꾸기보다는 주요 Page lifecycle operation에 작은 Instrumentation을 추가하는 방식임을 보여준다.

=== Comparison with CONFIG_PAGE_TABLE_CHECK ===
CONFIG_PAGE_TABLE_CHECK는 CPU page table의 Mapping status를 일부 추적할 수 있지만, DMGUARD와 비교하면 다음 한계가 있다.

* CPU page allocator와 CPU page table 사이의 Free-before-unmap은 탐지할 수 있다.
* 그러나 CPU page와 Device mapping, Device page와 CPU mapping, Device page와 Device mapping은 충분히 다루지 못한다.
* Allocation status를 추적하지 않으므로 Map-after-free를 탐지하지 못한다.
* Concurrent Map-Free race에 대한 Synchronization이 부족하여 TOCTOU-style vulnerability가 가능하다.

반면 DMGUARD는 Allocation status와 Mapping status를 모두 추적하고, CPU/GPU/IOMMU context를 함께 고려하며, Lockless synchronization으로 Concurrent race까지 다루려고 한다.

== Evaluation ==
논문은 DMGUARD를 Security, Performance, Robustness 측면에서 평가하였다.

=== Evaluation Setup ===
DMGUARD는 세 가지 환경에서 평가되었다.

* QEMU AArch64 환경
** Linux kernel v6.6.0
** Mali GPU driver
** Dummy GPU device(MALI_NO_MALI)

* Pixel 8
** Android 15
** Linux kernel v6.1.99
** ARMv8.5 CPU
** Mali GPU

* Pixel 3 XL
** Android 12
** Linux kernel v4.9.270
** ARMv8.2 CPU
** Qualcomm Adreno GPU

비교 대상은 다음과 같다.

* Baseline
** Dangling mapping mitigation이 없는 기본 Kernel configuration

* ptcheck
** Linux CONFIG_PAGE_TABLE_CHECK

* DMGUARD
** 본 논문에서 제안한 Runtime mitigation

=== Security Evaluation ===
Security evaluation에서는 총 24개의 Physical-page use-after-free vulnerability를 대상으로 DMGUARD와 ptcheck를 비교하였다.

* 19개는 Real-world vulnerability이다.
** Linux kernel
** Mali GPU driver
** Adreno GPU driver
** PowerVR GPU driver

* 5개는 Synthetic vulnerability이다.
** Map-after-free case
** Race condition 기반 Free-before-unmap case

논문은 이 중 15개를 실제 환경에서 Empirical evaluation하였다. 나머지 9개는 Hardware 부족, GPU driver virtual environment 미지원, Kernel/driver version mismatch 등의 이유로 직접 재현하지 못하고 Theoretical analysis를 수행하였다.

Empirical evaluation 결과는 다음과 같다.

* DMGUARD
** 15개 중 15개 모두 탐지하였다.

* ptcheck
** 15개 중 5개만 탐지하였다.

ptcheck가 탐지한 경우는 주로 CPU page가 CPU page table에 Mapping된 Free-before-unmap case이다. 반면 GPU page allocator, GPU page table, IOMMU page table이 관련된 경우나 Map-after-free case는 탐지하지 못했다.

Theoretical analysis 대상 9개에서도 논문은 DMGUARD가 설계상 모두 탐지 가능하다고 분석하였다. 이 9개는 모두 GPU page가 GPU 또는 IOMMU context에 Mapping되는 형태라 ptcheck는 탐지하지 못한다고 설명한다.

=== False Positives and False Negatives ===
논문은 Performance evaluation과 Robustness test 중 DMGUARD가 False alarm을 발생시키지 않았다고 보고한다. 또한 Known vulnerability test에서 모든 Empirical case를 탐지했기 때문에 실험상 False negative도 관찰되지 않았다고 한다.

그러나 설계상 False positive와 False negative 가능성은 존재한다.

* MapCount 관련 False positive
** 실제로는 Unmap되었지만 MapCount가 감소하지 않으면, Free 시점에 Dangling mapping으로 잘못 판단할 수 있다.

* MapCount 관련 False negative
** 실제로 Mapping되었지만 MapCount가 증가하지 않으면, Free-before-unmap을 놓칠 수 있다.

* PageTag 관련 False negative
** Mapping 시점에 Tag check가 빠지면 Map-after-free를 놓칠 수 있다.
** Page가 Free/Reallocation될 때 Tag가 갱신되지 않으면 Stale reference를 탐지하지 못할 수 있다.
** 8-bit Tag collision이 발생하면 Old reference의 RefTag와 New PageTag가 우연히 일치할 수 있다.

* Instrumentation coverage 문제
** Driver가 Standard API를 거치지 않고 Page table을 직접 조작하면 DMGUARD가 상태 변화를 추적하지 못할 수 있다.

=== Finding Unknown Vulnerabilities ===
논문은 Pixel 8에서 DMGUARD를 활성화한 상태로 Syzkaller를 실행하였다. 이 과정에서 Upstream Mali GPU driver의 Dangling mapping issue를 발견하였다.

해당 Issue는 Process가 GPU-allocated region에 대해 명시적으로 munmap()을 호출하지 않고 종료될 때, Physical page가 Free된 뒤에도 GPU page table entry가 남는 문제였다. 연구진은 이를 ARM에 보고했고, ARM은 Dangling mapping은 존재하지만 GPU task가 이미 종료된 뒤 생성되기 때문에 Exploitable하지 않다고 판단하였다.

이 결과는 DMGUARD가 Known vulnerability를 막는 방어 기법일 뿐 아니라, 실제 Kernel/Driver의 Page lifecycle bug를 찾는 Detection tool로도 사용할 수 있음을 보여준다.

=== Performance Evaluation ===
Performance evaluation은 Pixel 8에서 수행되었다.

; LMBench
* DMGUARD의 Geomean overhead는 2.96%이다.
* ptcheck의 Geomean overhead는 1.99%이다.
* Fork 계열 Benchmark에서 상대적으로 높은 Overhead가 나타났다.
** Process fork+exit: 10.05%
** Process fork+execve: 12.58%
** Process fork+/bin/sh -c: 4.81%
* 이는 Fork 과정에서 많은 Page table entry를 설정하기 때문이라고 설명한다.

; Phoronix Test Suite
* DMGUARD의 Geomean overhead는 1.26%이다.
* Workload는 OpenSSL, PyBench, Apache, Nginx, Redis, Linux unpack/build 등을 포함한다.
* 실사용 Application workload에서는 Overhead가 낮은 편이다.

; Geekbench 6
* CPU Single-core
** Baseline: 1629.45
** DMGUARD: 1622.27(-0.44%)

* CPU Multi-core
** Baseline: 4605.09
** DMGUARD: 4545.73(-1.29%)

* GPU OpenCL
** Baseline: 7691.36
** DMGUARD: 7674.18(-0.22%)

GPU workload에서도 Overhead가 낮다는 점은 DMGUARD가 GPU page table까지 추적하면서도 Runtime cost가 크지 않음을 보여준다. CPU Multi-core overhead는 Memory barrier로 인한 영향이 상대적으로 큰 것으로 해석된다.

; Kernel boot time
* Baseline: 0.510s
* DMGUARD: 0.528s(+3.53%)

; Application cold-start latency
* AOSP system app 10개에서 Geomean overhead는 3.10%이다.
* 최대 Overhead도 수 ms~수십 ms 수준으로 보고된다.
* 논문은 Boot time과 Cold-start overhead는 One-time cost이므로 지속적인 Runtime performance에는 큰 영향을 주지 않는다고 설명한다.

; Memory overhead
* DMGUARD는 ptcheck 대비 Page당 8 bytes의 추가 Metadata를 사용한다.
* Pixel 8 기준 Baseline 대비 Memory overhead는 약 1.05%이다.
* 논문은 전체 7,739,468 KB memory에서 약 50 MB 수준의 추가 사용량으로, 현대 시스템에서는 작은 비용이라고 주장한다.

=== Robustness Evaluation ===
DMGUARD는 Linux kernel의 Page management path를 수정하므로 Stability가 중요하다. 논문은 Pixel 8에서 Android Vendor Test Suite(VTS) kernel test plan을 10회 반복 실행하였다.

* Kselftest와 Linux Test Project(LTP)를 포함한 vts-kernel test를 수행하였다.
* 10회 반복 실행 중 Crash나 Hang이 발생하지 않았다.
* 모든 Test가 통과하였다.
* Performance evaluation 중에도 Unexpected error가 발생하지 않았다.

이를 통해 논문은 DMGUARD가 실제 Android kernel에서 Stability를 해치지 않는다고 주장한다.

== [[Conclusion]] ==
Pte check에서 체크하고 있던 알려진 문제 였다는 점, 그리고 전반적으로 Design이 pte check의 확장 (이기종 시스템으로의)로 보인다는 점이 아쉬운 부분이다. 그러나 이기종 시스템에서 발생할 수 있는 UAF문제를 시기 적절하고 & 최초로 상정하였다는 점에서 Motivation이 납득 가능하고, Mechanisms측면에서는 이 적절한 Motivation을 효율적으로 풀 수 있는 최적의 방법이라는 점이 이 논문의 장점이라고 생각한다.

DMGUARD: Safeguarding Kernels from Physical-Page Use-After-Free Vulnerabilities

2026-04-29T11:19:21Z

Ahn9807:

[[분류:USENIX Security]]

{{Paper|title=DMGUARD: Safeguarding Kernels from Physical-Page Use-After-Free Vulnerabilities|author=Juhee Kim, Jaeyoung Chung, Dae R. Jeong, Byoungyoung Lee|year=2026|conference=USENIX Security}}

== 개요 ==
Physical-page use-after-free라는 Page table entry 수준에서 일어나는 Use-after-free를 새로운 Vulnerability domain으로 정의하고, 이를 막을 수 있는 Runtime mitigation인 DMGUARD를 제시하였다.

기존의 Use-after-free는 일반적으로 Virtual address space 안에서 Freed object를 가리키는 Dangling pointer 문제로 이해되었다. 반면 본 논문에서 정의하는 Physical-page use-after-free는 Virtual address가 Page table을 통해 이미 Free되었거나 Reallocation된 Physical page를 계속 가리키는 문제이다. 즉, Object pointer가 아니라 Virtual-to-physical address translation layer에서 발생하는 Use-after-free이다.

DMGUARD는 각 Physical page의 Lifecycle을 State machine으로 모델링하고, Page allocation, Mapping, Unmapping, Free 시점에서 Per-page metadata를 업데이트한다. 이를 통해 Page가 아직 Mapping된 상태에서 Free되는 Free-before-unmap과, 이미 Free된 Page reference를 다시 Mapping하는 Map-after-free를 탐지한다.

핵심 메커니즘은 두 가지이다. 첫째, MapCount를 이용해서 해당 Physical page가 User-space page table에 몇 번 Mapping되어 있는지를 추적한다. 둘째, PageTag와 RefTag를 이용해서 Page reference가 현재 Allocation cycle에 속한 유효한 Reference인지 확인한다. 이를 통해 CPU page table뿐 아니라 GPU page table, IOMMU page table처럼 여러 Translation domain에 걸친 Dangling mapping을 탐지하고 차단한다.

== Motivation & Importance ==
현대 Kernel security mechanism들은 대부분 Page table의 정확성을 전제로 한다. 예를 들어 ASLR, CFI, DFI, PAC, MTE, MPK와 같은 방어 기법은 Virtual address가 올바른 Physical page로 Translation된다는 가정 위에서 동작한다. 그러나 Page table에 Dangling mapping이 남아 있으면, 공격자는 기존 방어 기법을 우회해서 Freed page 또는 Reallocated page를 User space에서 접근할 수 있다.

특히 Mobile/Embedded system에서는 CPU와 Integrated GPU가 같은 Physical memory를 공유하면서도 서로 다른 Page table을 사용한다. 예를 들어 Mali GPU나 Adreno GPU는 System DRAM을 공유하지만, GPU driver가 별도의 Page allocator와 GPU page table을 관리한다. 이 과정에서 CPU page table, GPU page table, IOMMU page table이 같은 Physical page를 가리킬 수 있다. Zero-copy memory sharing은 성능상 이점이 있지만, Page allocation과 Mapping/Unmapping의 책임이 여러 Subsystem에 분산되기 때문에 Page lifecycle 관리가 복잡해진다.

기존의 CONFIG_PAGE_TABLE_CHECK(ptcheck)는 CPU-side Page table mapping을 중심으로 관리한다. 따라서 GPU allocator가 할당한 Page가 CPU page table에 Mapping되거나, GPU page table/IOMMU page table에 Mapping되는 경우를 충분히 추적하지 못한다. 또한 ptcheck는 Mapping status는 일부 추적하지만 Allocation status를 추적하지 않기 때문에 Map-after-free를 근본적으로 탐지하기 어렵다.

또한 Page management는 Performance-sensitive path에 있다. Page fault, mmap, munmap, fork, GPU memory management 등은 자주 호출되기 때문에, 단순히 Global lock을 걸거나 Heavy synchronization을 추가하는 방식은 실용적이지 않다. 따라서 이 논문의 Motivation은 Heterogeneous translation domain 전체에서 Page lifecycle을 정확히 추적하면서도 낮은 Overhead를 유지하는 것이다.

== Challenge ==
* '''Systems with multiple different page tables distribute lifecycle management across independent subsystems'''
** 현대 시스템에서는 CPU, GPU, IOMMU 등이 각각 독립적인 Page table 또는 Translation structure를 가질 수 있다.
** Page allocation은 GPU driver가 수행하고, CPU mapping은 Kernel이 수행하며, IOMMU mapping은 별도의 Subsystem이 수행할 수 있다.
** 이처럼 Page lifecycle이 여러 Subsystem에 분산되어 있기 때문에, 어떤 Physical page가 아직 Mapping되어 있는지 전역적으로 판단하기 어렵다.

* '''Page management resides in a performance-sensitive path where synchronization overhead across different subsystems is expensive'''
** Page table operation은 Page fault, fork, mmap/munmap, GPU memory operation 등 성능에 민감한 경로에서 수행된다.
** 따라서 CPU/GPU/IOMMU 사이의 모든 Mapping 상태를 Lock 기반으로 동기화하면 Runtime overhead가 커질 수 있다.
** DMGUARD는 이를 해결하기 위해 Lockless design을 사용하고, Atomic operation과 Memory barrier를 통해 Concurrent Map/Free race를 막는다.

* '''The kernel provides low-level mapping interfaces that bypass standard page management mechanisms'''
** Linux kernel은 VM_PFNMAP과 같이 Page descriptor나 Reference counting을 우회하는 Low-level PFN-based mapping interface를 제공한다.
** 이러한 Interface는 MMIO처럼 일반 Buddy allocator가 관리하지 않는 Memory를 Mapping하기 위해 필요하지만, Device driver가 Buddy allocator에서 온 Page에도 이를 사용하면 Reference count가 제대로 갱신되지 않을 수 있다.
** 결과적으로 Page가 아직 Mapping되어 있음에도 Free되거나, 이미 Free된 PFN을 다시 Mapping하는 문제가 생길 수 있다.

* '''Correctness under concurrency is non-trivial'''
** Map과 Free가 서로 다른 CPU core 또는 Subsystem에서 동시에 발생할 수 있다.
** Weak memory model을 가진 ARM/RISC-V에서는 Instruction reordering 때문에 MapCount update와 PageTag check의 순서가 뒤바뀔 수 있다.
** DMGUARD는 LKMM(Linux Kernel Memory Model)을 기준으로 Memory barrier와 Atomic operation을 배치하여, Concurrent Map-Free 상황에서도 Dangling mapping이 생기지 않도록 설계한다.

== Background ==
; Physical-page use-after-free
* Traditional heap use-after-free는 Virtual address space 안의 Pointer가 이미 Free된 Object를 가리키는 문제이다.
* Physical-page use-after-free는 Page table entry가 이미 Free되었거나 다른 목적으로 Reallocation된 Physical page를 계속 가리키는 문제이다.
* 따라서 문제의 위치가 Object allocator가 아니라 Address translation layer이다.
* 공격자는 Page spraying을 통해 Freed physical page가 Attacker-controlled content로 재할당되도록 유도할 수 있다.
* 그 결과 User process가 Dangling mapping을 통해 Kernel page table, Credential structure 등 민감한 Physical memory를 접근할 수 있다.

; Dangling mapping
* Dangling mapping은 Page table entry가 이미 Free된 Physical page를 계속 가리키는 상태이다.
* 이 상태에서 Processor가 해당 Virtual address에 접근하면, 실제로는 Free되었거나 다른 용도로 재사용된 Physical page에 접근하게 된다.
* 논문은 Dangling mapping을 Physical-page UAF의 직접적인 원인으로 본다.

; Free-before-unmap
* Page가 Page table에 아직 Mapping되어 있는데 먼저 Free되는 경우이다.
* 정상적인 순서는 Unmap(P) 이후 Free(P)이다.
* 하지만 Free(P)가 Unmap(P)보다 먼저 발생하면 기존 Page table entry가 Freed page를 계속 가리키게 된다.
* DMGUARD는 Free 시점에 MapCount가 0인지 확인하여 이를 탐지한다.

; Map-after-free
* 이미 Free된 Page reference를 사용해서 Mapping을 만드는 경우이다.
* 예를 들어 Old struct page* 또는 Old PFN이 남아 있고, 이 Reference를 이용해 다시 PTE를 만들면 Freed page에 대한 Mapping이 생성될 수 있다.
* DMGUARD는 PageTag와 RefTag를 비교하여 Reference가 현재 Allocation cycle에 속하는지 확인한다.

; CVE-2025-0072 사례
* 논문은 Mali GPU driver의 CVE-2025-0072를 대표적인 Real-world example로 제시한다.
* Mali driver는 mmap() 과정에서 GPU command buffer를 위한 Virtual address를 예약하고, GPU page allocator에서 Page를 할당한 뒤 queue->phys에 Physical address를 저장한다.
* 실제 CPU mapping은 Lazy하게 Page fault 시점에 생성된다.
* 취약한 경로에서는 두 번째 mmap()이 queue->phys를 새 Page로 덮어쓴 뒤, 첫 번째 mmap region을 munmap할 때 실제 Mapping은 제거되지 않지만 queue->phys가 가리키는 두 번째 Page가 Free된다.
* 그 결과 VA2 -> PA2 Mapping이 CPU page table에 남아 있는데 PA2가 Free되어 Free-before-unmap 취약점이 발생한다.

== Main Idea ==
DMGUARD의 핵심 아이디어는 Physical page의 Lifecycle을 State machine으로 표현하고, 각 State transition이 올바른 순서로 일어나는지 Runtime에 검사하는 것이다.

Page는 크게 다음 상태를 가진다.

* '''Freed-Unmapped'''
** Page allocator의 Free pool에 있는 상태이다.
** 어떤 Page table에도 Mapping되어 있지 않다.
** Virtual address를 통해 접근할 수 없다.

* '''Allocated-Unmapped'''
** Page allocator에서 할당되었지만 아직 어떤 User-space page table에도 Mapping되지 않은 상태이다.
** Kernel은 struct page* 또는 PFN을 통해 이 Page를 참조할 수 있지만, User process는 아직 접근할 수 없다.

* '''Allocated-Mapped'''
** Page가 할당되어 있고, 하나 이상의 Page table entry가 이 Physical page를 가리키는 상태이다.
** CPU page table, GPU page table, IOMMU page table 등 여러 Translation domain에서 동시에 Mapping될 수 있다.

정상적인 Lifecycle은 다음과 같다.

* Freed-Unmapped -> Allocated-Unmapped
** Alloc(P)에 의해 Page가 할당된다.

* Allocated-Unmapped -> Allocated-Mapped
** Map(P)에 의해 Page table entry가 생성된다.

* Allocated-Mapped -> Allocated-Unmapped
** Unmap(P)에 의해 모든 Mapping이 제거된다.

* Allocated-Unmapped -> Freed-Unmapped
** Free(P)에 의해 Page가 allocator로 반환된다.

DMGUARD는 이 State machine에서 잘못된 Transition을 탐지한다.

* '''Free-before-unmap'''
** Allocated-Mapped 상태의 Page가 Unmap 없이 Free되는 경우이다.
** 즉, Allocated-Mapped -> Freed-Unmapped로 바로 가는 잘못된 Transition이다.
** DMGUARD는 Free(P) 시점에 MapCount(P) != 0이면 이를 Free-before-unmap으로 판단한다.

* '''Map-after-free'''
** Freed-Unmapped 상태의 Page reference를 이용해서 Mapping을 만드는 경우이다.
** 즉, Freed-Unmapped -> Allocated-Mapped처럼 Allocation 없이 Mapping이 만들어지는 잘못된 Transition이다.
** DMGUARD는 Map(P) 시점에 PageTag(P)와 RefTag(P)가 다르면 이를 Map-after-free로 판단한다.

이를 위해 DMGUARD는 두 종류의 Metadata를 사용한다.

* '''MapCount'''
** Physical page마다 유지되는 Counter이다.
** User-space Mapping이 생성될 때 증가하고, Mapping이 제거될 때 감소한다.
** CPU page table뿐 아니라 GPU page table, IOMMU page table의 Mapping도 함께 반영한다.
** Page를 Free할 때 MapCount가 0이 아니면 아직 Dangling mapping이 존재할 수 있으므로 Free-before-unmap으로 탐지한다.

* '''PageTag / RefTag'''
** PageTag는 Physical page의 현재 Allocation cycle을 나타내는 Per-page tag이다.
** RefTag는 struct page* 또는 PFN 같은 Page reference에 붙는 Tag이다.
** Page가 Allocate될 때 PageTag를 새 Random value로 갱신하고, 그 Page를 가리키는 Reference에는 같은 RefTag를 부여한다.
** Page가 Free되면 PageTag를 다시 갱신하여 Old reference를 무효화한다.
** Mapping을 만들 때 PageTag와 RefTag가 일치하지 않으면, Old reference를 통한 Map-after-free로 판단한다.

즉, DMGUARD는 Mapping status는 MapCount로 추적하고, Allocation status는 PageTag/RefTag로 추적한다. 이 두 정보를 결합하여 “Freed page가 Mapping되거나, Mapped page가 Free되는 상태”를 Runtime에 막는다.

== Design ==
DMGUARD의 설계는 크게 State machine, Twofold state tracking, Lockless integration, Kernel/GPU driver instrumentation으로 구성된다.

=== Page Lifecycle State Machine ===
DMGUARD는 각 Physical page의 상태를 Allocation status와 Mapping status의 조합으로 본다.

* Allocation status
** Freed
** Allocated

* Mapping status
** Unmapped
** Mapped

이 조합을 통해 Page는 Freed-Unmapped, Allocated-Unmapped, Allocated-Mapped 상태를 가진다. Freed-Mapped 상태는 존재해서는 안 되는 Invalid state이다. Physical-page UAF는 결국 Freed-Mapped 상태가 만들어지는 문제로 볼 수 있다.

DMGUARD의 목표는 Runtime에 Page operation을 감시하여 Freed-Mapped 상태가 생기기 전에 중단하는 것이다.

=== Tracking Mapping Status with MapCount ===
MapCount는 Page가 몇 개의 User-space Mapping을 가지고 있는지를 나타낸다.

* Map(P)
** Page가 User-space page table에 Mapping되면 MapCount(P)를 증가시킨다.

* Unmap(P)
** Page의 Mapping이 제거되면 MapCount(P)를 감소시킨다.

* Free(P)
** Page를 Free하기 전에 MapCount(P)를 확인한다.
** MapCount(P)가 0이면 안전하게 Free할 수 있다.
** MapCount(P)가 0보다 크면 아직 Mapping이 남아 있으므로 Free-before-unmap으로 탐지한다.

이 방식은 Reference counting과 유사하지만, 일반적인 Object reference count가 아니라 Page table mapping의 개수를 추적한다는 점이 중요하다. 또한 CPU page table뿐 아니라 GPU/IOMMU page table의 Mapping까지 포함한다.

=== Tracking Allocation Status with PageTag / RefTag ===
MapCount만으로는 Map-after-free를 막을 수 없다. 이미 Free된 Page reference가 남아 있고, 이를 이용해 Mapping을 만들면 MapCount는 새로 증가할 수 있기 때문이다. 따라서 DMGUARD는 Allocation cycle을 구분하기 위해 Tagging을 사용한다.

* PageTag
** Physical page의 Per-page metadata에 저장된다.
** 현재 Allocation cycle을 나타낸다.
** Page가 Allocate되거나 Free될 때 새 Random tag로 갱신된다.

* RefTag
** struct page* 또는 PFN 같은 Page reference에 저장된다.
** 해당 Reference가 만들어졌을 때의 PageTag를 보존한다.
** ARM64에서는 TBI(Top Byte Ignore)를 활용하여 struct page*의 Top byte에 RefTag를 저장한다.

Mapping을 만들 때 DMGUARD는 PageTag(P)와 RefTag(P)를 비교한다.

* PageTag(P) == RefTag(P)
** Reference가 현재 Allocation cycle의 Page를 가리키므로 Mapping을 허용한다.

* PageTag(P) != RefTag(P)
** Reference가 Old allocation cycle의 Stale reference이므로 Map-after-free로 탐지한다.

논문에서는 8-bit Tag를 사용한다. 하나의 값은 Default tag로 예약하고, 나머지 값을 Random하게 사용한다. 이 때문에 일반적인 Reallocation 이후 Map-after-free에는 1/255 확률의 Tag collision 가능성이 있다. 그러나 Free 직후 바로 Mapping하는 Immediate map-after-free의 경우 이전 Tag와 다른 값을 강제하여 100% 탐지한다고 설명한다.

=== Lockless Integration ===
Page management path는 매우 성능에 민감하므로 DMGUARD는 Global lock을 사용하지 않는다. 대신 Atomic operation과 Memory barrier를 사용하여 Concurrent operation의 Correctness를 보장한다.

DMGUARD의 핵심 Operation은 다음과 같다.

* dmcAlloc()
** 기존 Alloc()을 호출해 Page를 할당한다.
** PageTag를 새 값으로 갱신한다.
** 반환되는 struct page* 또는 PFN에 같은 RefTag를 설정한다.

* dmcMap()
** MapCount를 증가시킨다.
** Memory barrier를 수행한다.
** PageTag와 RefTag를 비교한다.
** Tag가 일치하면 실제 Map(P)를 수행한다.
** Tag가 다르면 Map-after-free로 판단한다.

* dmcUnmap()
** 실제 Unmap(P)를 수행한다.
** MapCount를 감소시킨다.
** MapCount가 음수가 되면 잘못된 Unmap으로 판단한다.

* dmcFree()
** PageTag를 먼저 갱신하여 기존 Reference를 무효화한다.
** Memory barrier를 수행한다.
** MapCount가 0인지 확인한다.
** MapCount가 0이면 실제 Free(P)를 수행한다.
** MapCount가 0보다 크면 Free-before-unmap으로 판단한다.

이 순서는 Concurrent Map-Free race를 막기 위해 중요하다. 예를 들어 dmcMap에서 MapCount 증가가 PageTag check보다 뒤로 Reorder되면, 동시에 수행되는 dmcFree가 MapCount를 0으로 보고 Page를 Free할 수 있다. DMGUARD는 Memory barrier를 통해 이러한 Reordering을 막는다.

논문은 이 Lockless design이 x86, ARM, RISC-V 등 Linux가 지원하는 Architecture의 Memory model에서도 안전하게 동작하는지 LKMM(Linux Kernel Memory Model) Litmus test로 검증했다고 주장한다.

=== Integration with Kernel and GPU Drivers ===
DMGUARD는 Linux kernel과 GPU driver의 Page operation interface에 통합된다.

* Linux kernel
** Map: set_pte_at
** Unmap: ptep_get_and_clear, ptep_get_and_clear_full
** Alloc: post_alloc_hook
** Free: free_pages_prepare

* Mali GPU driver
** Map: entry_set_ate, entry_set_pte
** Unmap: entries_invalidate
** Alloc: kbase_mem_pool_alloc, kbase_mem_pool_alloc_pages 등
** Free: kbase_mem_pool_free, kbase_mem_pool_free_pages 등

* Adreno GPU driver
** Map: __arm_lpae_set_pte, arm_lpae_init_pte
** Unmap: __arm_lpae_set_pte, arm_lpae_init_pte, __arm_lpae_free_pgtable, __arm_lpae_unmap
** Alloc: kgsl_pool_alloc_page
** Free: kgsl_pool_free_page

구현 규모는 Core DMGUARD가 약 400 LOC, Tagged PFN macro가 약 560 LOC, Mali GPU driver 변경이 약 90 LOC, Adreno GPU driver 변경이 약 80 LOC이다. 이는 DMGUARD가 기존 Kernel 구조를 크게 바꾸기보다는 주요 Page lifecycle operation에 작은 Instrumentation을 추가하는 방식임을 보여준다.

=== Comparison with CONFIG_PAGE_TABLE_CHECK ===
CONFIG_PAGE_TABLE_CHECK는 CPU page table의 Mapping status를 일부 추적할 수 있지만, DMGUARD와 비교하면 다음 한계가 있다.

* CPU page allocator와 CPU page table 사이의 Free-before-unmap은 탐지할 수 있다.
* 그러나 CPU page와 Device mapping, Device page와 CPU mapping, Device page와 Device mapping은 충분히 다루지 못한다.
* Allocation status를 추적하지 않으므로 Map-after-free를 탐지하지 못한다.
* Concurrent Map-Free race에 대한 Synchronization이 부족하여 TOCTOU-style vulnerability가 가능하다.

반면 DMGUARD는 Allocation status와 Mapping status를 모두 추적하고, CPU/GPU/IOMMU context를 함께 고려하며, Lockless synchronization으로 Concurrent race까지 다루려고 한다.

== Evaluation ==
논문은 DMGUARD를 Security, Performance, Robustness 측면에서 평가하였다.

=== Evaluation Setup ===
DMGUARD는 세 가지 환경에서 평가되었다.

* QEMU AArch64 환경
** Linux kernel v6.6.0
** Mali GPU driver
** Dummy GPU device(MALI_NO_MALI)

* Pixel 8
** Android 15
** Linux kernel v6.1.99
** ARMv8.5 CPU
** Mali GPU

* Pixel 3 XL
** Android 12
** Linux kernel v4.9.270
** ARMv8.2 CPU
** Qualcomm Adreno GPU

비교 대상은 다음과 같다.

* Baseline
** Dangling mapping mitigation이 없는 기본 Kernel configuration

* ptcheck
** Linux CONFIG_PAGE_TABLE_CHECK

* DMGUARD
** 본 논문에서 제안한 Runtime mitigation

=== Security Evaluation ===
Security evaluation에서는 총 24개의 Physical-page use-after-free vulnerability를 대상으로 DMGUARD와 ptcheck를 비교하였다.

* 19개는 Real-world vulnerability이다.
** Linux kernel
** Mali GPU driver
** Adreno GPU driver
** PowerVR GPU driver

* 5개는 Synthetic vulnerability이다.
** Map-after-free case
** Race condition 기반 Free-before-unmap case

논문은 이 중 15개를 실제 환경에서 Empirical evaluation하였다. 나머지 9개는 Hardware 부족, GPU driver virtual environment 미지원, Kernel/driver version mismatch 등의 이유로 직접 재현하지 못하고 Theoretical analysis를 수행하였다.

Empirical evaluation 결과는 다음과 같다.

* DMGUARD
** 15개 중 15개 모두 탐지하였다.

* ptcheck
** 15개 중 5개만 탐지하였다.

ptcheck가 탐지한 경우는 주로 CPU page가 CPU page table에 Mapping된 Free-before-unmap case이다. 반면 GPU page allocator, GPU page table, IOMMU page table이 관련된 경우나 Map-after-free case는 탐지하지 못했다.

Theoretical analysis 대상 9개에서도 논문은 DMGUARD가 설계상 모두 탐지 가능하다고 분석하였다. 이 9개는 모두 GPU page가 GPU 또는 IOMMU context에 Mapping되는 형태라 ptcheck는 탐지하지 못한다고 설명한다.

=== False Positives and False Negatives ===
논문은 Performance evaluation과 Robustness test 중 DMGUARD가 False alarm을 발생시키지 않았다고 보고한다. 또한 Known vulnerability test에서 모든 Empirical case를 탐지했기 때문에 실험상 False negative도 관찰되지 않았다고 한다.

그러나 설계상 False positive와 False negative 가능성은 존재한다.

* MapCount 관련 False positive
** 실제로는 Unmap되었지만 MapCount가 감소하지 않으면, Free 시점에 Dangling mapping으로 잘못 판단할 수 있다.

* MapCount 관련 False negative
** 실제로 Mapping되었지만 MapCount가 증가하지 않으면, Free-before-unmap을 놓칠 수 있다.

* PageTag 관련 False negative
** Mapping 시점에 Tag check가 빠지면 Map-after-free를 놓칠 수 있다.
** Page가 Free/Reallocation될 때 Tag가 갱신되지 않으면 Stale reference를 탐지하지 못할 수 있다.
** 8-bit Tag collision이 발생하면 Old reference의 RefTag와 New PageTag가 우연히 일치할 수 있다.

* Instrumentation coverage 문제
** Driver가 Standard API를 거치지 않고 Page table을 직접 조작하면 DMGUARD가 상태 변화를 추적하지 못할 수 있다.

=== Finding Unknown Vulnerabilities ===
논문은 Pixel 8에서 DMGUARD를 활성화한 상태로 Syzkaller를 실행하였다. 이 과정에서 Upstream Mali GPU driver의 Dangling mapping issue를 발견하였다.

해당 Issue는 Process가 GPU-allocated region에 대해 명시적으로 munmap()을 호출하지 않고 종료될 때, Physical page가 Free된 뒤에도 GPU page table entry가 남는 문제였다. 연구진은 이를 ARM에 보고했고, ARM은 Dangling mapping은 존재하지만 GPU task가 이미 종료된 뒤 생성되기 때문에 Exploitable하지 않다고 판단하였다.

이 결과는 DMGUARD가 Known vulnerability를 막는 방어 기법일 뿐 아니라, 실제 Kernel/Driver의 Page lifecycle bug를 찾는 Detection tool로도 사용할 수 있음을 보여준다.

=== Performance Evaluation ===
Performance evaluation은 Pixel 8에서 수행되었다.

; LMBench
* DMGUARD의 Geomean overhead는 2.96%이다.
* ptcheck의 Geomean overhead는 1.99%이다.
* Fork 계열 Benchmark에서 상대적으로 높은 Overhead가 나타났다.
** Process fork+exit: 10.05%
** Process fork+execve: 12.58%
** Process fork+/bin/sh -c: 4.81%
* 이는 Fork 과정에서 많은 Page table entry를 설정하기 때문이라고 설명한다.

; Phoronix Test Suite
* DMGUARD의 Geomean overhead는 1.26%이다.
* Workload는 OpenSSL, PyBench, Apache, Nginx, Redis, Linux unpack/build 등을 포함한다.
* 실사용 Application workload에서는 Overhead가 낮은 편이다.

; Geekbench 6
* CPU Single-core
** Baseline: 1629.45
** DMGUARD: 1622.27(-0.44%)

* CPU Multi-core
** Baseline: 4605.09
** DMGUARD: 4545.73(-1.29%)

* GPU OpenCL
** Baseline: 7691.36
** DMGUARD: 7674.18(-0.22%)

GPU workload에서도 Overhead가 낮다는 점은 DMGUARD가 GPU page table까지 추적하면서도 Runtime cost가 크지 않음을 보여준다. CPU Multi-core overhead는 Memory barrier로 인한 영향이 상대적으로 큰 것으로 해석된다.

; Kernel boot time
* Baseline: 0.510s
* DMGUARD: 0.528s(+3.53%)

; Application cold-start latency
* AOSP system app 10개에서 Geomean overhead는 3.10%이다.
* 최대 Overhead도 수 ms~수십 ms 수준으로 보고된다.
* 논문은 Boot time과 Cold-start overhead는 One-time cost이므로 지속적인 Runtime performance에는 큰 영향을 주지 않는다고 설명한다.

; Memory overhead
* DMGUARD는 ptcheck 대비 Page당 8 bytes의 추가 Metadata를 사용한다.
* Pixel 8 기준 Baseline 대비 Memory overhead는 약 1.05%이다.
* 논문은 전체 7,739,468 KB memory에서 약 50 MB 수준의 추가 사용량으로, 현대 시스템에서는 작은 비용이라고 주장한다.

=== Robustness Evaluation ===
DMGUARD는 Linux kernel의 Page management path를 수정하므로 Stability가 중요하다. 논문은 Pixel 8에서 Android Vendor Test Suite(VTS) kernel test plan을 10회 반복 실행하였다.

* Kselftest와 Linux Test Project(LTP)를 포함한 vts-kernel test를 수행하였다.
* 10회 반복 실행 중 Crash나 Hang이 발생하지 않았다.
* 모든 Test가 통과하였다.
* Performance evaluation 중에도 Unexpected error가 발생하지 않았다.

이를 통해 논문은 DMGUARD가 실제 Android kernel에서 Stability를 해치지 않는다고 주장한다.

== [[Conclusion]] ==
우선 메모리 Vulnerability domain을 새로 찾았다고 나오지만, 사실 pte check에서 체크하고 있던 잘 알려진 문제 였다는 점, 그리고 전반적으로 Design이 pte check의 확장 (이기종 시스템으로의)로 보인다는 점이 주된 한계로 들수 있다. 그러나 이기종 시스템에서 발생할 수 있는 UAF문제를 시기 적절하고 & 최초로 상정하였다는 점에서 Motivation이 납득 가능하고, Mechanisms측면에서는 이 적절한 Motivation을 효율적으로 풀 수 있는 최적의 방법이라는 점이 이 논문의 장점이라고 생각한다.

DMGUARD: Safeguarding Kernels from Physical-Page Use-After-Free Vulnerabilities

2026-04-29T11:18:59Z

Ahn9807:

[[분류:USENIX Security]]

{{Paper|title=DMGUARD: Safeguarding Kernels from Physical-Page Use-After-Free Vulnerabilities|author=Juhee Kim, Jaeyoung Chung, Dae R. Jeong, Byoungyoung Lee|year=2026|conference=USENIX Security}}

== 개요 ==
Physical-page use-after-free라는 Page table entry 수준에서 일어나는 Use-after-free를 새로운 Vulnerability domain으로 정의하고, 이를 막을 수 있는 Runtime mitigation인 DMGUARD를 제시하였다.

기존의 Use-after-free는 일반적으로 Virtual address space 안에서 Freed object를 가리키는 Dangling pointer 문제로 이해되었다. 반면 본 논문에서 정의하는 Physical-page use-after-free는 Virtual address가 Page table을 통해 이미 Free되었거나 Reallocation된 Physical page를 계속 가리키는 문제이다. 즉, Object pointer가 아니라 Virtual-to-physical address translation layer에서 발생하는 Use-after-free이다.

DMGUARD는 각 Physical page의 Lifecycle을 State machine으로 모델링하고, Page allocation, Mapping, Unmapping, Free 시점에서 Per-page metadata를 업데이트한다. 이를 통해 Page가 아직 Mapping된 상태에서 Free되는 Free-before-unmap과, 이미 Free된 Page reference를 다시 Mapping하는 Map-after-free를 탐지한다.

핵심 메커니즘은 두 가지이다. 첫째, MapCount를 이용해서 해당 Physical page가 User-space page table에 몇 번 Mapping되어 있는지를 추적한다. 둘째, PageTag와 RefTag를 이용해서 Page reference가 현재 Allocation cycle에 속한 유효한 Reference인지 확인한다. 이를 통해 CPU page table뿐 아니라 GPU page table, IOMMU page table처럼 여러 Translation domain에 걸친 Dangling mapping을 탐지하고 차단한다.

== Motivation & Importance ==
현대 Kernel security mechanism들은 대부분 Page table의 정확성을 전제로 한다. 예를 들어 ASLR, CFI, DFI, PAC, MTE, MPK와 같은 방어 기법은 Virtual address가 올바른 Physical page로 Translation된다는 가정 위에서 동작한다. 그러나 Page table에 Dangling mapping이 남아 있으면, 공격자는 기존 방어 기법을 우회해서 Freed page 또는 Reallocated page를 User space에서 접근할 수 있다.

특히 Mobile/Embedded system에서는 CPU와 Integrated GPU가 같은 Physical memory를 공유하면서도 서로 다른 Page table을 사용한다. 예를 들어 Mali GPU나 Adreno GPU는 System DRAM을 공유하지만, GPU driver가 별도의 Page allocator와 GPU page table을 관리한다. 이 과정에서 CPU page table, GPU page table, IOMMU page table이 같은 Physical page를 가리킬 수 있다. Zero-copy memory sharing은 성능상 이점이 있지만, Page allocation과 Mapping/Unmapping의 책임이 여러 Subsystem에 분산되기 때문에 Page lifecycle 관리가 복잡해진다.

기존의 CONFIG_PAGE_TABLE_CHECK(ptcheck)는 CPU-side Page table mapping을 중심으로 관리한다. 따라서 GPU allocator가 할당한 Page가 CPU page table에 Mapping되거나, GPU page table/IOMMU page table에 Mapping되는 경우를 충분히 추적하지 못한다. 또한 ptcheck는 Mapping status는 일부 추적하지만 Allocation status를 추적하지 않기 때문에 Map-after-free를 근본적으로 탐지하기 어렵다.

또한 Page management는 Performance-sensitive path에 있다. Page fault, mmap, munmap, fork, GPU memory management 등은 자주 호출되기 때문에, 단순히 Global lock을 걸거나 Heavy synchronization을 추가하는 방식은 실용적이지 않다. 따라서 이 논문의 Motivation은 Heterogeneous translation domain 전체에서 Page lifecycle을 정확히 추적하면서도 낮은 Overhead를 유지하는 것이다.

== Challenge ==
* '''Systems with multiple different page tables distribute lifecycle management across independent subsystems'''
** 현대 시스템에서는 CPU, GPU, IOMMU 등이 각각 독립적인 Page table 또는 Translation structure를 가질 수 있다.
** Page allocation은 GPU driver가 수행하고, CPU mapping은 Kernel이 수행하며, IOMMU mapping은 별도의 Subsystem이 수행할 수 있다.
** 이처럼 Page lifecycle이 여러 Subsystem에 분산되어 있기 때문에, 어떤 Physical page가 아직 Mapping되어 있는지 전역적으로 판단하기 어렵다.

* '''Page management resides in a performance-sensitive path where synchronization overhead across different subsystems is expensive'''
** Page table operation은 Page fault, fork, mmap/munmap, GPU memory operation 등 성능에 민감한 경로에서 수행된다.
** 따라서 CPU/GPU/IOMMU 사이의 모든 Mapping 상태를 Lock 기반으로 동기화하면 Runtime overhead가 커질 수 있다.
** DMGUARD는 이를 해결하기 위해 Lockless design을 사용하고, Atomic operation과 Memory barrier를 통해 Concurrent Map/Free race를 막는다.

* '''The kernel provides low-level mapping interfaces that bypass standard page management mechanisms'''
** Linux kernel은 VM_PFNMAP과 같이 Page descriptor나 Reference counting을 우회하는 Low-level PFN-based mapping interface를 제공한다.
** 이러한 Interface는 MMIO처럼 일반 Buddy allocator가 관리하지 않는 Memory를 Mapping하기 위해 필요하지만, Device driver가 Buddy allocator에서 온 Page에도 이를 사용하면 Reference count가 제대로 갱신되지 않을 수 있다.
** 결과적으로 Page가 아직 Mapping되어 있음에도 Free되거나, 이미 Free된 PFN을 다시 Mapping하는 문제가 생길 수 있다.

* '''Correctness under concurrency is non-trivial'''
** Map과 Free가 서로 다른 CPU core 또는 Subsystem에서 동시에 발생할 수 있다.
** Weak memory model을 가진 ARM/RISC-V에서는 Instruction reordering 때문에 MapCount update와 PageTag check의 순서가 뒤바뀔 수 있다.
** DMGUARD는 LKMM(Linux Kernel Memory Model)을 기준으로 Memory barrier와 Atomic operation을 배치하여, Concurrent Map-Free 상황에서도 Dangling mapping이 생기지 않도록 설계한다.

== Background ==
; Physical-page use-after-free
* Traditional heap use-after-free는 Virtual address space 안의 Pointer가 이미 Free된 Object를 가리키는 문제이다.
* Physical-page use-after-free는 Page table entry가 이미 Free되었거나 다른 목적으로 Reallocation된 Physical page를 계속 가리키는 문제이다.
* 따라서 문제의 위치가 Object allocator가 아니라 Address translation layer이다.
* 공격자는 Page spraying을 통해 Freed physical page가 Attacker-controlled content로 재할당되도록 유도할 수 있다.
* 그 결과 User process가 Dangling mapping을 통해 Kernel page table, Credential structure 등 민감한 Physical memory를 접근할 수 있다.

; Dangling mapping
* Dangling mapping은 Page table entry가 이미 Free된 Physical page를 계속 가리키는 상태이다.
* 이 상태에서 Processor가 해당 Virtual address에 접근하면, 실제로는 Free되었거나 다른 용도로 재사용된 Physical page에 접근하게 된다.
* 논문은 Dangling mapping을 Physical-page UAF의 직접적인 원인으로 본다.

; Free-before-unmap
* Page가 Page table에 아직 Mapping되어 있는데 먼저 Free되는 경우이다.
* 정상적인 순서는 Unmap(P) 이후 Free(P)이다.
* 하지만 Free(P)가 Unmap(P)보다 먼저 발생하면 기존 Page table entry가 Freed page를 계속 가리키게 된다.
* DMGUARD는 Free 시점에 MapCount가 0인지 확인하여 이를 탐지한다.

; Map-after-free
* 이미 Free된 Page reference를 사용해서 Mapping을 만드는 경우이다.
* 예를 들어 Old struct page* 또는 Old PFN이 남아 있고, 이 Reference를 이용해 다시 PTE를 만들면 Freed page에 대한 Mapping이 생성될 수 있다.
* DMGUARD는 PageTag와 RefTag를 비교하여 Reference가 현재 Allocation cycle에 속하는지 확인한다.

; CVE-2025-0072 사례
* 논문은 Mali GPU driver의 CVE-2025-0072를 대표적인 Real-world example로 제시한다.
* Mali driver는 mmap() 과정에서 GPU command buffer를 위한 Virtual address를 예약하고, GPU page allocator에서 Page를 할당한 뒤 queue->phys에 Physical address를 저장한다.
* 실제 CPU mapping은 Lazy하게 Page fault 시점에 생성된다.
* 취약한 경로에서는 두 번째 mmap()이 queue->phys를 새 Page로 덮어쓴 뒤, 첫 번째 mmap region을 munmap할 때 실제 Mapping은 제거되지 않지만 queue->phys가 가리키는 두 번째 Page가 Free된다.
* 그 결과 VA2 -> PA2 Mapping이 CPU page table에 남아 있는데 PA2가 Free되어 Free-before-unmap 취약점이 발생한다.

== Main Idea ==
DMGUARD의 핵심 아이디어는 Physical page의 Lifecycle을 State machine으로 표현하고, 각 State transition이 올바른 순서로 일어나는지 Runtime에 검사하는 것이다.

Page는 크게 다음 상태를 가진다.

* '''Freed-Unmapped'''
** Page allocator의 Free pool에 있는 상태이다.
** 어떤 Page table에도 Mapping되어 있지 않다.
** Virtual address를 통해 접근할 수 없다.

* '''Allocated-Unmapped'''
** Page allocator에서 할당되었지만 아직 어떤 User-space page table에도 Mapping되지 않은 상태이다.
** Kernel은 struct page* 또는 PFN을 통해 이 Page를 참조할 수 있지만, User process는 아직 접근할 수 없다.

* '''Allocated-Mapped'''
** Page가 할당되어 있고, 하나 이상의 Page table entry가 이 Physical page를 가리키는 상태이다.
** CPU page table, GPU page table, IOMMU page table 등 여러 Translation domain에서 동시에 Mapping될 수 있다.

정상적인 Lifecycle은 다음과 같다.

* Freed-Unmapped -> Allocated-Unmapped
** Alloc(P)에 의해 Page가 할당된다.

* Allocated-Unmapped -> Allocated-Mapped
** Map(P)에 의해 Page table entry가 생성된다.

* Allocated-Mapped -> Allocated-Unmapped
** Unmap(P)에 의해 모든 Mapping이 제거된다.

* Allocated-Unmapped -> Freed-Unmapped
** Free(P)에 의해 Page가 allocator로 반환된다.

DMGUARD는 이 State machine에서 잘못된 Transition을 탐지한다.

* '''Free-before-unmap'''
** Allocated-Mapped 상태의 Page가 Unmap 없이 Free되는 경우이다.
** 즉, Allocated-Mapped -> Freed-Unmapped로 바로 가는 잘못된 Transition이다.
** DMGUARD는 Free(P) 시점에 MapCount(P) != 0이면 이를 Free-before-unmap으로 판단한다.

* '''Map-after-free'''
** Freed-Unmapped 상태의 Page reference를 이용해서 Mapping을 만드는 경우이다.
** 즉, Freed-Unmapped -> Allocated-Mapped처럼 Allocation 없이 Mapping이 만들어지는 잘못된 Transition이다.
** DMGUARD는 Map(P) 시점에 PageTag(P)와 RefTag(P)가 다르면 이를 Map-after-free로 판단한다.

이를 위해 DMGUARD는 두 종류의 Metadata를 사용한다.

* '''MapCount'''
** Physical page마다 유지되는 Counter이다.
** User-space Mapping이 생성될 때 증가하고, Mapping이 제거될 때 감소한다.
** CPU page table뿐 아니라 GPU page table, IOMMU page table의 Mapping도 함께 반영한다.
** Page를 Free할 때 MapCount가 0이 아니면 아직 Dangling mapping이 존재할 수 있으므로 Free-before-unmap으로 탐지한다.

* '''PageTag / RefTag'''
** PageTag는 Physical page의 현재 Allocation cycle을 나타내는 Per-page tag이다.
** RefTag는 struct page* 또는 PFN 같은 Page reference에 붙는 Tag이다.
** Page가 Allocate될 때 PageTag를 새 Random value로 갱신하고, 그 Page를 가리키는 Reference에는 같은 RefTag를 부여한다.
** Page가 Free되면 PageTag를 다시 갱신하여 Old reference를 무효화한다.
** Mapping을 만들 때 PageTag와 RefTag가 일치하지 않으면, Old reference를 통한 Map-after-free로 판단한다.

즉, DMGUARD는 Mapping status는 MapCount로 추적하고, Allocation status는 PageTag/RefTag로 추적한다. 이 두 정보를 결합하여 “Freed page가 Mapping되거나, Mapped page가 Free되는 상태”를 Runtime에 막는다.

== Design ==
DMGUARD의 설계는 크게 State machine, Twofold state tracking, Lockless integration, Kernel/GPU driver instrumentation으로 구성된다.

=== Page Lifecycle State Machine ===
DMGUARD는 각 Physical page의 상태를 Allocation status와 Mapping status의 조합으로 본다.

* Allocation status
** Freed
** Allocated

* Mapping status
** Unmapped
** Mapped

이 조합을 통해 Page는 Freed-Unmapped, Allocated-Unmapped, Allocated-Mapped 상태를 가진다. Freed-Mapped 상태는 존재해서는 안 되는 Invalid state이다. Physical-page UAF는 결국 Freed-Mapped 상태가 만들어지는 문제로 볼 수 있다.

DMGUARD의 목표는 Runtime에 Page operation을 감시하여 Freed-Mapped 상태가 생기기 전에 중단하는 것이다.

=== Tracking Mapping Status with MapCount ===
MapCount는 Page가 몇 개의 User-space Mapping을 가지고 있는지를 나타낸다.

* Map(P)
** Page가 User-space page table에 Mapping되면 MapCount(P)를 증가시킨다.

* Unmap(P)
** Page의 Mapping이 제거되면 MapCount(P)를 감소시킨다.

* Free(P)
** Page를 Free하기 전에 MapCount(P)를 확인한다.
** MapCount(P)가 0이면 안전하게 Free할 수 있다.
** MapCount(P)가 0보다 크면 아직 Mapping이 남아 있으므로 Free-before-unmap으로 탐지한다.

이 방식은 Reference counting과 유사하지만, 일반적인 Object reference count가 아니라 Page table mapping의 개수를 추적한다는 점이 중요하다. 또한 CPU page table뿐 아니라 GPU/IOMMU page table의 Mapping까지 포함한다.

=== Tracking Allocation Status with PageTag / RefTag ===
MapCount만으로는 Map-after-free를 막을 수 없다. 이미 Free된 Page reference가 남아 있고, 이를 이용해 Mapping을 만들면 MapCount는 새로 증가할 수 있기 때문이다. 따라서 DMGUARD는 Allocation cycle을 구분하기 위해 Tagging을 사용한다.

* PageTag
** Physical page의 Per-page metadata에 저장된다.
** 현재 Allocation cycle을 나타낸다.
** Page가 Allocate되거나 Free될 때 새 Random tag로 갱신된다.

* RefTag
** struct page* 또는 PFN 같은 Page reference에 저장된다.
** 해당 Reference가 만들어졌을 때의 PageTag를 보존한다.
** ARM64에서는 TBI(Top Byte Ignore)를 활용하여 struct page*의 Top byte에 RefTag를 저장한다.

Mapping을 만들 때 DMGUARD는 PageTag(P)와 RefTag(P)를 비교한다.

* PageTag(P) == RefTag(P)
** Reference가 현재 Allocation cycle의 Page를 가리키므로 Mapping을 허용한다.

* PageTag(P) != RefTag(P)
** Reference가 Old allocation cycle의 Stale reference이므로 Map-after-free로 탐지한다.

논문에서는 8-bit Tag를 사용한다. 하나의 값은 Default tag로 예약하고, 나머지 값을 Random하게 사용한다. 이 때문에 일반적인 Reallocation 이후 Map-after-free에는 1/255 확률의 Tag collision 가능성이 있다. 그러나 Free 직후 바로 Mapping하는 Immediate map-after-free의 경우 이전 Tag와 다른 값을 강제하여 100% 탐지한다고 설명한다.

=== Lockless Integration ===
Page management path는 매우 성능에 민감하므로 DMGUARD는 Global lock을 사용하지 않는다. 대신 Atomic operation과 Memory barrier를 사용하여 Concurrent operation의 Correctness를 보장한다.

DMGUARD의 핵심 Operation은 다음과 같다.

* dmcAlloc()
** 기존 Alloc()을 호출해 Page를 할당한다.
** PageTag를 새 값으로 갱신한다.
** 반환되는 struct page* 또는 PFN에 같은 RefTag를 설정한다.

* dmcMap()
** MapCount를 증가시킨다.
** Memory barrier를 수행한다.
** PageTag와 RefTag를 비교한다.
** Tag가 일치하면 실제 Map(P)를 수행한다.
** Tag가 다르면 Map-after-free로 판단한다.

* dmcUnmap()
** 실제 Unmap(P)를 수행한다.
** MapCount를 감소시킨다.
** MapCount가 음수가 되면 잘못된 Unmap으로 판단한다.

* dmcFree()
** PageTag를 먼저 갱신하여 기존 Reference를 무효화한다.
** Memory barrier를 수행한다.
** MapCount가 0인지 확인한다.
** MapCount가 0이면 실제 Free(P)를 수행한다.
** MapCount가 0보다 크면 Free-before-unmap으로 판단한다.

이 순서는 Concurrent Map-Free race를 막기 위해 중요하다. 예를 들어 dmcMap에서 MapCount 증가가 PageTag check보다 뒤로 Reorder되면, 동시에 수행되는 dmcFree가 MapCount를 0으로 보고 Page를 Free할 수 있다. DMGUARD는 Memory barrier를 통해 이러한 Reordering을 막는다.

논문은 이 Lockless design이 x86, ARM, RISC-V 등 Linux가 지원하는 Architecture의 Memory model에서도 안전하게 동작하는지 LKMM(Linux Kernel Memory Model) Litmus test로 검증했다고 주장한다.

=== Integration with Kernel and GPU Drivers ===
DMGUARD는 Linux kernel과 GPU driver의 Page operation interface에 통합된다.

* Linux kernel
** Map: set_pte_at
** Unmap: ptep_get_and_clear, ptep_get_and_clear_full
** Alloc: post_alloc_hook
** Free: free_pages_prepare

* Mali GPU driver
** Map: entry_set_ate, entry_set_pte
** Unmap: entries_invalidate
** Alloc: kbase_mem_pool_alloc, kbase_mem_pool_alloc_pages 등
** Free: kbase_mem_pool_free, kbase_mem_pool_free_pages 등

* Adreno GPU driver
** Map: __arm_lpae_set_pte, arm_lpae_init_pte
** Unmap: __arm_lpae_set_pte, arm_lpae_init_pte, __arm_lpae_free_pgtable, __arm_lpae_unmap
** Alloc: kgsl_pool_alloc_page
** Free: kgsl_pool_free_page

구현 규모는 Core DMGUARD가 약 400 LOC, Tagged PFN macro가 약 560 LOC, Mali GPU driver 변경이 약 90 LOC, Adreno GPU driver 변경이 약 80 LOC이다. 이는 DMGUARD가 기존 Kernel 구조를 크게 바꾸기보다는 주요 Page lifecycle operation에 작은 Instrumentation을 추가하는 방식임을 보여준다.

=== Comparison with CONFIG_PAGE_TABLE_CHECK ===
CONFIG_PAGE_TABLE_CHECK는 CPU page table의 Mapping status를 일부 추적할 수 있지만, DMGUARD와 비교하면 다음 한계가 있다.

* CPU page allocator와 CPU page table 사이의 Free-before-unmap은 탐지할 수 있다.
* 그러나 CPU page와 Device mapping, Device page와 CPU mapping, Device page와 Device mapping은 충분히 다루지 못한다.
* Allocation status를 추적하지 않으므로 Map-after-free를 탐지하지 못한다.
* Concurrent Map-Free race에 대한 Synchronization이 부족하여 TOCTOU-style vulnerability가 가능하다.

반면 DMGUARD는 Allocation status와 Mapping status를 모두 추적하고, CPU/GPU/IOMMU context를 함께 고려하며, Lockless synchronization으로 Concurrent race까지 다루려고 한다.

== Evaluation ==
논문은 DMGUARD를 Security, Performance, Robustness 측면에서 평가하였다.

=== Evaluation Setup ===
DMGUARD는 세 가지 환경에서 평가되었다.

* QEMU AArch64 환경
** Linux kernel v6.6.0
** Mali GPU driver
** Dummy GPU device(MALI_NO_MALI)

* Pixel 8
** Android 15
** Linux kernel v6.1.99
** ARMv8.5 CPU
** Mali GPU

* Pixel 3 XL
** Android 12
** Linux kernel v4.9.270
** ARMv8.2 CPU
** Qualcomm Adreno GPU

비교 대상은 다음과 같다.

* Baseline
** Dangling mapping mitigation이 없는 기본 Kernel configuration

* ptcheck
** Linux CONFIG_PAGE_TABLE_CHECK

* DMGUARD
** 본 논문에서 제안한 Runtime mitigation

=== Security Evaluation ===
Security evaluation에서는 총 24개의 Physical-page use-after-free vulnerability를 대상으로 DMGUARD와 ptcheck를 비교하였다.

* 19개는 Real-world vulnerability이다.
** Linux kernel
** Mali GPU driver
** Adreno GPU driver
** PowerVR GPU driver

* 5개는 Synthetic vulnerability이다.
** Map-after-free case
** Race condition 기반 Free-before-unmap case

논문은 이 중 15개를 실제 환경에서 Empirical evaluation하였다. 나머지 9개는 Hardware 부족, GPU driver virtual environment 미지원, Kernel/driver version mismatch 등의 이유로 직접 재현하지 못하고 Theoretical analysis를 수행하였다.

Empirical evaluation 결과는 다음과 같다.

* DMGUARD
** 15개 중 15개 모두 탐지하였다.

* ptcheck
** 15개 중 5개만 탐지하였다.

ptcheck가 탐지한 경우는 주로 CPU page가 CPU page table에 Mapping된 Free-before-unmap case이다. 반면 GPU page allocator, GPU page table, IOMMU page table이 관련된 경우나 Map-after-free case는 탐지하지 못했다.

Theoretical analysis 대상 9개에서도 논문은 DMGUARD가 설계상 모두 탐지 가능하다고 분석하였다. 이 9개는 모두 GPU page가 GPU 또는 IOMMU context에 Mapping되는 형태라 ptcheck는 탐지하지 못한다고 설명한다.

=== False Positives and False Negatives ===
논문은 Performance evaluation과 Robustness test 중 DMGUARD가 False alarm을 발생시키지 않았다고 보고한다. 또한 Known vulnerability test에서 모든 Empirical case를 탐지했기 때문에 실험상 False negative도 관찰되지 않았다고 한다.

그러나 설계상 False positive와 False negative 가능성은 존재한다.

* MapCount 관련 False positive
** 실제로는 Unmap되었지만 MapCount가 감소하지 않으면, Free 시점에 Dangling mapping으로 잘못 판단할 수 있다.

* MapCount 관련 False negative
** 실제로 Mapping되었지만 MapCount가 증가하지 않으면, Free-before-unmap을 놓칠 수 있다.

* PageTag 관련 False negative
** Mapping 시점에 Tag check가 빠지면 Map-after-free를 놓칠 수 있다.
** Page가 Free/Reallocation될 때 Tag가 갱신되지 않으면 Stale reference를 탐지하지 못할 수 있다.
** 8-bit Tag collision이 발생하면 Old reference의 RefTag와 New PageTag가 우연히 일치할 수 있다.

* Instrumentation coverage 문제
** Driver가 Standard API를 거치지 않고 Page table을 직접 조작하면 DMGUARD가 상태 변화를 추적하지 못할 수 있다.

=== Finding Unknown Vulnerabilities ===
논문은 Pixel 8에서 DMGUARD를 활성화한 상태로 Syzkaller를 실행하였다. 이 과정에서 Upstream Mali GPU driver의 Dangling mapping issue를 발견하였다.

해당 Issue는 Process가 GPU-allocated region에 대해 명시적으로 munmap()을 호출하지 않고 종료될 때, Physical page가 Free된 뒤에도 GPU page table entry가 남는 문제였다. 연구진은 이를 ARM에 보고했고, ARM은 Dangling mapping은 존재하지만 GPU task가 이미 종료된 뒤 생성되기 때문에 Exploitable하지 않다고 판단하였다.

이 결과는 DMGUARD가 Known vulnerability를 막는 방어 기법일 뿐 아니라, 실제 Kernel/Driver의 Page lifecycle bug를 찾는 Detection tool로도 사용할 수 있음을 보여준다.

=== Performance Evaluation ===
Performance evaluation은 Pixel 8에서 수행되었다.

; LMBench
* DMGUARD의 Geomean overhead는 2.96%이다.
* ptcheck의 Geomean overhead는 1.99%이다.
* Fork 계열 Benchmark에서 상대적으로 높은 Overhead가 나타났다.
** Process fork+exit: 10.05%
** Process fork+execve: 12.58%
** Process fork+/bin/sh -c: 4.81%
* 이는 Fork 과정에서 많은 Page table entry를 설정하기 때문이라고 설명한다.

; Phoronix Test Suite
* DMGUARD의 Geomean overhead는 1.26%이다.
* Workload는 OpenSSL, PyBench, Apache, Nginx, Redis, Linux unpack/build 등을 포함한다.
* 실사용 Application workload에서는 Overhead가 낮은 편이다.

; Geekbench 6
* CPU Single-core
** Baseline: 1629.45
** DMGUARD: 1622.27(-0.44%)

* CPU Multi-core
** Baseline: 4605.09
** DMGUARD: 4545.73(-1.29%)

* GPU OpenCL
** Baseline: 7691.36
** DMGUARD: 7674.18(-0.22%)

GPU workload에서도 Overhead가 낮다는 점은 DMGUARD가 GPU page table까지 추적하면서도 Runtime cost가 크지 않음을 보여준다. CPU Multi-core overhead는 Memory barrier로 인한 영향이 상대적으로 큰 것으로 해석된다.

; Kernel boot time
* Baseline: 0.510s
* DMGUARD: 0.528s(+3.53%)

; Application cold-start latency
* AOSP system app 10개에서 Geomean overhead는 3.10%이다.
* 최대 Overhead도 수 ms~수십 ms 수준으로 보고된다.
* 논문은 Boot time과 Cold-start overhead는 One-time cost이므로 지속적인 Runtime performance에는 큰 영향을 주지 않는다고 설명한다.

; Memory overhead
* DMGUARD는 ptcheck 대비 Page당 8 bytes의 추가 Metadata를 사용한다.
* Pixel 8 기준 Baseline 대비 Memory overhead는 약 1.05%이다.
* 논문은 전체 7,739,468 KB memory에서 약 50 MB 수준의 추가 사용량으로, 현대 시스템에서는 작은 비용이라고 주장한다.

=== Robustness Evaluation ===
DMGUARD는 Linux kernel의 Page management path를 수정하므로 Stability가 중요하다. 논문은 Pixel 8에서 Android Vendor Test Suite(VTS) kernel test plan을 10회 반복 실행하였다.

* Kselftest와 Linux Test Project(LTP)를 포함한 vts-kernel test를 수행하였다.
* 10회 반복 실행 중 Crash나 Hang이 발생하지 않았다.
* 모든 Test가 통과하였다.
* Performance evaluation 중에도 Unexpected error가 발생하지 않았다.

이를 통해 논문은 DMGUARD가 실제 Android kernel에서 Stability를 해치지 않는다고 주장한다.

== [[Conculsion]] ==
우선 메모리 Vulnerability domain을 새로 찾았다고 나오지만, 사실 pte check에서 체크하고 있던 잘 알려진 문제 였다는 점, 그리고 전반적으로 Design이 pte check의 확장 (이기종 시스템으로의)로 보인다는 점이 주된 한계로 들수 있다. 그러나 이기종 시스템에서 발생할 수 있는 UAF문제를 시기 적절하고 & 최초로 상정하였다는 점에서 Motivation이 납득 가능하고, Mechanisms측면에서는 이 적절한 Motivation을 효율적으로 풀 수 있는 최적의 방법이라는 점이 이 논문의 장점이라고 생각한다.

DMGUARD: Safeguarding Kernels from Physical-Page Use-After-Free Vulnerabilities

2026-04-28T12:29:16Z

Ahn9807: 새 문서: 분류:USENIX Security {{Paper|title=DMGUARD: Safeguarding Kernels from Physical-Page Use-After-Free Vulnerabilities|author=Juhee Kim, Jaeyoung Chung, Dae R. Jeong, Byoungyoung Lee|year=2026|conference=USENIX Security}} == 개요 == Physical-page use after free라는 Page table entry에서 일어나는 Use after free를 새로운 Vulnerability도메인으로 정의하고, 이를 막을 수 있는 Reference counting방식의 기법을 제시하였다. == Motivation & Impo...

OS-SANITIZER: System-wide Latent Defect Inference in Linux Applications

2026-04-27T11:48:52Z

Ahn9807:

[[분류:USENIX Security]]

{{Paper|title=OS-SANITIZER: System-wide Latent Defect Inference in Linux Applications|author=Addison Crump addison.crump@cispa.de CISPA Sahil Sihag sahil.sihag@cispa.de CISPA Florian Bauckholt florian.bauckholt@cispa.de CISPA Keno Hassler keno.hassler@cispa.de CISPA Thorsten Holz thorsten.holz@mpi-sp.org MPI-SP|year=2026|conference=USENIX Security}}

== 개요 ==
[[eBPF]]를 활용하여 커널 및 애플리케이션의 런타임 동작을 관찰하고, 해당 동작이 실제 failure로 이어지기 전에 잠재적인 defect가 될 수 있는지를 추론하는 Framework를 제안하였다. 즉, 기존 sanitizer가 주로 실제 fault나 failure가 발생한 이후 이를 탐지하는 데 초점을 맞추었다면, 본 논문은 정상적으로 실행되는 것처럼 보이는 런타임 동작에서도 향후 보안 취약점이나 correctness 문제로 이어질 수 있는 패턴을 탐지하고자 한다.

== Motivation & Importance ==
기존의 static analyzer는 정적 분석 시점에 얻을 수 있는 정보를 바탕으로 버그를 찾는다. 이와 유사하게, 본 논문은 런타임에만 알 수 있는 정보들을 활용하여 defect를 추론하는 '''Dynamic Defect Inference'''가 가능하다고 주장한다.

특히 많은 결함은 코드 자체만으로는 명확히 드러나지 않고, 실제 실행 환경, 권한, 파일 시스템 상태, path traversal 과정, multi-threaded access, library usage pattern 등에 따라 문제가 된다. 따라서 런타임 context를 관찰할 수 있다면, 기존 static analysis나 sanitizer가 놓치는 잠재적 결함을 찾을 수 있다.

본 논문은 eBPF가 이러한 Dynamic Defect Inference를 수행하기에 적합한 기반임을 보이고자 한다. eBPF는 커널 내부 및 user-space function entry/exit에 hook을 삽입할 수 있고, BPF map을 통해 여러 이벤트 사이의 context를 축적할 수 있기 때문이다. 이를 통해 eBPF가 단순한 tracing이나 monitoring 도구를 넘어, runtime information을 기반으로 defect를 추론하는 testing/inference framework로 사용될 수 있음을 보인다.

== Challenge ==
* '''Benign execution에서 defect를 추론해야 한다.'''
** 실제 crash나 fault가 발생한 것이 아니므로, 관찰되는 동작이 진짜 defect인지 단순한 code smell인지 구분하기 어렵다.
** 따라서 heuristic 기반의 판단이 필요하며, false positive를 완전히 제거하기 어렵다.

* '''Runtime context를 정확히 수집해야 한다.'''
** 일부 defect는 단일 system call이나 library call만으로 판단할 수 없다.
** 예를 들어 TOCTOU나 path traversal 문제는 access, open, path resolution, permission check 등 여러 이벤트를 종합해야 한다.

* '''System-wide monitoring의 overhead를 낮춰야 한다.'''
** OS-SANITIZER는 특정 프로그램 하나만 분석하는 것이 아니라, 시스템 전체에서 발생하는 이벤트를 장기간 관찰하는 것을 목표로 한다.
** 따라서 tracing overhead와 report volume을 낮게 유지해야 한다.

* '''eBPF의 제한 안에서 inference logic을 구현해야 한다.'''
** eBPF verifier는 bounded execution과 제한된 memory access를 요구한다.
** 복잡한 analysis logic이나 hot user-space function monitoring은 높은 overhead 또는 verifier 제약으로 인해 실용적이지 않을 수 있다.

== Background ==
; 소프트웨어 테스팅의 단계
* Software testing은 다음 5단계로 나눌 수 있다: Errors, Code smells, Defects, Faults, and Failures.
* Error: Developer나 User에 의한 실수
* Code smell: 당장 failure를 만들지는 않지만, 향후 defect로 이어질 수 있는 위험한 패턴
* Defect: Program에 잘못된 영향을 끼칠 수 있는 에러
* Fault: Defect가 실제 program state에 잘못된 영향을 끼친 경우
* Failure: Fault가 외부에서 관찰 가능한 잘못된 동작이나 safety guarantee 위반으로 드러난 경우

; Dynamic Defect Inference에 대한 Related Work
: '''Program-Level Inference''': Compiler의 도움을 받아 dynamic testing을 수행하는 방식이다. 대표적으로 AddressSanitizer, MemorySanitizer 등이 있다. 이러한 방식은 강력하지만 recompilation이 필요하고, 종종 performance overhead가 커서 production 환경보다는 testing 환경에서 주로 사용된다는 한계가 있다.

: '''Interprocedural Inference''': Runtime에서 procedure 간 information flow를 추적하여 버그를 탐지하는 방식이다. Library call이나 network protocol의 사용 순서를 관찰하여 protocol violation을 찾는 방식으로 이해할 수 있다.

: '''OS-Integrated Inference''': SELinux와 같이 OS의 기능을 활용하여 이상 동작을 감지하거나 policy violation을 탐지하는 방식이다. 다만 이러한 방식은 일반적으로 security policy enforcement에 가깝고, 다양한 defect class를 추론하는 데에는 제한적일 수 있다.

: '''Runtime Predictive Analysis''': Runtime에서 얻을 수 있는 정보를 바탕으로 향후 발생할 수 있는 오류를 예측하거나 탐지하는 방식이다. 대표적으로 ThreadSanitizer와 같은 race detection 기법이 있다.

== Main Idea ==
eBPF를 통해 kernel 및 user-space program의 런타임 동작을 수집하고, BPF map에 context를 축적한 뒤, heuristic 기반의 검증기를 통해 해당 동작이 잠재적 defect인지 판단한다.

핵심 아이디어는 static analysis의 code smell 개념을 runtime으로 가져오는 것이다. 즉, 실제 failure가 발생하지 않았더라도, 런타임에서 관찰된 실행 패턴이 특정 조건에서는 취약점이나 correctness 문제로 이어질 수 있다면 이를 report한다.

== Design ==
[[파일:USENIX_Security_2026_OS-SANITIZER_Figure_2.png|링크=파일:USENIX_Security_2026_OS-SANITIZER_Figure_2.png|오른쪽|프레임없음]]

OS-SANITIZER는 eBPF program을 kernel function 또는 user-space function의 entry/exit point에 부착하여 runtime event를 수집한다. 각 eBPF program은 관찰한 정보를 BPF map에 저장하고, 이후 관련 operation이 끝났을 때 map에 축적된 context를 바탕으로 heuristic 검사를 수행한다.

각 eBPF pass는 대체로 다음 네 가지 역할을 가진다.

* Suspicious code region report
* Context enrichment
* Stale context cleanup
* Known false positive filtering

이를 통해 논문은 다음과 같은 pass들을 구현하였다.

'''1. Fault-Prone System Interactions'''

* access: access/stat 이후 open 사용으로 인한 TOCTOU 가능성 탐지
* fixed_mmap: overlapping fixed mmap 탐지
* rwx_mem: readable/writable/executable memory allocation 탐지

'''2. Fault-Prone Library Usage'''

* filep_unlocked: multi-thread 환경에서 unsynchronized FILE* access 탐지
* gets: unsafe gets usage 탐지
* snprintf: snprintf 관련 information leak 또는 footgun 탐지
* printf_mut: mutable string을 format string으로 사용하는 경우 탐지
* system_mut: mutable command string을 system()으로 실행하는 경우 탐지
* system_abs: absolute path 없이 system command를 실행하는 경우 탐지

'''3. Environmental Defects'''

* sec_file_open: unsafe file permission 또는 unsafe open pattern 탐지
* intercept_path: attacker가 path traversal을 가로챌 수 있는 상황 탐지

'''4. Unsafe Memory-Manipulating Function Usage'''

* memcpy
* strcpy
* strncpy
* sprintf

== Result ==
논문은 microbenchmark, SPEC CPU 2017, BrowserBench Speedometer, reproduction study, long-term desktop deployment를 통해 OS-SANITIZER를 평가하였다.

중요한 결과는 다음과 같다.

* System interaction 중심의 pass들은 대체로 낮은 overhead로 동작한다.
* 반면 memcpy, strcpy, strncpy, sprintf와 같은 hot user-space function을 uprobe로 추적하는 pass들은 overhead가 커서 practical deployment에는 부적합하다.
* 기존 CUU(check-use-use) TOCTOU detection model을 OS-SANITIZER pass로 재구현하여, eBPF 기반 framework가 기존 kernel modification 기반 testing logic을 더 쉽게 표현할 수 있음을 보였다.
* 장기 사용 실험에서 Golang, Docker, Kubernetes, runc, dotconf, Firefox, Chrome, Rust, GDB, NetworkManager 등 실제 software stack에서 여러 latent defect를 발견하였다.

== Contribution ==
* '''Dynamic Defect Inference라는 문제 설정을 제시하였다.'''
** 기존 dynamic testing이 실제 fault나 failure를 찾는 데 집중했다면, 본 논문은 benign execution에서 defect 가능성을 추론하는 방향을 제시하였다.

* '''eBPF를 testing/inference tool로 활용하였다.'''
** eBPF를 단순 tracing이나 security monitoring이 아니라, runtime context를 축적하고 defect-level report를 생성하는 framework로 사용하였다.

* '''System-wide runtime context를 활용하였다.'''
** user-space function, kernel function, LSM hook 등을 조합하여 단일 프로그램 내부에서는 알기 어려운 실행 환경 정보를 활용하였다.

* '''실제 software에서 latent defect를 발견하였다.'''
** 여러 mature software stack에서 실제 issue를 찾았다는 점이 논문의 실용성을 뒷받침한다.

== Criticize ==
* '''Heuristic 의존성이 크다.'''
** OS-SANITIZER는 실제 failure를 직접 관찰하는 것이 아니라 위험한 pattern을 추론한다.
** 따라서 false positive를 완전히 피하기 어렵고, 어떤 report가 진짜 defect인지 triage cost가 발생한다.

* '''False positive와 coverage를 정량화하기 어렵다.'''
** Code smell 또는 contextual defect는 true positive와 false positive의 경계가 명확하지 않다.
** 논문에서도 false positive rate를 엄밀하게 계산하기보다는 case study 중심으로 효과를 보인다.

* '''Pass 개발의 일반성이 충분히 검증되지는 않았다.'''
** 논문은 여러 pass를 구현했지만, 새로운 domain이나 새로운 defect class에 대해 pass를 얼마나 쉽게 만들 수 있는지는 더 많은 사례가 필요하다.

* '''Hot function monitoring에는 eBPF overhead가 크다.'''
** memcpy, strcpy와 같은 high-frequency function을 uprobe로 추적하면 overhead가 커진다.
** 따라서 OS-SANITIZER가 모든 bug class에 적합한 것은 아니다.

* '''Long-term deployment 평가가 제한적이다.'''
** 실제 desktop 환경에서 유용한 defect를 찾았다는 점은 강하지만, 다양한 production workload에서 report volume이나 triage cost가 어떻게 되는지는 더 평가가 필요하다.

== [[Conclusion]] ==
본 논문의 핵심 의의는 '''Dynamic Defect Inference'''라는 문제를 명확히 제시하고, eBPF를 runtime testing/inference framework로 사용할 수 있음을 보였다는 점이다. 기존 sanitizer나 fuzzer가 실제 fault/failure를 trigger하는 데 집중했다면, OS-SANITIZER는 정상적으로 실행되는 것처럼 보이는 runtime behavior에서도 잠재적 defect를 추론한다.

다만 heuristic에 의존하기 때문에 false positive, coverage, triage cost를 정밀하게 평가하기 어렵다는 한계가 있다. 또한 모든 defect class에 적합한 것은 아니며, 특히 hot user-space function을 추적하는 경우 eBPF overhead가 커질 수 있다. 그럼에도 불구하고, eBPF를 활용해 system-wide runtime context를 수집하고 실제 software에서 latent defect를 발견했다는 점에서 의미 있는 contribution을 가진 논문으로 볼 수 있다.

OS-SANITIZER: System-wide Latent Defect Inference in Linux Applications

2026-04-27T11:48:19Z

Ahn9807:

[[분류:USENIX Security]]

{{Paper|title=OS-SANITIZER: System-wide Latent Defect Inference in Linux Applications|author=Addison Crump addison.crump@cispa.de CISPA Sahil Sihag sahil.sihag@cispa.de CISPA Florian Bauckholt florian.bauckholt@cispa.de CISPA Keno Hassler keno.hassler@cispa.de CISPA Thorsten Holz thorsten.holz@mpi-sp.org MPI-SP|year=2026|conference=USENIX Security}}

== 개요 ==
[[eBPF]]를 활용하여 커널 및 애플리케이션의 런타임 동작을 관찰하고, 해당 동작이 실제 failure로 이어지기 전에 잠재적인 defect가 될 수 있는지를 추론하는 Framework를 제안하였다. 즉, 기존 sanitizer가 주로 실제 fault나 failure가 발생한 이후 이를 탐지하는 데 초점을 맞추었다면, 본 논문은 정상적으로 실행되는 것처럼 보이는 런타임 동작에서도 향후 보안 취약점이나 correctness 문제로 이어질 수 있는 패턴을 탐지하고자 한다.

== Motivation & Importance ==
기존의 static analyzer는 정적 분석 시점에 얻을 수 있는 정보를 바탕으로 버그를 찾는다. 이와 유사하게, 본 논문은 런타임에만 알 수 있는 정보들을 활용하여 defect를 추론하는 '''Dynamic Defect Inference'''가 가능하다고 주장한다.

특히 많은 결함은 코드 자체만으로는 명확히 드러나지 않고, 실제 실행 환경, 권한, 파일 시스템 상태, path traversal 과정, multi-threaded access, library usage pattern 등에 따라 문제가 된다. 따라서 런타임 context를 관찰할 수 있다면, 기존 static analysis나 sanitizer가 놓치는 잠재적 결함을 찾을 수 있다.

본 논문은 eBPF가 이러한 Dynamic Defect Inference를 수행하기에 적합한 기반임을 보이고자 한다. eBPF는 커널 내부 및 user-space function entry/exit에 hook을 삽입할 수 있고, BPF map을 통해 여러 이벤트 사이의 context를 축적할 수 있기 때문이다. 이를 통해 eBPF가 단순한 tracing이나 monitoring 도구를 넘어, runtime information을 기반으로 defect를 추론하는 testing/inference framework로 사용될 수 있음을 보인다.

== Challenge ==
* '''Benign execution에서 defect를 추론해야 한다.'''
** 실제 crash나 fault가 발생한 것이 아니므로, 관찰되는 동작이 진짜 defect인지 단순한 code smell인지 구분하기 어렵다.
** 따라서 heuristic 기반의 판단이 필요하며, false positive를 완전히 제거하기 어렵다.

* '''Runtime context를 정확히 수집해야 한다.'''
** 일부 defect는 단일 system call이나 library call만으로 판단할 수 없다.
** 예를 들어 TOCTOU나 path traversal 문제는 access, open, path resolution, permission check 등 여러 이벤트를 종합해야 한다.

* '''System-wide monitoring의 overhead를 낮춰야 한다.'''
** OS-SANITIZER는 특정 프로그램 하나만 분석하는 것이 아니라, 시스템 전체에서 발생하는 이벤트를 장기간 관찰하는 것을 목표로 한다.
** 따라서 tracing overhead와 report volume을 낮게 유지해야 한다.

* '''eBPF의 제한 안에서 inference logic을 구현해야 한다.'''
** eBPF verifier는 bounded execution과 제한된 memory access를 요구한다.
** 복잡한 analysis logic이나 hot user-space function monitoring은 높은 overhead 또는 verifier 제약으로 인해 실용적이지 않을 수 있다.

== Background ==
; 소프트웨어 테스팅의 단계
* Software testing은 다음 5단계로 나눌 수 있다: Errors, Code smells, Defects, Faults, and Failures.
* Error: Developer나 User에 의한 실수
* Code smell: 당장 failure를 만들지는 않지만, 향후 defect로 이어질 수 있는 위험한 패턴
* Defect: Program에 잘못된 영향을 끼칠 수 있는 에러
* Fault: Defect가 실제 program state에 잘못된 영향을 끼친 경우
* Failure: Fault가 외부에서 관찰 가능한 잘못된 동작이나 safety guarantee 위반으로 드러난 경우

; Dynamic Defect Inference에 대한 Related Work
: '''Program-Level Inference''': Compiler의 도움을 받아 dynamic testing을 수행하는 방식이다. 대표적으로 AddressSanitizer, MemorySanitizer 등이 있다. 이러한 방식은 강력하지만 recompilation이 필요하고, 종종 performance overhead가 커서 production 환경보다는 testing 환경에서 주로 사용된다는 한계가 있다.

: '''Interprocedural Inference''': Runtime에서 procedure 간 information flow를 추적하여 버그를 탐지하는 방식이다. Library call이나 network protocol의 사용 순서를 관찰하여 protocol violation을 찾는 방식으로 이해할 수 있다.

: '''OS-Integrated Inference''': SELinux와 같이 OS의 기능을 활용하여 이상 동작을 감지하거나 policy violation을 탐지하는 방식이다. 다만 이러한 방식은 일반적으로 security policy enforcement에 가깝고, 다양한 defect class를 추론하는 데에는 제한적일 수 있다.

: '''Runtime Predictive Analysis''': Runtime에서 얻을 수 있는 정보를 바탕으로 향후 발생할 수 있는 오류를 예측하거나 탐지하는 방식이다. 대표적으로 ThreadSanitizer와 같은 race detection 기법이 있다.

== Main Idea ==
eBPF를 통해 kernel 및 user-space program의 런타임 동작을 수집하고, BPF map에 context를 축적한 뒤, heuristic 기반의 검증기를 통해 해당 동작이 잠재적 defect인지 판단한다.

핵심 아이디어는 static analysis의 code smell 개념을 runtime으로 가져오는 것이다. 즉, 실제 failure가 발생하지 않았더라도, 런타임에서 관찰된 실행 패턴이 특정 조건에서는 취약점이나 correctness 문제로 이어질 수 있다면 이를 report한다.

== Design ==
[[index.php?title=파일:USENIX_Security_2026_OS-SANITIZER_Figure_2.png|링크=파일:USENIX_Security_2026_OS-SANITIZER_Figure_2.png|오른쪽|프레임없음]]

OS-SANITIZER는 eBPF program을 kernel function 또는 user-space function의 entry/exit point에 부착하여 runtime event를 수집한다. 각 eBPF program은 관찰한 정보를 BPF map에 저장하고, 이후 관련 operation이 끝났을 때 map에 축적된 context를 바탕으로 heuristic 검사를 수행한다.

각 eBPF pass는 대체로 다음 네 가지 역할을 가진다.

* Suspicious code region report
* Context enrichment
* Stale context cleanup
* Known false positive filtering

이를 통해 논문은 다음과 같은 pass들을 구현하였다.

'''1. Fault-Prone System Interactions'''

* access: access/stat 이후 open 사용으로 인한 TOCTOU 가능성 탐지
* fixed_mmap: overlapping fixed mmap 탐지
* rwx_mem: readable/writable/executable memory allocation 탐지

'''2. Fault-Prone Library Usage'''

* filep_unlocked: multi-thread 환경에서 unsynchronized FILE* access 탐지
* gets: unsafe gets usage 탐지
* snprintf: snprintf 관련 information leak 또는 footgun 탐지
* printf_mut: mutable string을 format string으로 사용하는 경우 탐지
* system_mut: mutable command string을 system()으로 실행하는 경우 탐지
* system_abs: absolute path 없이 system command를 실행하는 경우 탐지

'''3. Environmental Defects'''

* sec_file_open: unsafe file permission 또는 unsafe open pattern 탐지
* intercept_path: attacker가 path traversal을 가로챌 수 있는 상황 탐지

'''4. Unsafe Memory-Manipulating Function Usage'''

* memcpy
* strcpy
* strncpy
* sprintf

== Result ==
논문은 microbenchmark, SPEC CPU 2017, BrowserBench Speedometer, reproduction study, long-term desktop deployment를 통해 OS-SANITIZER를 평가하였다.

중요한 결과는 다음과 같다.

* System interaction 중심의 pass들은 대체로 낮은 overhead로 동작한다.
* 반면 memcpy, strcpy, strncpy, sprintf와 같은 hot user-space function을 uprobe로 추적하는 pass들은 overhead가 커서 practical deployment에는 부적합하다.
* 기존 CUU(check-use-use) TOCTOU detection model을 OS-SANITIZER pass로 재구현하여, eBPF 기반 framework가 기존 kernel modification 기반 testing logic을 더 쉽게 표현할 수 있음을 보였다.
* 장기 사용 실험에서 Golang, Docker, Kubernetes, runc, dotconf, Firefox, Chrome, Rust, GDB, NetworkManager 등 실제 software stack에서 여러 latent defect를 발견하였다.

== Contribution ==
* '''Dynamic Defect Inference라는 문제 설정을 제시하였다.'''
** 기존 dynamic testing이 실제 fault나 failure를 찾는 데 집중했다면, 본 논문은 benign execution에서 defect 가능성을 추론하는 방향을 제시하였다.

* '''eBPF를 testing/inference tool로 활용하였다.'''
** eBPF를 단순 tracing이나 security monitoring이 아니라, runtime context를 축적하고 defect-level report를 생성하는 framework로 사용하였다.

* '''System-wide runtime context를 활용하였다.'''
** user-space function, kernel function, LSM hook 등을 조합하여 단일 프로그램 내부에서는 알기 어려운 실행 환경 정보를 활용하였다.

* '''실제 software에서 latent defect를 발견하였다.'''
** 여러 mature software stack에서 실제 issue를 찾았다는 점이 논문의 실용성을 뒷받침한다.

== Criticize ==
* '''Heuristic 의존성이 크다.'''
** OS-SANITIZER는 실제 failure를 직접 관찰하는 것이 아니라 위험한 pattern을 추론한다.
** 따라서 false positive를 완전히 피하기 어렵고, 어떤 report가 진짜 defect인지 triage cost가 발생한다.

* '''False positive와 coverage를 정량화하기 어렵다.'''
** Code smell 또는 contextual defect는 true positive와 false positive의 경계가 명확하지 않다.
** 논문에서도 false positive rate를 엄밀하게 계산하기보다는 case study 중심으로 효과를 보인다.

* '''Pass 개발의 일반성이 충분히 검증되지는 않았다.'''
** 논문은 여러 pass를 구현했지만, 새로운 domain이나 새로운 defect class에 대해 pass를 얼마나 쉽게 만들 수 있는지는 더 많은 사례가 필요하다.

* '''Hot function monitoring에는 eBPF overhead가 크다.'''
** memcpy, strcpy와 같은 high-frequency function을 uprobe로 추적하면 overhead가 커진다.
** 따라서 OS-SANITIZER가 모든 bug class에 적합한 것은 아니다.

* '''Long-term deployment 평가가 제한적이다.'''
** 실제 desktop 환경에서 유용한 defect를 찾았다는 점은 강하지만, 다양한 production workload에서 report volume이나 triage cost가 어떻게 되는지는 더 평가가 필요하다.

== [[Conclusion]] ==
본 논문의 핵심 의의는 '''Dynamic Defect Inference'''라는 문제를 명확히 제시하고, eBPF를 runtime testing/inference framework로 사용할 수 있음을 보였다는 점이다. 기존 sanitizer나 fuzzer가 실제 fault/failure를 trigger하는 데 집중했다면, OS-SANITIZER는 정상적으로 실행되는 것처럼 보이는 runtime behavior에서도 잠재적 defect를 추론한다.

다만 heuristic에 의존하기 때문에 false positive, coverage, triage cost를 정밀하게 평가하기 어렵다는 한계가 있다. 또한 모든 defect class에 적합한 것은 아니며, 특히 hot user-space function을 추적하는 경우 eBPF overhead가 커질 수 있다. 그럼에도 불구하고, eBPF를 활용해 system-wide runtime context를 수집하고 실제 software에서 latent defect를 발견했다는 점에서 의미 있는 contribution을 가진 논문으로 볼 수 있다.

OS-SANITIZER: System-wide Latent Defect Inference in Linux Applications

2026-04-27T11:47:09Z

Ahn9807: 새 문서: 분류: USENIX Security == 개요 == eBPF를 활용하여 커널 및 애플리케이션의 런타임 동작을 관찰하고, 해당 동작이 실제 failure로 이어지기 전에 잠재적인 defect가 될 수 있는지를 추론하는 Framework를 제안하였다. 즉, 기존 sanitizer가 주로 실제 fault나 failure가 발생한 이후 이를 탐지하는 데 초점을 맞추었다면, 본 논문은 정상적으로 실행되는 것처럼 보이는 런타임 동작...

[[분류: USENIX Security]]

== 개요 ==
[[eBPF]]를 활용하여 커널 및 애플리케이션의 런타임 동작을 관찰하고, 해당 동작이 실제 failure로 이어지기 전에 잠재적인 defect가 될 수 있는지를 추론하는 Framework를 제안하였다. 즉, 기존 sanitizer가 주로 실제 fault나 failure가 발생한 이후 이를 탐지하는 데 초점을 맞추었다면, 본 논문은 정상적으로 실행되는 것처럼 보이는 런타임 동작에서도 향후 보안 취약점이나 correctness 문제로 이어질 수 있는 패턴을 탐지하고자 한다.

== Motivation & Importance ==
기존의 static analyzer는 정적 분석 시점에 얻을 수 있는 정보를 바탕으로 버그를 찾는다. 이와 유사하게, 본 논문은 런타임에만 알 수 있는 정보들을 활용하여 defect를 추론하는 '''Dynamic Defect Inference'''가 가능하다고 주장한다.

특히 많은 결함은 코드 자체만으로는 명확히 드러나지 않고, 실제 실행 환경, 권한, 파일 시스템 상태, path traversal 과정, multi-threaded access, library usage pattern 등에 따라 문제가 된다. 따라서 런타임 context를 관찰할 수 있다면, 기존 static analysis나 sanitizer가 놓치는 잠재적 결함을 찾을 수 있다.

본 논문은 eBPF가 이러한 Dynamic Defect Inference를 수행하기에 적합한 기반임을 보이고자 한다. eBPF는 커널 내부 및 user-space function entry/exit에 hook을 삽입할 수 있고, BPF map을 통해 여러 이벤트 사이의 context를 축적할 수 있기 때문이다. 이를 통해 eBPF가 단순한 tracing이나 monitoring 도구를 넘어, runtime information을 기반으로 defect를 추론하는 testing/inference framework로 사용될 수 있음을 보인다.

== Challenge ==
* '''Benign execution에서 defect를 추론해야 한다.'''
** 실제 crash나 fault가 발생한 것이 아니므로, 관찰되는 동작이 진짜 defect인지 단순한 code smell인지 구분하기 어렵다.
** 따라서 heuristic 기반의 판단이 필요하며, false positive를 완전히 제거하기 어렵다.

* '''Runtime context를 정확히 수집해야 한다.'''
** 일부 defect는 단일 system call이나 library call만으로 판단할 수 없다.
** 예를 들어 TOCTOU나 path traversal 문제는 access, open, path resolution, permission check 등 여러 이벤트를 종합해야 한다.

* '''System-wide monitoring의 overhead를 낮춰야 한다.'''
** OS-SANITIZER는 특정 프로그램 하나만 분석하는 것이 아니라, 시스템 전체에서 발생하는 이벤트를 장기간 관찰하는 것을 목표로 한다.
** 따라서 tracing overhead와 report volume을 낮게 유지해야 한다.

* '''eBPF의 제한 안에서 inference logic을 구현해야 한다.'''
** eBPF verifier는 bounded execution과 제한된 memory access를 요구한다.
** 복잡한 analysis logic이나 hot user-space function monitoring은 높은 overhead 또는 verifier 제약으로 인해 실용적이지 않을 수 있다.

== Background ==
; 소프트웨어 테스팅의 단계
* Software testing은 다음 5단계로 나눌 수 있다: Errors, Code smells, Defects, Faults, and Failures.
* Error: Developer나 User에 의한 실수
* Code smell: 당장 failure를 만들지는 않지만, 향후 defect로 이어질 수 있는 위험한 패턴
* Defect: Program에 잘못된 영향을 끼칠 수 있는 에러
* Fault: Defect가 실제 program state에 잘못된 영향을 끼친 경우
* Failure: Fault가 외부에서 관찰 가능한 잘못된 동작이나 safety guarantee 위반으로 드러난 경우

; Dynamic Defect Inference에 대한 Related Work
: '''Program-Level Inference''': Compiler의 도움을 받아 dynamic testing을 수행하는 방식이다. 대표적으로 AddressSanitizer, MemorySanitizer 등이 있다. 이러한 방식은 강력하지만 recompilation이 필요하고, 종종 performance overhead가 커서 production 환경보다는 testing 환경에서 주로 사용된다는 한계가 있다.

: '''Interprocedural Inference''': Runtime에서 procedure 간 information flow를 추적하여 버그를 탐지하는 방식이다. Library call이나 network protocol의 사용 순서를 관찰하여 protocol violation을 찾는 방식으로 이해할 수 있다.

: '''OS-Integrated Inference''': SELinux와 같이 OS의 기능을 활용하여 이상 동작을 감지하거나 policy violation을 탐지하는 방식이다. 다만 이러한 방식은 일반적으로 security policy enforcement에 가깝고, 다양한 defect class를 추론하는 데에는 제한적일 수 있다.

: '''Runtime Predictive Analysis''': Runtime에서 얻을 수 있는 정보를 바탕으로 향후 발생할 수 있는 오류를 예측하거나 탐지하는 방식이다. 대표적으로 ThreadSanitizer와 같은 race detection 기법이 있다.

== Main Idea ==
eBPF를 통해 kernel 및 user-space program의 런타임 동작을 수집하고, BPF map에 context를 축적한 뒤, heuristic 기반의 검증기를 통해 해당 동작이 잠재적 defect인지 판단한다.

핵심 아이디어는 static analysis의 code smell 개념을 runtime으로 가져오는 것이다. 즉, 실제 failure가 발생하지 않았더라도, 런타임에서 관찰된 실행 패턴이 특정 조건에서는 취약점이나 correctness 문제로 이어질 수 있다면 이를 report한다.

== Design ==
[[파일:USENIX Security 2026 OS-SANITIZER Figure 2.png|프레임없음]]

OS-SANITIZER는 eBPF program을 kernel function 또는 user-space function의 entry/exit point에 부착하여 runtime event를 수집한다. 각 eBPF program은 관찰한 정보를 BPF map에 저장하고, 이후 관련 operation이 끝났을 때 map에 축적된 context를 바탕으로 heuristic 검사를 수행한다.

각 eBPF pass는 대체로 다음 네 가지 역할을 가진다.

* Suspicious code region report
* Context enrichment
* Stale context cleanup
* Known false positive filtering

이를 통해 논문은 다음과 같은 pass들을 구현하였다.

'''1. Fault-Prone System Interactions'''

* access: access/stat 이후 open 사용으로 인한 TOCTOU 가능성 탐지
* fixed_mmap: overlapping fixed mmap 탐지
* rwx_mem: readable/writable/executable memory allocation 탐지

'''2. Fault-Prone Library Usage'''

* filep_unlocked: multi-thread 환경에서 unsynchronized FILE* access 탐지
* gets: unsafe gets usage 탐지
* snprintf: snprintf 관련 information leak 또는 footgun 탐지
* printf_mut: mutable string을 format string으로 사용하는 경우 탐지
* system_mut: mutable command string을 system()으로 실행하는 경우 탐지
* system_abs: absolute path 없이 system command를 실행하는 경우 탐지

'''3. Environmental Defects'''

* sec_file_open: unsafe file permission 또는 unsafe open pattern 탐지
* intercept_path: attacker가 path traversal을 가로챌 수 있는 상황 탐지

'''4. Unsafe Memory-Manipulating Function Usage'''

* memcpy
* strcpy
* strncpy
* sprintf

== Result ==
논문은 microbenchmark, SPEC CPU 2017, BrowserBench Speedometer, reproduction study, long-term desktop deployment를 통해 OS-SANITIZER를 평가하였다.

중요한 결과는 다음과 같다.

* System interaction 중심의 pass들은 대체로 낮은 overhead로 동작한다.
* 반면 memcpy, strcpy, strncpy, sprintf와 같은 hot user-space function을 uprobe로 추적하는 pass들은 overhead가 커서 practical deployment에는 부적합하다.
* 기존 CUU(check-use-use) TOCTOU detection model을 OS-SANITIZER pass로 재구현하여, eBPF 기반 framework가 기존 kernel modification 기반 testing logic을 더 쉽게 표현할 수 있음을 보였다.
* 장기 사용 실험에서 Golang, Docker, Kubernetes, runc, dotconf, Firefox, Chrome, Rust, GDB, NetworkManager 등 실제 software stack에서 여러 latent defect를 발견하였다.

== Contribution ==
* '''Dynamic Defect Inference라는 문제 설정을 제시하였다.'''
** 기존 dynamic testing이 실제 fault나 failure를 찾는 데 집중했다면, 본 논문은 benign execution에서 defect 가능성을 추론하는 방향을 제시하였다.

* '''eBPF를 testing/inference tool로 활용하였다.'''
** eBPF를 단순 tracing이나 security monitoring이 아니라, runtime context를 축적하고 defect-level report를 생성하는 framework로 사용하였다.

* '''System-wide runtime context를 활용하였다.'''
** user-space function, kernel function, LSM hook 등을 조합하여 단일 프로그램 내부에서는 알기 어려운 실행 환경 정보를 활용하였다.

* '''실제 software에서 latent defect를 발견하였다.'''
** 여러 mature software stack에서 실제 issue를 찾았다는 점이 논문의 실용성을 뒷받침한다.

== Criticize ==
* '''Heuristic 의존성이 크다.'''
** OS-SANITIZER는 실제 failure를 직접 관찰하는 것이 아니라 위험한 pattern을 추론한다.
** 따라서 false positive를 완전히 피하기 어렵고, 어떤 report가 진짜 defect인지 triage cost가 발생한다.

* '''False positive와 coverage를 정량화하기 어렵다.'''
** Code smell 또는 contextual defect는 true positive와 false positive의 경계가 명확하지 않다.
** 논문에서도 false positive rate를 엄밀하게 계산하기보다는 case study 중심으로 효과를 보인다.

* '''Pass 개발의 일반성이 충분히 검증되지는 않았다.'''
** 논문은 여러 pass를 구현했지만, 새로운 domain이나 새로운 defect class에 대해 pass를 얼마나 쉽게 만들 수 있는지는 더 많은 사례가 필요하다.

* '''Hot function monitoring에는 eBPF overhead가 크다.'''
** memcpy, strcpy와 같은 high-frequency function을 uprobe로 추적하면 overhead가 커진다.
** 따라서 OS-SANITIZER가 모든 bug class에 적합한 것은 아니다.

* '''Long-term deployment 평가가 제한적이다.'''
** 실제 desktop 환경에서 유용한 defect를 찾았다는 점은 강하지만, 다양한 production workload에서 report volume이나 triage cost가 어떻게 되는지는 더 평가가 필요하다.

== [[Conclusion]] ==
본 논문의 핵심 의의는 '''Dynamic Defect Inference'''라는 문제를 명확히 제시하고, eBPF를 runtime testing/inference framework로 사용할 수 있음을 보였다는 점이다. 기존 sanitizer나 fuzzer가 실제 fault/failure를 trigger하는 데 집중했다면, OS-SANITIZER는 정상적으로 실행되는 것처럼 보이는 runtime behavior에서도 잠재적 defect를 추론한다.

다만 heuristic에 의존하기 때문에 false positive, coverage, triage cost를 정밀하게 평가하기 어렵다는 한계가 있다. 또한 모든 defect class에 적합한 것은 아니며, 특히 hot user-space function을 추적하는 경우 eBPF overhead가 커질 수 있다. 그럼에도 불구하고, eBPF를 활용해 system-wide runtime context를 수집하고 실제 software에서 latent defect를 발견했다는 점에서 의미 있는 contribution을 가진 논문으로 볼 수 있다.

파일:USENIX Security 2026 OS-SANITIZER Figure 2.png

2026-04-27T11:36:57Z

Ahn9807:

USENIX Security 2026 OS-SANITIZER Figure 2

캐논 EOS 620

2026-04-27T06:09:35Z

Ahn9807:

[[분류:필름 카메라]]

{{camera
| name = Canon EOS 620
| image = Canon_EOS_620.jpg
| manufacturer = Canon
| released = 1987
| lens_mount = Canon EF mount
| sensor = N/A (Film Camera)
| film_format = 35mm
| shutter = Focal-plane shutter, electronic
| metering = 6-zone evaluative metering / partial metering
| focus = TTL phase-detection autofocus
| exposure = Program AE, Aperture-priority AE, Shutter-priority AE, Manual, Depth-of-field AE
| viewfinder = Optical, fixed eye-level pentaprism
| battery = 2CR5
| dimensions = 148 × 108 × 68 mm
| weight = 660g
| gallery = Canon EOS 620
}}

== 개요 ==
캐논 EOS 620은 1987년 5월에 출시된 35mm single lens reflex 필름 카메라이다. 캐논의 EOS 시스템 초기에 등장한 모델로, 1987년 3월에 출시된 [[Canon EOS 650]]의 상위 기종에 해당한다. EOS 650이 캐논 최초의 EOS 카메라였다면, EOS 620은 여기에 여러 고급 기능을 추가한 모델이다.

EOS 620은 Canon EF 마운트를 사용한다. EF 마운트는 카메라와 렌즈가 전기 신호로 통신하는 구조이며, 초점 구동과 조리개 제어가 렌즈 내부의 모터를 통해 이루어진다. 따라서 기존 Canon FD 마운트 렌즈는 EOS 바디와 호환되지 않는다.

EOS 620은 EOS 650보다 더 고급 기능을 제공하였다. 대표적으로 LCD 백라이트, 다중 노출, 자동 브라케팅 기능을 지원하며, 셔터 속도는 최대 1/4000초까지 지원한다. 또한 플래시 동조 속도도 1/250초로 향상되었다. 이러한 점에서 EOS 620은 초기 EOS 필름 바디 중에서도 비교적 고성능 모델로 평가할 수 있다.

== 사용 후기 ==
캐논 EOS 620은 초기 EOS 필름 카메라 중에서도 실사용 가치가 높은 모델이다. 특히 EF 마운트를 사용하기 때문에 현대 Canon EF 렌즈들을 사용할 수 있다는 점이 큰 장점이다. 수동 필름 카메라와 달리 자동초점과 자동노출을 지원하기 때문에, 필름 카메라 입문자도 비교적 편하게 사용할 수 있다.

또한 최대 1/4000초 셔터 속도와 1/250초 플래시 동조 속도는 동시대 보급형 필름 SLR보다 확실히 좋은 사양이다. LCD 상태가 좋은 개체라면 실사용 만족도가 높으며, Canon EF 렌즈를 이미 가지고 있는 사용자에게는 매우 가성비 좋은 필름 바디가 될 수 있다.

다만 1980년대 전자식 필름 카메라이기 때문에, 완전 기계식 카메라처럼 장기적인 수리 안정성을 기대하기는 어렵다. LCD 누액, 전자 부품 고장, 배터리 접점 문제 등을 확인하는 것이 중요하다. 그럼에도 정상 작동하는 개체라면 저렴한 가격으로 EOS 시스템의 필름 감성을 즐길 수 있는 좋은 카메라이다.

== 주요 특징 ==
* Canon EF 마운트 사용
* TTL phase-detection autofocus 지원
* 최대 셔터 속도 1/4000초
* 플래시 동조 속도 1/250초
* LCD 백라이트 지원
* 다중 노출 지원
* 자동 브라케팅 지원
* Program AE, 조리개 우선, 셔터 우선, 수동 노출 지원
* 35mm 필름 사용

== 갤러리 ==
<gallery caption="캐논 EOS 620으로 찍은 사진들" mode=slideshow>
사진 26 04 26 EOS 620 켄트미아 100.png
사진 26 04 26 2 캐논 EOS 620 컨트미어 100.png
</gallery>

== 관련 모델 ==
# [[Canon EOS 650]]
# [[Canon EF 35-70mm f3.5-4.5]]

파일:사진 26 04 26 2 캐논 EOS 620 컨트미어 100.png

2026-04-27T06:08:04Z

Ahn9807:

사진 26_04_26_2 캐논 EOS 620 컨트미어 100

파일:사진 26 04 26 EOS 620 켄트미아 100.png

2026-04-27T05:54:00Z

Ahn9807:

사진 26_04_26 EOS 620 켄트미아 100

캐논 EOS 620

2026-04-27T03:33:05Z

Ahn9807: 새 문서: 분류:필름 카메라 {{camera | name = Canon EOS 620 | image = Canon_EOS_620.jpg | manufacturer = Canon | released = 1987 | lens_mount = Canon EF mount | sensor = N/A (Film Camera) | film_format = 35mm | shutter = Focal-plane shutter, electronic | metering = 6-zone evaluative metering / partial metering | focus = TTL phase-detection autofocus | exposure = Program AE, Aperture-priority AE, Shutter-priority AE, Manual, Depth-of-field AE | viewfinder = Optical, fixed eye-le...

[[분류:필름 카메라]]

{{camera
| name = Canon EOS 620
| image = Canon_EOS_620.jpg
| manufacturer = Canon
| released = 1987
| lens_mount = Canon EF mount
| sensor = N/A (Film Camera)
| film_format = 35mm
| shutter = Focal-plane shutter, electronic
| metering = 6-zone evaluative metering / partial metering
| focus = TTL phase-detection autofocus
| exposure = Program AE, Aperture-priority AE, Shutter-priority AE, Manual, Depth-of-field AE
| viewfinder = Optical, fixed eye-level pentaprism
| battery = 2CR5
| dimensions = 148 × 108 × 68 mm
| weight = 660g
| gallery = Canon EOS 620
}}

== 개요 ==
캐논 EOS 620은 1987년 5월에 출시된 35mm single lens reflex 필름 카메라이다. 캐논의 EOS 시스템 초기에 등장한 모델로, 1987년 3월에 출시된 [[Canon EOS 650]]의 상위 기종에 해당한다. EOS 650이 캐논 최초의 EOS 카메라였다면, EOS 620은 여기에 여러 고급 기능을 추가한 모델이다.

EOS 620은 Canon EF 마운트를 사용한다. EF 마운트는 카메라와 렌즈가 전기 신호로 통신하는 구조이며, 초점 구동과 조리개 제어가 렌즈 내부의 모터를 통해 이루어진다. 따라서 기존 Canon FD 마운트 렌즈는 EOS 바디와 호환되지 않는다.

EOS 620은 EOS 650보다 더 고급 기능을 제공하였다. 대표적으로 LCD 백라이트, 다중 노출, 자동 브라케팅 기능을 지원하며, 셔터 속도는 최대 1/4000초까지 지원한다. 또한 플래시 동조 속도도 1/250초로 향상되었다. 이러한 점에서 EOS 620은 초기 EOS 필름 바디 중에서도 비교적 고성능 모델로 평가할 수 있다.

== 사용 후기 ==
캐논 EOS 620은 초기 EOS 필름 카메라 중에서도 실사용 가치가 높은 모델이다. 특히 EF 마운트를 사용하기 때문에 현대 Canon EF 렌즈들을 사용할 수 있다는 점이 큰 장점이다. 수동 필름 카메라와 달리 자동초점과 자동노출을 지원하기 때문에, 필름 카메라 입문자도 비교적 편하게 사용할 수 있다.

또한 최대 1/4000초 셔터 속도와 1/250초 플래시 동조 속도는 동시대 보급형 필름 SLR보다 확실히 좋은 사양이다. LCD 상태가 좋은 개체라면 실사용 만족도가 높으며, Canon EF 렌즈를 이미 가지고 있는 사용자에게는 매우 가성비 좋은 필름 바디가 될 수 있다.

다만 1980년대 전자식 필름 카메라이기 때문에, 완전 기계식 카메라처럼 장기적인 수리 안정성을 기대하기는 어렵다. LCD 누액, 전자 부품 고장, 배터리 접점 문제 등을 확인하는 것이 중요하다. 그럼에도 정상 작동하는 개체라면 저렴한 가격으로 EOS 시스템의 필름 감성을 즐길 수 있는 좋은 카메라이다.

== 주요 특징 ==
* Canon EF 마운트 사용
* TTL phase-detection autofocus 지원
* 최대 셔터 속도 1/4000초
* 플래시 동조 속도 1/250초
* LCD 백라이트 지원
* 다중 노출 지원
* 자동 브라케팅 지원
* Program AE, 조리개 우선, 셔터 우선, 수동 노출 지원
* 35mm 필름 사용

== 갤러리 ==
<gallery caption="캐논 EOS 620으로 찍은 사진들" mode=slideshow>

</gallery>

== 관련 모델 ==
# [[Canon EOS 650]]
# [[Canon EF 35-70mm f3.5-4.5]]

야시카 FX-3

2026-04-27T03:32:47Z

Ahn9807: Ahn9807 (토론)의 7102 판 편집을 되돌림

[[분류: 필름 카메라]]

{{camera
| name = Yashica FX-3
| image = Yashica_FX-3.jpg
| manufacturer = Yashica
| released = 1979
| lens_mount = Contax/Yashica (C/Y) mount
| sensor = N/A (Film Camera)
| film_format = 35mm
| shutter = Focal-plane shutter, mechanical
| metering = None (external meter recommended)
| focus = Manual focus
| exposure = Manual exposure
| viewfinder = Optical, pentaprism
| battery = 2x LR44 or SR44 (for light meter)
| dimensions = 135 × 85 × 50 mm
| weight = 460g (body only)
| gallery = Yashica FX-3
}}

== 개요 ==
야시카 FX-3는 매우 유명한, 수동 35mm single lens reflex 카메라이다. 1979년 야시카에 의해서 개발되었다. Vertical meta-bladed 수동 focal plane shutter가 있으며, 최대 1/1000의 셔터속도와 3개의 LED를 이용한 노출계를 지원한다. 카메라는 매우 compact한 디자인의 SLR카메라로서, 대략 450-460g의 카메라 무게를 자랑한다. 또한 Contax카메라 렌즈를 사용할 수 있어서, 칼 자이스의 T시리즈 렌즈를 사용할 수 있다.

FX-3필름 카메라는 저렴한 비용을 위해서 매우 단순한 구조로 만들어졌다. 아이러니 하게도, 이러한 단순한 구성이 가벼운 무게와 튼튼한 내구성으로 이어져서 21세기에도 충분히 사용가능한 필름 카메라로 많은 인기를 누리고 있다. 야시카 FX-3는 원가절감을 위해서 카메라의 그립 부분을 가죽이 아니라, 천으로 만들었다. 이 천 부분이 대부분의 중고 카메라에서 부식되어 있는 경우가 많음으로, 가죽을 덧대는 작업이 필요한 경우가 종종 있다.

== 사용 후기 ==
야시카 FX-3는 데일리 필름 카메라로 사용한 카메라중에서, 정말 큰 만족을 준 카메라이다. 솔찍히 디자인만 무시하면, [[니콘 FM]]이상의 만족감을 주었다. 아주 저렴한 중고 가격으로 인해서 떨어지든, 고장나는 신경쓰이는 일이 없고, 가볍고, 기본으로 딸려있는 야시카 50mm렌즈도 정말 튼튼하고 좋아서 수동 카메라의 감성을 찾는다면 이만한 카메라가 없다는 생각이 든다.

물론 야시카렌즈는 콘탁스 렌즈와 호환되기는 하지만, 우선 매물이 너무 적고, 그렇다고 라이카나 콘탁스의 렌즈를 야시카에 쓰자니 렌즈가격이 필름카메라 가격의 10배가 넘는 배보다 배꼽이 더 큰 상황이 연출된다. 그러나 50mm 단렌즈로 귀여운 SLR 야시카에 담는 풍경은 대략 30만원 전후의 까지의 수동카메라와 비견할 수도 있는 만족감을 주리라 생각한다.

== 갤러리 ==
<gallery caption="야시카 FX-3로 찍은 사진들" mode=slideshow>
사진 2023-1-1.jpg
사진 2023-1-2.jpg
사진 2023-1-3.jpg
</gallery>

== 후속 모델 ==
# [[FX-3 Super]]
# [[FX-7 Super]]
# [[FX-3 Super 2000]]

야시카 FX-3

2026-04-27T03:31:28Z

Ahn9807:

[[index.php?title=분류:필름 카메라]]

{{camera
| name = Canon EOS 620
| image = Canon_EOS_620.jpg
| manufacturer = Canon
| released = 1987
| lens_mount = Canon EF mount
| sensor = N/A (Film Camera)
| film_format = 35mm
| shutter = Focal-plane shutter, electronic
| metering = 6-zone evaluative metering / partial metering
| focus = TTL phase-detection autofocus
| exposure = Program AE, Aperture-priority AE, Shutter-priority AE, Manual, Depth-of-field AE
| viewfinder = Optical, fixed eye-level pentaprism
| battery = 2CR5
| dimensions = 148 × 108 × 68 mm
| weight = 660g
| gallery = Canon EOS 620
}}

== 개요 ==
캐논 EOS 620은 1987년 5월에 출시된 35mm single lens reflex 필름 카메라이다. 캐논의 EOS 시스템 초기에 등장한 모델로, 1987년 3월에 출시된 [[Canon EOS 650]]의 상위 기종에 해당한다. EOS 650이 캐논 최초의 EOS 카메라였다면, EOS 620은 여기에 여러 고급 기능을 추가한 모델이다.

EOS 620은 Canon EF 마운트를 사용한다. EF 마운트는 카메라와 렌즈가 전기 신호로 통신하는 구조이며, 초점 구동과 조리개 제어가 렌즈 내부의 모터를 통해 이루어진다. 따라서 기존 Canon FD 마운트 렌즈는 EOS 바디와 호환되지 않는다.

EOS 620은 EOS 650보다 더 고급 기능을 제공하였다. 대표적으로 LCD 백라이트, 다중 노출, 자동 브라케팅 기능을 지원하며, 셔터 속도는 최대 1/4000초까지 지원한다. 또한 플래시 동조 속도도 1/250초로 향상되었다. 이러한 점에서 EOS 620은 초기 EOS 필름 바디 중에서도 비교적 고성능 모델로 평가할 수 있다.

== 사용 후기 ==
캐논 EOS 620은 초기 EOS 필름 카메라 중에서도 실사용 가치가 높은 모델이다. 특히 EF 마운트를 사용하기 때문에 현대 Canon EF 렌즈들을 사용할 수 있다는 점이 큰 장점이다. 수동 필름 카메라와 달리 자동초점과 자동노출을 지원하기 때문에, 필름 카메라 입문자도 비교적 편하게 사용할 수 있다.

또한 최대 1/4000초 셔터 속도와 1/250초 플래시 동조 속도는 동시대 보급형 필름 SLR보다 확실히 좋은 사양이다. LCD 상태가 좋은 개체라면 실사용 만족도가 높으며, Canon EF 렌즈를 이미 가지고 있는 사용자에게는 매우 가성비 좋은 필름 바디가 될 수 있다.

다만 1980년대 전자식 필름 카메라이기 때문에, 완전 기계식 카메라처럼 장기적인 수리 안정성을 기대하기는 어렵다. LCD 누액, 전자 부품 고장, 배터리 접점 문제 등을 확인하는 것이 중요하다. 그럼에도 정상 작동하는 개체라면 저렴한 가격으로 EOS 시스템의 필름 감성을 즐길 수 있는 좋은 카메라이다.

== 주요 특징 ==
* Canon EF 마운트 사용
* TTL phase-detection autofocus 지원
* 최대 셔터 속도 1/4000초
* 플래시 동조 속도 1/250초
* LCD 백라이트 지원
* 다중 노출 지원
* 자동 브라케팅 지원
* Program AE, 조리개 우선, 셔터 우선, 수동 노출 지원
* 35mm 필름 사용

== 갤러리 ==
<gallery caption="캐논 EOS 620으로 찍은 사진들" mode=slideshow>

</gallery>

== 관련 모델 ==
# [[Canon EOS 650]]
# [[Canon EF 35-70mm f3.5-4.5]]

논문 쓰는 법

2026-04-15T06:57:07Z

Ahn9807:

[[분류:논문 작성법]]
[[분류:아티클]]

논문을 어떻게 하면 잘 쓸 수 있을까? 이 고민은 대학원생이라면 누구나 하는 문제일 것이다. 26년 4월에 논문 작성과 Proposal을 작성할 일이 있어서 열심히 노력해봤지만, 안타깝게도 좋은 글을 쓸 수가 없었다. 교수님께서 다시 작성해주신 글과 비교하니 부족한 부분이 너무나도 많이 보였다. 이처럼 아직도 논문 쓰는 일이 서툴고 많이 힘들다. 그러나 이번에 다시 한 번 연구해 보면서 느낀 점들을 까먹지 않기 위해 다시 정리해 본다.

[이 문서는 계속해서 추가할 예정입니다.]

== 논문 쓰기 ==
논문을 쓰기 위해 가장 좋은 방법은 우선 많이 쓰는 것이다. 논문 작성을 금을 찾는 과정이라고 하면, 우선 돌이라도 많이 캐봐야 한다. 아마 논문을 쓰기 위해 텍스트 편집기를 열면 나오는 하얀 공백에 누구나 당황할 것이다. 우선 섹션을 채우고 그다음 어떤 글로 채워야 할지 정하는 것도 힘들다. 이럴 때는 일단 한글로라도 아무 말이나 써보기 시작한다. 나는 주로 Background 섹션을 한 장 정도 전체 논문을 쓰기 전에 쓰는 것을 좋아한다. Background를 정리하다 보면, 내 문제를 어떻게 framing할지, 내 논문이 가지는 장점과 단점이 보이기 마련이다. 제일 중요한 것은 그냥 아무 말이어도 괜찮으니 많이 적는 것이다. 꼭 논문을 Evaluation 결과가 나와서 모든 것이 완벽할 때 시작할 필요는 없다. 평상시 교수님과 Discussion하면서 나오는 문제들, Design하면서 괜찮았던 부분들, Background 조사를 하다 나온 관련 사실들을 “논문”이라는 페이지에 아무 말이나 넣으면서 정리해 보는 것이다. 결국 꼭 필요한 광맥들은 나중에 걸러지게 되어 있다.

== 끌쓰기의 재주? ==
논문을 쓰다 보면 교수님의 글은 이해하기도 쉽고 매우 중요해 보이는데, 내가 쓴 글은 이해하기도 어려울 뿐더러 억지로 이해하면 아주 specific한 문제를 푼 것 같다는 느낌이 들 때가 많다. 특히 Introduction이나 Abstract, 혹은 과제 Proposal을 보면 이러한 경향이 더욱더 두드러지는 것을 확인할 수 있다. 이 문제를 해결하기 위해서는 내 글이 다음과 같은 문제를 가지고 있지 않은지 확인해 봐야 한다.

# 글이 너무 detail하지 않은가? Introduction이나 어떤 문제의 Proposal은 내 문제를 설명하고 Design에 대한 소개를 하는 부분이다. Specific한 소개는 금물이다.
# 글을 bottom-up으로 작성하지 않았는가? 이 글들은 overall framework 하에서 top-down 방식으로 적는 것이 좋다. 보통 첫 글을 적게 되면 bottom-up으로 작성하는 경우가 많은데, 논문의 글들은 거의 절대적으로 top-down 방식으로 작성된다.
# Vision이 보이는가? 독자가 글을 읽고 내가 풀어야 할 문제와, 그리고 어떻게 풀었는지, 더 나아가 내가 어떤 Vision을 가지고 있는지 확인할 수 있는지 체크해 보자. Vision이라는 것은 내가 Design을 어떻게 풀었는지에서 끝나는 것이 아니다. 내가 “왜” 이런 Design을 만들었는지에 대한 문제도 들어간다.
# 글을 쓰면서 따라야 할 rule들을 지키지 못한 것은 아닌가? 이러한 규칙들을 잘 설명한 책으로 [[:분류:Style: Lessons in Clarity and Grace|Style: Lessons in Clarity and Grace]]가 있다. 예를 들어 - "주체를 앞에 적어라, 같은 문장에 키워드가 두 개 있으면 안 된다, 독자가 친숙한 정보를 먼저 제시해라" - 와 같은 규칙들이 있다.

== 같이 읽으면 좋은 자료 ==

# 아주 쉬운 논문쓰기 [원유집 교수님]: https://oslab.kaist.ac.kr/wp-content/uploads/esos_files/paperwriting.pdf

논문 쓰는 법

2026-04-15T06:56:56Z

Ahn9807: 새 문서: index.php?title=분류:논문 작성법 index.php?title=분류:아티클 논문을 어떻게 하면 잘 쓸 수 있을까? 이 고민은 대학원생이라면 누구나 하는 문제일 것이다. 26년 4월에 논문 작성과 Proposal을 작성할 일이 있어서 열심히 노력해봤지만, 안타깝게도 좋은 글을 쓸 수가 없었다. 교수님께서 다시 작성해주신 글과 비교하니 부족한 부분이 너무나도 많이 보였다. 이처럼 아...

[[index.php?title=분류:논문 작성법]]
[[index.php?title=분류:아티클]]

논문을 어떻게 하면 잘 쓸 수 있을까? 이 고민은 대학원생이라면 누구나 하는 문제일 것이다. 26년 4월에 논문 작성과 Proposal을 작성할 일이 있어서 열심히 노력해봤지만, 안타깝게도 좋은 글을 쓸 수가 없었다. 교수님께서 다시 작성해주신 글과 비교하니 부족한 부분이 너무나도 많이 보였다. 이처럼 아직도 논문 쓰는 일이 서툴고 많이 힘들다. 그러나 이번에 다시 한 번 연구해 보면서 느낀 점들을 까먹지 않기 위해 다시 정리해 본다.

[이 문서는 계속해서 추가할 예정입니다.]

== 논문 쓰기 ==
논문을 쓰기 위해 가장 좋은 방법은 우선 많이 쓰는 것이다. 논문 작성을 금을 찾는 과정이라고 하면, 우선 돌이라도 많이 캐봐야 한다. 아마 논문을 쓰기 위해 텍스트 편집기를 열면 나오는 하얀 공백에 누구나 당황할 것이다. 우선 섹션을 채우고 그다음 어떤 글로 채워야 할지 정하는 것도 힘들다. 이럴 때는 일단 한글로라도 아무 말이나 써보기 시작한다. 나는 주로 Background 섹션을 한 장 정도 전체 논문을 쓰기 전에 쓰는 것을 좋아한다. Background를 정리하다 보면, 내 문제를 어떻게 framing할지, 내 논문이 가지는 장점과 단점이 보이기 마련이다. 제일 중요한 것은 그냥 아무 말이어도 괜찮으니 많이 적는 것이다. 꼭 논문을 Evaluation 결과가 나와서 모든 것이 완벽할 때 시작할 필요는 없다. 평상시 교수님과 Discussion하면서 나오는 문제들, Design하면서 괜찮았던 부분들, Background 조사를 하다 나온 관련 사실들을 “논문”이라는 페이지에 아무 말이나 넣으면서 정리해 보는 것이다. 결국 꼭 필요한 광맥들은 나중에 걸러지게 되어 있다.

== 끌쓰기의 재주? ==
논문을 쓰다 보면 교수님의 글은 이해하기도 쉽고 매우 중요해 보이는데, 내가 쓴 글은 이해하기도 어려울 뿐더러 억지로 이해하면 아주 specific한 문제를 푼 것 같다는 느낌이 들 때가 많다. 특히 Introduction이나 Abstract, 혹은 과제 Proposal을 보면 이러한 경향이 더욱더 두드러지는 것을 확인할 수 있다. 이 문제를 해결하기 위해서는 내 글이 다음과 같은 문제를 가지고 있지 않은지 확인해 봐야 한다.

# 글이 너무 detail하지 않은가? Introduction이나 어떤 문제의 Proposal은 내 문제를 설명하고 Design에 대한 소개를 하는 부분이다. Specific한 소개는 금물이다.
# 글을 bottom-up으로 작성하지 않았는가? 이 글들은 overall framework 하에서 top-down 방식으로 적는 것이 좋다. 보통 첫 글을 적게 되면 bottom-up으로 작성하는 경우가 많은데, 논문의 글들은 거의 절대적으로 top-down 방식으로 작성된다.
# Vision이 보이는가? 독자가 글을 읽고 내가 풀어야 할 문제와, 그리고 어떻게 풀었는지, 더 나아가 내가 어떤 Vision을 가지고 있는지 확인할 수 있는지 체크해 보자. Vision이라는 것은 내가 Design을 어떻게 풀었는지에서 끝나는 것이 아니다. 내가 “왜” 이런 Design을 만들었는지에 대한 문제도 들어간다.
# 글을 쓰면서 따라야 할 rule들을 지키지 못한 것은 아닌가? 이러한 규칙들을 잘 설명한 책으로 [[:분류:Style: Lessons in Clarity and Grace|Style: Lessons in Clarity and Grace]]가 있다. 예를 들어 - "주체를 앞에 적어라, 같은 문장에 키워드가 두 개 있으면 안 된다, 독자가 친숙한 정보를 먼저 제시해라" - 와 같은 규칙들이 있다.

== 같이 읽으면 좋은 자료 ==

# 아주 쉬운 논문쓰기 [원유집 교수님]: https://oslab.kaist.ac.kr/wp-content/uploads/esos_files/paperwriting.pdf

대문

2026-04-14T04:26:13Z

Ahn9807:

<templatestyles src="Template:대문/shared/styles.css" />

{{대문/header}}

<div id="home-content" class="home-grid">

<div class="home-card home-card--col1 home-card--row1">
<div class="home-card__label">Author</div>
<div class="home-link">
안준호 (Ahn, Junho)<br>
KAIST E3-1 CASYS Lab<br>
KAIST, Dajeon, Republic of Korea Mar 2023 - <br>
Ph.D. Student, School of Computing <br>
✉️ junhoahn@kaist.ac.kr <br>
<div class="home-link__button">[https://sites.google.com/view/junhoahn/ Curriculum Vitae]</div>
</div>
</div>

<div class="home-card home-card--col2 home-card--row1">
<div class="home-card_label">Submissions</div>
<tabber>
|-|First author=
# ''[USENIX Security 2024]'' <strong>Junho Ahn</strong>, Jaehyeon Lee, KangHyuk Lee, Wooseok Gwak, Minseong Hwang, Youngjin Kwon, "[[BUDAlloc: Defeating Use-After-Free Bugs by Decoupling Virtual Address Management from Kernel]]" (Acceptance rate: 18.32%, BK21++)
# ''[IEEE S&P 2025]'' <strong>Junho Ahn</strong>, KangHyuk Lee, Chanyoung Park, Hyungon Moon, Youngjin Kwon, "[[SwiftSweeper: Defeating Use-After-Free Bugs Using Memory Sweeper Without Stop-the-World]]" (Acceptance rate: 14.8%, BK21++)
|-|Collaboration=
# ''[European Conference on Computer Systems (EuroSys), 2026]'' Minkyu Jung, Chanshin Kwak, <strong>Junho Ahn</strong>, Sunho Park, Changjun Lee, Jongyul Kim, Jeehoon Kang, Youngjin Kwon, "CofferOS: Hardening OS-level Virtualization with Rust" (BK21++)
# ''[USENIX OSDI 2026]'' Jongyul Kim, Jaehwan Lee, Inhoe Koo, Peizhe Liu, Jiyuan Zhang, <strong>Junho Ahn</strong>, Tianyin Xu, Youngjin Kwon, "Oxbow: A Coordinated Architecture for Multi-component File Systems" (BK21++)
</tabber>
</div>
</div>

</div>
<tabber>
|-|Science=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">전산과학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">논문 작성법</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">수학</categorytree>
</div>
<div style="clear:both"></div>
|-|Hobby=
<div class="home-card">
<categorytree mode="pages" namespaces="Main Category">필름 카메라</categorytree>
</div>
|-|Liberal Arts=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">중국 문화와 역사</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
</tabber>

<div class="home-card">
<div class="home-card__label">최근 바뀜</div>
{{Special:RecentChanges/15,hidecategorization,hideminor}}
</div>
</div>

<!---
|-|Book Review=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
---!>

대문

2026-04-14T04:24:29Z

Ahn9807:

<templatestyles src="Template:대문/shared/styles.css" />

{{대문/header}}

<div id="home-content" class="home-grid">

<div class="home-card home-card--col1 home-card--row1">
<div class="home-card__label">Author</div>
<div class="home-link">
안준호 (Ahn, Junho)<br>
KAIST E3-1 CASYS Lab<br>
KAIST, Dajeon, Republic of Korea Mar 2023 - <br>
Ph.D. Student, School of Computing <br>
✉️ junhoahn@kaist.ac.kr <br>
<div class="home-link__button">[https://sites.google.com/view/junhoahn/ Curriculum Vitae]</div>
</div>
</div>

<div class="home-card home-card--col2 home-card--row1">
<div class="home-card_label">Submissions</div>
<tabber>
|-|First author=
# USENIX Security 2024 <strong>Junho Ahn</strong>, Jaehyeon Lee, KangHyuk Lee, Wooseok Gwak, Minseong Hwang, Youngjin Kwon, "[[BUDAlloc: Defeating Use-After-Free Bugs by Decoupling Virtual Address Management from Kernel]]" (Acceptance rate: 18.32%, BK21++)
# IEEE S&P 2025 <strong>Junho Ahn</strong>, KangHyuk Lee, Chanyoung Park, Hyungon Moon, Youngjin Kwon, "[[SwiftSweeper: Defeating Use-After-Free Bugs Using Memory Sweeper Without Stop-the-World]]" (Acceptance rate: 14.8%, BK21++)
|-|Collaboration=
# European Conference on Computer Systems (EuroSys), 2026 Minkyu Jung, Chanshin Kwak, <strong>Junho Ahn</strong>, Sunho Park, Changjun Lee, Jongyul Kim, Jeehoon Kang, Youngjin Kwon, "CofferOS: Hardening OS-level Virtualization with Rust" (BK21++)
# OSDI 2026 Jongyul Kim, Jaehwan Lee, Inhoe Koo, Peizhe Liu, Jiyuan Zhang, <strong>Junho Ahn</strong>, Tianyin Xu, Youngjin Kwon, "Oxbow: A Coordinated Architecture for Multi-component File Systems"
</tabber>
</div>
</div>

</div>
<tabber>
|-|Science=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">전산과학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">논문 작성법</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">수학</categorytree>
</div>
<div style="clear:both"></div>
|-|Hobby=
<div class="home-card">
<categorytree mode="pages" namespaces="Main Category">필름 카메라</categorytree>
</div>
|-|Liberal Arts=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">중국 문화와 역사</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
</tabber>

<div class="home-card">
<div class="home-card__label">최근 바뀜</div>
{{Special:RecentChanges/15,hidecategorization,hideminor}}
</div>
</div>

<!---
|-|Book Review=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
---!>

대문

2026-04-14T04:23:54Z

Ahn9807:

<templatestyles src="Template:대문/shared/styles.css" />

{{대문/header}}

<div id="home-content" class="home-grid">

<div class="home-card home-card--col1 home-card--row1">
<div class="home-card__label">Author</div>
<div class="home-link">
안준호 (Ahn, Junho)<br>
KAIST E3-1 CASYS Lab<br>
KAIST, Dajeon, Republic of Korea Mar 2023 - <br>
Ph.D. Student, School of Computing <br>
✉️ junhoahn@kaist.ac.kr <br>
<div class="home-link__button">[https://sites.google.com/view/junhoahn/ Curriculum Vitae]</div>
</div>
</div>

<div class="home-card home-card--col2 home-card--row1">
<div class="home-card_label">Submissions</div>
<tabber>
|-|First author=
<div class="home-card__label">Submissions</div>
# USENIX Security 2024 <strong>Junho Ahn</strong>, Jaehyeon Lee, KangHyuk Lee, Wooseok Gwak, Minseong Hwang, Youngjin Kwon, "[[BUDAlloc: Defeating Use-After-Free Bugs by Decoupling Virtual Address Management from Kernel]]" (Acceptance rate: 18.32%, BK21++)
# IEEE S&P 2025 <strong>Junho Ahn</strong>, KangHyuk Lee, Chanyoung Park, Hyungon Moon, Youngjin Kwon, "[[SwiftSweeper: Defeating Use-After-Free Bugs Using Memory Sweeper Without Stop-the-World]]" (Acceptance rate: 14.8%, BK21++)
|-|Collaboration=
<div class="home-card__label">Submissions</div>
# European Conference on Computer Systems (EuroSys), 2026 Minkyu Jung, Chanshin Kwak, <strong>Junho Ahn</strong>, Sunho Park, Changjun Lee, Jongyul Kim, Jeehoon Kang, Youngjin Kwon, "CofferOS: Hardening OS-level Virtualization with Rust" (BK21++)
# OSDI 2026 Jongyul Kim, Jaehwan Lee, Inhoe Koo, Peizhe Liu, Jiyuan Zhang, <strong>Junho Ahn</strong>, Tianyin Xu, Youngjin Kwon, "Oxbow: A Coordinated Architecture for Multi-component File Systems"
</tabber>
</div>
</div>

</div>
<tabber>
|-|Science=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">전산과학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">논문 작성법</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">수학</categorytree>
</div>
<div style="clear:both"></div>
|-|Hobby=
<div class="home-card">
<categorytree mode="pages" namespaces="Main Category">필름 카메라</categorytree>
</div>
|-|Liberal Arts=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">중국 문화와 역사</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
</tabber>

<div class="home-card">
<div class="home-card__label">최근 바뀜</div>
{{Special:RecentChanges/15,hidecategorization,hideminor}}
</div>
</div>

<!---
|-|Book Review=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
---!>

대문

2026-04-14T04:01:36Z

Ahn9807:

<templatestyles src="Template:대문/shared/styles.css" />

{{대문/header}}

<div id="home-content" class="home-grid">



<div id="home-card-onthewiki" class="home-card home-card--col1 home-card--row1">
<div class="home-card__label">Author</div>
<div class="home-link">
안준호 (Ahn, Junho)<br>
KAIST E3-1 CASYS Lab<br>
✉️ junhoahn@kaist.ac.kr
<div class="home-link__button">[https://sites.google.com/view/junhoahn/ Curriculum Vitae]</div>
</div>
</div>

<tabber>
|-|First author=
<div id="home-card-submissions-first" class="home-card home-card--col2 home-card--row1">
<div class="home-card__label">Submissions</div>
# USENIX Security 2024 <strong>Junho Ahn</strong>, Jaehyeon Lee, KangHyuk Lee, Wooseok Gwak, Minseong Hwang, Youngjin Kwon, "[[BUDAlloc: Defeating Use-After-Free Bugs by Decoupling Virtual Address Management from Kernel]]" (Acceptance rate: 18.32%, BK21++)
# IEEE S&P 2025 <strong>Junho Ahn</strong>, KangHyuk Lee, Chanyoung Park, Hyungon Moon, Youngjin Kwon, "[[SwiftSweeper: Defeating Use-After-Free Bugs Using Memory Sweeper Without Stop-the-World]]" (Acceptance rate: 14.8%, BK21++)
</div>
|-|Collaboration=
<div id="home-card-submissions-collab" class="home-card home-card--col3 home-card--row1">
<div class="home-card__label">Submissions</div>
# European Conference on Computer Systems (EuroSys), 2026 Minkyu Jung, Chanshin Kwak, <strong>Junho Ahn</strong>, Sunho Park, Changjun Lee, Jongyul Kim, Jeehoon Kang, Youngjin Kwon, "CofferOS: Hardening OS-level Virtualization with Rust" (BK21++)
# OSDI 2026 Jongyul Kim, Jaehwan Lee, Inhoe Koo, Peizhe Liu, Jiyuan Zhang, <strong>Junho Ahn</strong>, Tianyin Xu, Youngjin Kwon, "Oxbow: A Coordinated Architecture for Multi-component File Systems"
</div>
</tabber>

</div>
<tabber>
|-|Science=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">전산과학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">논문 작성법</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">수학</categorytree>
</div>
<div style="clear:both"></div>
|-|Hobby=
<div class="home-card">
<categorytree mode="pages" namespaces="Main Category">필름 카메라</categorytree>
</div>
|-|Liberal Arts=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">중국 문화와 역사</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
</tabber>

<div class="home-card">
<div class="home-card__label">최근 바뀜</div>
{{Special:RecentChanges/15,hidecategorization,hideminor}}
</div>
</div>

<!---
|-|Book Review=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
---!>

틀:대문/shared/styles.css

2026-04-14T03:56:19Z

Ahn9807:

.home-grid {
display: grid;
grid: auto-flow dense/repeat( auto-fit, minmax( 9.375rem, 1fr ) );
grid-auto-rows: minmax( 3rem, auto );
grid-gap: var( --space-xs );
}

.home-grid--col2 {
grid-template-columns: 1fr 1fr;
}

.home-grid a.external {
background-image: none;
}

.home-badge {
display: flex;
gap: var(--space-xxs);
font-size: var(--font-size-x-small);
padding: var(--space-xxs) var(--space-xs);
background: var(--color-surface-2);
color: var(--color-base);
border-radius: var(--border-radius-base);
font-weight: var(--font-weight-normal);
letter-spacing: 0.025em;
line-height: var(--line-height-xs);
}

.home-card {
position: relative;
padding: var( --space-md );
border: 1px solid var( --border-color-base );
background: var( --color-surface-1 );
border-radius: var( --border-radius-medium );
font-size: var( --font-size-small );
}

.home-card table.timeline {
margin-top: var( --space-xs );
}

.home-card--row1 {
grid-column: span 1;
}

.home-card--col1 {
grid-column: span 1;
}

.home-card--col2 {
grid-column: span 2;
}

.home-card--col3 {
grid-column: span 3;
}

.home-card__badge,
.home-card__label {
color: var( --color-subtle );
font-size: var( --font-size-x-small );
letter-spacing: 0.05em;
}

.home-card__badge {
padding: var( --space-xxs ) var( --space-xs );
border-radius: var( --border-radius-base );
background: var( --color-surface-2 );
}

.home-card__header {
color: var( --color-emphasized );
font-size: 1rem;
font-weight: var( --font-weight-semibold );
line-height: var( --line-height-xs );
}

.home-card__header a {
display: flex;
align-items: center;
justify-content: space-between;
}

.home-card__header a:after {
content: '▶';
font-size: var( --font-size-x-small );
}

.home-card__background {
position: absolute;
inset: 0;
}

.home-card__background:after {
position: absolute;
pointer-events: none;
inset: 0;
display: block;
background: linear-gradient(to right,#000,transparent);
content: "";
transition: transform 250ms ease;
}

.home-card__background picture,
.home-card__background img {
width: 100%;
height: 100%;
}

.home-card__background img {
object-fit: cover;
object-position: center;
}

.home-card__foreground {
position: absolute;
top: 0;
bottom: 0;
left: 0;
right: 0;
padding: var( --space-md );
display: flex;
flex-direction: column;
justify-content: center;
gap: var( --space-xxs );
color: #fff;
line-height: var( --line-height-xs );
pointer-events: none;
}

.home-card__foreground .home-card__badge {
position: absolute;
top: 0;
right: 0;
border-top-left-radius: 0;
border-bottom-right-radius: 0;
}

.home-card__foreground .home-card__header {
color: #fff;
}

.home-card__foreground .home-card__label {
color: #bababa;
}

.home-card p {
margin-top: var( --space-xs );
font-size: var( --font-size-small );
}

.home-card.home-card--button {
overflow: hidden;
padding: 0;
border: 0;
}

.home-card--button a {
display: flex;
height: 100%;
justify-content: center;
align-items: center;
padding: 0 var( --space-md );
background: transparent;
color: #fff;
font-weight: var( --font-weight-medium );
}

.home-card--button .home-card__background a {
padding: 0;
}

.home-card--button img {
transition: transform 250ms ease;
}

.home-card--button:hover img {
transform: scale( 1.1 );
}

.home-link {
display: grid;
margin-top: var( --space-xs );
font-size: var( --font-size-small );
font-weight: var( --font-weight-medium );
grid-gap: var( --space-xs );
text-align: center;
}

.home-link__button {
display: flex;
}

.home-link__button a {
flex-grow: 1;
padding: var( --space-xs );
border: 1px solid var( --border-color-base );
background: var( --color-surface-2 );
border-radius: var( --border-radius-medium );
color: var( --color-emphasized ) !important;
line-height: var( --line-height-xs );
text-decoration: none !important;
}

.home-link__button a:hover {
background: var( --color-surface-2--hover );
}

.home-link__button a:active {
background: var( --color-surface-2--active );
}

#home-content {
margin-top: var( --space-lg );
}

.home-card .template-statsbar {
margin: 0;
}

#home-card-discord {
background: #5865f2;
}

#home-card-patreon {
background: #ff424d;
}

#home-card-kofi {
background: #ff5e5b;
}

#home-card-reddit {
background: #ff4500;
}

.home-footer {
font-size: var( --font-size-small );
font-family: var( --font-family-monospace );
text-align: center;
}

대문

2026-04-14T03:41:27Z

Ahn9807:

<templatestyles src="Template:대문/shared/styles.css" />

{{대문/header}}

<div id="home-content" class="home-grid">
<div id="home-card-onthewiki" class="home-card home-card--col1 home-card--row1">
<div class="home-card__label">Nori wiki</div>
<div class="home-link">
<div class="home-link__button">[[Help:About the wiki|About the wiki]]</div>
<div class="home-link__button">[[Help:Style guide|Style guide]]</div>
<div class="home-link__button">[[Help:How to contribute|How to contribute]]</div>
</div>
</div>

<div id="home-card-onthewiki" class="home-card home-card--col2 home-card--row1">
<div class="home-card__label">Author</div>
<div class="home-link">
안준호 (Ahn, Junho)<br>
KAIST E3-1 CASYS Lab<br>
✉️ junhoahn@kaist.ac.kr
<div class="home-link__button">[https://sites.google.com/view/junhoahn/ Curriculum Vitae]</div>
</div>
</div>

<tabber>
|-|First author=
<div id="home-card-onthewiki" class="home-card home-card--col3 home-card--row1">
<div class="home-card__label">Submissions</div>
# USENIX Security 2024 <strong>Junho Ahn</strong>, Jaehyeon Lee, KangHyuk Lee, Wooseok Gwak, Minseong Hwang, Youngjin Kwon, "[[BUDAlloc: Defeating Use-After-Free Bugs by Decoupling Virtual Address Management from Kernel]]" (Acceptance rate: 18.32%, BK21++)
# IEEE S&P 2025 <strong>Junho Ahn</strong>, KangHyuk Lee, Chanyoung Park, Hyungon Moon, Youngjin Kwon, "[[SwiftSweeper: Defeating Use-After-Free Bugs Using Memory Sweeper Without Stop-the-World]]" (Acceptance rate: 14.8%, BK21++)
# European Conference on Computer Systems (EuroSys), 2026 Minkyu Jung, Chanshin Kwak, <strong>Junho Ahn</strong>, Sunho Park, Changjun Lee, Jongyul Kim, Jeehoon Kang, Youngjin Kwon "CofferOS: Hardening OS-level Virtualization with Rust" (BK21++)
# OSDI 2026 Jongyul Kim, Jaehwan Lee, Inhoe Koo, Peizhe Liu, Jiyuan Zhang, <strong>Junho Ahn</strong>, Tianyin Xu, Youngjin Kwon, "Oxbow: A Coordinated Architecture for Multi-component File Systems"
<div class="home-card__header" style="font-size:200%">
<tabber>
|-|Collaboration=
<div id="home-card-onthewiki" class="home-card home-card--col3 home-card--row1">
<div class="home-card__label">Submissions</div>

<div class="home-card__header" style="font-size:200%">
</div>

</div>
<div style="clear:both"></div>
</tabber>

</div>
<tabber>
|-|Science=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">전산과학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">논문 작성법</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">수학</categorytree>
</div>
<div style="clear:both"></div>
|-|Hobby=
<div class="home-card">
<categorytree mode="pages" namespaces="Main Category">필름 카메라</categorytree>
</div>
|-|Liberal Arts=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">중국 문화와 역사</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
</tabber>

<div class="home-card">
<div class="home-card__label">최근 바뀜</div>
{{Special:RecentChanges/15,hidecategorization,hideminor}}
</div>
</div>

<!---
|-|Book Review=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
---!>

Data Flow Analysis

2026-03-25T08:20:51Z

Ahn9807: 새 문서: 분류:프로그램 분석 == 개요 == '''Data Flow Analysis'''는 프로그램의 각 지점(program point)에서 변수나 메모리 상태에 대한 정보를 계산하는 정적 분석 기법이다. 이 분석은 프로그램을 실행하지 않고도, 가능한 모든 실행 경로를 고려하여 변수의 값, 상태, 혹은 속성(property)을 추론하는 것을 목표로 한다. 특히, Data Flow Analysis는 프로그램을 '''Control Flow Graph (CFG)'''로 변...

[[분류:프로그램 분석]]

== 개요 ==
'''Data Flow Analysis'''는 프로그램의 각 지점(program point)에서 변수나 메모리 상태에 대한 정보를 계산하는 정적 분석 기법이다. 이 분석은 프로그램을 실행하지 않고도, 가능한 모든 실행 경로를 고려하여 변수의 값, 상태, 혹은 속성(property)을 추론하는 것을 목표로 한다.

특히, Data Flow Analysis는 프로그램을 '''Control Flow Graph (CFG)'''로 변환한 뒤, 각 노드에서의 상태를 정의하고, 이 상태가 CFG를 따라 어떻게 전달(propagate)되는지를 반복적으로 계산하는 방식으로 동작한다. 이 과정에서 각 지점의 상태는 단순한 값이 아니라 '''추상화된 정보(abstract value)'''로 표현되며, 이는 실제 실행 시 발생할 수 있는 여러 경우를 하나로 요약한 것이다. DFA는 실제 값 대신 추상 도메인 위에서 계산을 수행함으로써, 현실적인 비용 내에서 프로그램의 전반적인 특성을 파악할 수 있도록 한다.

== Motivation & Importance ==
Data Flow Analysis는 다음과 같은 이유로 매우 중요한 기술이다.

* '''컴파일러 최적화'''
** Constant propagation: 변수의 값이 상수로 확정되는 경우 이를 전파하여 연산 제거
** Dead code elimination: 사용되지 않는 코드 제거
** Redundant computation 제거

* '''버그 탐지 및 검증'''
** 초기화되지 않은 변수 사용
** Null pointer dereference
** Use-after-free와 같은 메모리 오류

* '''보안 분석'''
** 데이터가 신뢰되지 않은 입력으로부터 왔는지 추적 (taint analysis)
** 권한 상승이나 정보 유출 가능성 분석

기존의 동적 분석은 특정 실행 경로에 대해서만 정보를 얻을 수 있지만, Data Flow Analysis는 '''모든 가능한 실행 경로를 동시에 고려'''하기 때문에, 보다 안전하고 보수적인 결과를 제공한다. 이에, Data Flow Analysis는 다양한 정적 분석 및 검증 시스템의 기반이 된다.

== Challenge ==
Data Flow Analysis를 설계하고 구현하는 데에는 여러 가지 어려움이 존재한다.

#'''경로의 폭발(Path Explosion)''': 프로그램에는 조건문과 반복문이 존재하기 때문에, 가능한 실행 경로의 수가 기하급수적으로 증가한다. 이를 그대로 추적하는 것은 현실적으로 불가능하다.
#'''정보 병합(Merge) 문제''':여러 경로에서 동일한 프로그램 지점으로 도달할 경우, 각 경로의 상태를 하나로 합쳐야 한다. 이때 정보를 어떻게 보존하면서도 간결하게 표현할지가 중요하다.
#'''정밀도 vs 성능''':더 정밀한 분석을 위해서는 더 많은 상태를 유지해야 하지만, 이는 계산 비용 증가로 이어진다. 반대로 단순화하면 빠르지만 부정확해진다.
# '''루프와 고정점''': 루프가 존재하면 상태가 반복적으로 변화하게 되므로, 언제 계산을 멈출지 결정해야 한다. 이를 위해 '''고정점(Fixed Point)''' 개념이 사용된다.

이를 해결하기 위해서 '''lattice 구조와 monotonic transfer function'''을 사용하여 반드시 수렴하도록 DFA를 설계하는 것이 기본이다.

== Background ==

=== [[Control Flow Graph]] (CFG) ===
프로그램의 실행 흐름을 그래프로 나타낸 구조이다.

* 노드: basic block (연속된 명령어의 집합)
* 간선: 제어 흐름 (branch, jump, function call 등)

CFG는 Data Flow Analysis의 기반이 되며, 모든 상태 전파는 이 그래프 위에서 이루어진다.

=== [[Abstract Domain]] ===
실제 값을 그대로 사용하는 대신, 이를 추상화한 값으로 표현한다.

예:
* 정수 값 → {constant c, non-constant, unknown}
* 변수 상태 → {initialized, uninitialized}
* 포인터 상태 → {null, non-null, unknown}

이러한 추상화는 여러 실행 경로를 하나의 상태로 요약하기 위해 필요하다.

=== Lattice ===
[[파일:Data Flow Analysis Lattice.png|섬네일|오른쪽]]
Abstract Domain은 일반적으로 '''lattice 구조'''를 가진다.

* 각 상태는 부분 순서(partial order)로 비교 가능
* join 연산을 통해 여러 상태를 결합 가능
* bottom: 정보 없음 (초기 상태)
* top: 모든 가능성을 포함 (가장 보수적 상태)

여기서 [[Partial Order]]는 다음과 같은 Order체계를 의미한다.
join(a, b) ⩾ a and join(a, b) ⩾ b and join(x, x) = x

이 구조 덕분에 반복 계산이 항상 수렴하게 된다.

=== Transfer Function ===
각 프로그램 문장이 상태를 어떻게 변화시키는지를 정의한다.

예:
<syntaxhighlight lang=c>
x = y + 1;
</syntaxhighlight>

* y가 constant이면 → x도 constant
* y가 unknown이면 → x도 unknown

Transfer function은 '''monotonic'''해야 하며, 이는 분석이 안정적으로 수렴하기 위한 조건이다.

=== Join Operation ===
여러 경로에서 온 상태를 하나로 합치는 연산이다.

예:
<syntaxhighlight lang=c>
if (cond) x = 1;
else x = 2;
</syntaxhighlight>

→ x ∈ {1, 2}

Join은 정보 손실을 동반할 수 있으며, 이는 분석의 보수성을 증가시킨다.

== Main Idea ==
Data Flow Analysis의 핵심 아이디어는 다음과 같다.

* 프로그램의 각 지점에 대해 상태를 정의하고
* 이 상태를 CFG를 따라 반복적으로 전파하며
* 더 이상 상태가 변하지 않을 때까지 계산한다

이 과정을 '''고정점 계산(Fixed Point Computation)'''이라고 한다.

초기에는 모든 상태를 bottom으로 시작하고, transfer function과 join을 반복 적용하면서 점점 더 많은 정보를 포함하게 된다. 이 과정은 lattice의 구조 덕분에 반드시 수렴한다.

LLVM 문서에서는 이러한 반복 계산을 통해, 각 프로그램 지점에서의 '''sound한(over-approximate) 결과'''를 얻을 수 있다고 설명한다.

== Design ==

=== Worklist Algorithm ===
실제 구현에서는 '''worklist 알고리즘'''이 사용된다.

* 초기 상태 설정
* 변경이 발생한 노드를 worklist에 추가
* 하나씩 꺼내어 transfer function 적용
* 결과가 변하면 후속 노드를 다시 worklist에 추가

이 방식은 불필요한 계산을 줄이면서 효율적으로 고정점에 도달하도록 한다.

=== Forward vs Backward Analysis ===
* Forward analysis
** 프로그램 시작 → 끝 방향
** 예: constant propagation

* Backward analysis
** 프로그램 끝 → 시작 방향
** 예: liveness analysis

분석 목적에 따라 방향이 결정된다.

=== May vs Must Analysis ===
* May analysis
** 어떤 경로에서라도 가능하면 포함
** 보수적 (over-approximation)

* Must analysis
** 모든 경로에서 반드시 성립해야 포함
** 더 엄격하지만 정보가 줄어들 수 있음

=== Flow-sensitive vs Flow-insensitive ===
* Flow-sensitive: 프로그램 순서를 고려
* Flow-insensitive: 순서를 무시하고 전체를 하나로 분석

LLVM 문서에서는 주로 flow-sensitive 분석을 기반으로 설명한다.

== Result ==
Data Flow Analysis를 통해 다음과 같은 정보를 얻을 수 있다.

* 각 프로그램 지점에서 변수의 가능한 값 또는 상태
* 안전한 최적화 수행 가능
* 프로그램의 잠재적 오류 탐지

특히, 이 분석은 실제 실행 없이도 '''모든 가능한 실행 경로를 고려한 결과'''를 제공하며, 이는 정적 분석의 핵심적인 장점이다.

또한 결과는 '''over-approximation'''이므로, 실제로는 발생하지 않는 경우도 포함될 수 있지만, 반대로 중요한 오류를 놓치지 않는다는 장점이 있다.

== Contribution (Conclusion) ==
Data Flow Analysis는 다음과 같은 기여를 한다.

* 프로그램 분석을 위한 일반적인 프레임워크 제공 (CFG + lattice + fixed point)
* 다양한 최적화 및 정적 분석 기법의 기반
* 추상 해석을 통해 현실적인 비용으로 전체 프로그램 분석 가능

LLVM 문서에서 설명하듯이, 이 프레임워크는 다양한 분석 문제에 재사용 가능하며, 새로운 분석을 설계할 때도 동일한 구조를 활용할 수 있다.

== Criticize (Conclusion) ==
다음과 같은 한계가 존재한다.

* '''False positive'''
보수적 분석으로 인해 실제로는 발생하지 않는 오류도 탐지됨

* '''정밀도 한계'''
추상화 과정에서 정보 손실 발생

* '''성능 문제'''
복잡한 프로그램에서는 분석 비용 증가

* '''모델링 한계'''
실제 실행 환경(예: 시스템 호출, 외부 입력)을 완전히 반영하기 어려움

그럼에도 불구하고, Data Flow Analysis는 현대 컴파일러와 보안 분석에서 필수적인 핵심 기술이며, LLVM과 같은 시스템에서도 핵심 기반으로 활용되고 있다.

== References ==
# https://clang.llvm.org/docs/DataFlowAnalysisIntro.html

파일:Data Flow Analysis Lattice.png

2026-03-25T05:59:43Z

Ahn9807:

https://clang.llvm.org/docs/DataFlowAnalysisIntro.html

AddressSanitizer Optimization

2026-03-23T07:11:34Z

Ahn9807: 새 문서: 분류:AddressSanitizer 분류:Program Analysis 분류:Optimization == 개요 == 이 문서는 AddressSanitizer(ASan)의 실행 오버헤드를 줄이기 위한 다양한 최적화 기법들을 정리한 문서이다. ASan은 heap, stack, global object에 대한 out-of-bounds access와 heap use-after-free를 효과적으로 검출하지만, 각 memory access마다 shadow memory를 확인하는 check를 삽입하므로 실행 시간 오버헤드가 크다. == Remo...

[[분류:AddressSanitizer]]
[[분류:Program Analysis]]
[[분류:Optimization]]

== 개요 ==
이 문서는 AddressSanitizer(ASan)의 실행 오버헤드를 줄이기 위한 다양한 최적화 기법들을 정리한 문서이다.

ASan은 heap, stack, global object에 대한 out-of-bounds access와 heap use-after-free를 효과적으로 검출하지만, 각 memory access마다 shadow memory를 확인하는 check를 삽입하므로 실행 시간 오버헤드가 크다.

== Removing Unsatisfiable Checks ==
이 범주는 프로그램 의미론 상 절대로 실패할 수 없는 ASan check를 제거하는 방식이다.

ASan check는 기본적으로 어떤 주소 <math>addr</math>에 접근하기 전에 그 주소에 대응되는 shadow byte를 확인한다. 그런데 접근 대상 object의 크기와 offset, access size가 모두 정적으로 계산 가능하고, 모든 경로에서 범위 내 접근임이 보장되면 shadow를 확인할 이유가 없다. 이런 check는 남겨 두어도 항상 통과하기만 하므로 순수 오버헤드가 된다.

일반적으로 다음 조건이 모든 실행 경로에서 성립하면 제거 가능하다.

* <math>offset \ge 0</math>
* <math>offset + access\_size \le object\_size</math>

예를 들어 다음 코드는 접근 위치가 완전히 정적으로 결정된다.

<syntaxhighlight lang=c>
int foo() {
char buf[20];
buf[10] = 0;
}
</syntaxhighlight>

이 최적화는 특히 다음과 같은 경우에 잘 적용된다.

* stack object에 대한 상수 인덱스 접근
* global array에 대한 정적 인덱스 접근
* 구조체 필드 접근처럼 layout이 compile time에 확정되는 경우
* inlining과 constant propagation 이후 값이 상수로 환원되는 경우

반대로 다음과 같은 경우는 조심해야 한다.

* pointer arithmetic 결과가 외부 입력에 의존하는 경우
* heap object 크기가 정적으로 불명확한 경우
* alias를 통해 실제 object 경계가 바뀔 수 있는 경우
* signed/unsigned cast 때문에 정적 범위 추론이 깨지는 경우

=== LLVM Backward tracing ===
실제 코드에서는 인덱스가 항상 상수로 직접 나타나지 않는다. 따라서 단순히 ''배열 첨자에 상수가 들어갔는가''만 보면 많은 기회를 놓친다. 이를 보완하는 방식이 backward tracing이다.

<syntaxhighlight lang=c>
int foo() {
char buf[20];
unsigned int i = 10;
i++;
buf[i] = 0;
}
</syntaxhighlight>

표면적으로는 <code>i</code>가 변수이므로 동적 접근처럼 보인다. 하지만 SSA 기반 IR에서 보면 최종 값은 <math>11</math>로 환원 가능하다. 즉, 컴파일러가 정의-사용 사슬을 거슬러 올라가며 값을 역추적하면 이 접근 역시 항상 안전하다고 판단할 수 있다.

이 과정에서 주로 필요한 분석은 다음과 같다.

* SSA 기반 value propagation
* constant folding
* backward slicing
* simple range analysis
* dead path pruning

예를 들어 다음과 같은 패턴도 같은 부류이다.

<syntaxhighlight lang=c>
int foo() {
int idx = 4;
int j = idx * 2;
char buf[16];
buf[j] = 1;
return 0;
}
</syntaxhighlight>

여기서 <code>j = 8</code>로 환원되므로 check를 제거할 수 있다.

== Removing Recurring Checks ==
이 범주는 서로 다른 위치에 삽입된 ASan check들이 논리적으로 같은 안전성 조건을 중복해서 확인하는 경우, 뒤의 check를 제거하는 방식이다.

핵심 질문은 다음과 같다.

* 이 check가 검사하는 주소는 이전에 검사한 주소와 같은가
* 이전 check가 더 넓은 범위를 이미 검사했는가
* control-flow 상 이전 check 이후에 대상 pointer나 object 상태가 바뀌지 않는가

가장 단순한 예시는 같은 pointer를 짧은 구간 안에서 반복 접근하는 경우이다.

<syntaxhighlight lang=c>
int *p;
ASan(p);

if (*p == 0) {
ASan(p);
*p = 1;
}
</syntaxhighlight>

두 번째 check는 첫 번째 check와 완전히 같은 대상에 대해 같은 조건을 다시 확인한다. 첫 번째 check 이후에 <code>p</code>가 바뀌지 않고, free가 발생하지 않고, 더 좁아진 memory object로 바뀌지도 않았다면 두 번째 check는 redundant하다.

보다 일반적으로는 다음 조건이 필요하다.

* 두 접근이 must-alias 관계
* 앞선 check가 동일하거나 더 넓은 범위를 검사
* 앞선 check가 뒤 check를 dominance 또는 post-dominance 관계로 덮음
* 두 check 사이에 pointer/object 상태를 깨뜨릴 수 있는 연산이 없음

예를 들어 폭이 다른 access에도 같은 논리가 적용될 수 있다.

<syntaxhighlight lang=c>
char *p;
ASan_8B(p);
x = *(long long *)p;
ASan_1B(p);
y = *p;
</syntaxhighlight>

앞의 8-byte check가 성공했다면 그 범위 안에 포함되는 1-byte access를 다시 검사할 필요가 없는 경우가 있다. 물론 이는 두 access가 같은 object 내에 있고 중간에 상태 변화가 없을 때만 성립한다.

이 최적화는 특히 다음 상황에서 효과적이다.

* 같은 필드를 여러 번 load/store하는 코드
* optimizer가 값을 레지스터로 들고 있지 못해 메모리 재접근이 반복되는 경우
* C++ method chain이나 inline expansion으로 같은 base pointer 검사 코드가 복제되는 경우
* sanitizer slow path를 피하기 위해 원래부터 보수적으로 많은 check가 들어간 경우

하지만 제거가 위험한 경우도 많다.

* 함수 호출이 사이에 있으면 callee가 free를 수행할 수 있다
* unknown store가 object metadata를 바꿀 수 있다
* pointer recast나 integer-to-pointer 변환이 있으면 alias 보장이 약해진다
* signal, longjmp, exceptional control flow 등 비정상 흐름이 있으면 보수적으로 남겨야 한다

따라서 필요한 분석은 다음과 같다.

* alias analysis
* dominance/post-dominance analysis
* escape analysis
* interprocedural mod/ref analysis
* call effect summary

이 계열의 최적화는 check 수를 줄이는 효과가 직접적이며, 특히 대형 C/C++ 프로그램에서 같은 base pointer에 대한 repeated field access가 많기 때문에 체감 효과가 크다.<ref>SANRAZOR: Reducing Redundant Sanitizer Checks in C/C++ Programs. OSDI 2021.</ref><ref>Debloating Address Sanitizer. USENIX Security 2022.</ref>

== Optimizing Neighbor Checks ==
이 범주는 인접한 memory access들이 shadow memory 수준에서는 거의 같은 검사를 수행한다는 점을 이용해, 여러 check를 병합하거나 일부를 제거하는 방식이다.

ASan은 보통 주소를 8:1 shadow mapping으로 변환해 shadow byte를 읽는다. 따라서 주소가 서로 가깝다면 결국 같은 shadow byte 또는 인접한 몇 개의 shadow byte만 확인하게 된다. 이때 source-level access는 여러 개여도 shadow-level 정보는 거의 중복일 수 있다.

=== Mergeable Neighbor Checks ===
서로 인접한 access가 같은 shadow 영역에 속하면, 여러 개의 ASan check를 하나의 묶음 검사로 합칠 수 있다.

예를 들어 다음과 같은 구조체 field access를 생각할 수 있다.

<syntaxhighlight lang=c>
struct S {
int a;
int b;
};

void foo(struct S *ptr) {
ptr->a = 1;
ptr->b = 2;
}
</syntaxhighlight>

일반적인 instrumentation은 다음처럼 각 access마다 독립 check를 넣는다.

* <code>ASan(ptr->a)</code>
* <code>ASan(ptr->b)</code>

하지만 <code>a</code>와 <code>b</code>가 메모리상 연속해 있고 같은 shadow block 또는 매우 가까운 shadow block을 사용한다면, 두 access를 위해 shadow를 두 번 읽는 것은 낭비다. 이때 다음과 같은 병합이 가능하다.

* 먼저 더 큰 범위의 shadow 상태를 한 번 확인
* fast path에서는 두 access를 모두 safe로 간주
* slow path에서만 원래의 세밀한 개별 check로 분기

즉, 논리는 ''넓게 한 번 보고, 이상이 있을 때만 자세히 본다''이다.

이 방식은 다음 이점을 준다.

* shadow load 수 감소
* conditional branch 수 감소
* instruction cache pressure 감소
* 같은 base address 계산의 중복 감소

다만 병합 가능한지는 다음에 좌우된다.

* 두 access의 상대 위치가 정적으로 알려져 있는가
* 병합한 범위가 false negative 없이 원래 두 check를 커버하는가
* alignment와 access width 차이 때문에 coarse check가 지나치게 커지지 않는가

=== Removable Neighbor Checks ===
인접 access 중 일부는 주변 access만으로도 오류가 검출되므로 완전히 제거할 수 있다.

<syntaxhighlight lang=c>
ptr->a = ...;
ptr->b = ...;
ptr->c = ...;
</syntaxhighlight>

여기서 <code>ptr->b</code>가 가리키는 위치에서 위반이 발생한다면, 그 위반이 구조상 반드시 <code>ptr->a</code> 또는 <code>ptr->c</code>의 check에서도 드러나는 경우가 있다. 이 경우 <code>ptr->b</code> check는 새로운 오류 검출 능력을 추가하지 않는다.

이 최적화는 직관적으로는 애매해 보이지만, 핵심은 ''이 access가 독립적인 정보량을 제공하는가''이다. 만약 가운데 access가 주변 access들의 union으로 커버되는 memory safety boundary 안에 있다면 중간 check는 제거 가능하다.

대표적으로 다음 상황에서 기회가 생긴다.

* packed struct field access
* compiler가 분해한 memcpy/memset의 이웃 store들
* vectorized access가 scalar access로 다시 쪼개진 경우
* small-width field들이 연달아 접근되는 경우

이 범주의 최적화는 correctness 조건이 섬세하므로 보통 보수적으로 적용한다. 잘못 적용하면 false negative가 생기기 때문이다.

== Optimizing Checks in Loops ==
loop 내부 check는 ASan overhead의 핵심 원인 중 하나다. 루프는 본질적으로 같은 패턴의 access를 대량 반복하므로, per-iteration instrumentation은 비용이 눈덩이처럼 커진다.

이 범주의 핵심은 다음 두 가지다.

* loop를 도는 동안 변하지 않는 것은 밖으로 빼기
* 반복되는 접근을 chunk 단위로 묶기

=== Loop-invariant Checks ===
루프 안에서 같은 주소를 계속 접근한다면 매 iteration마다 ASan check를 할 필요가 없다.

<syntaxhighlight lang=c>
for (int i = 0; i < N; i++) {
ASan(ptr);
*ptr = i;
}
</syntaxhighlight>

이 코드는 실제로는 같은 위치 <code>ptr</code>를 반복해서 쓴다. 따라서 다음처럼 바꿀 수 있다.

<syntaxhighlight lang=c>
ASan(ptr);
for (int i = 0; i < N; i++) {
*ptr = i;
}
</syntaxhighlight>

이 최적화는 일반 loop-invariant code motion과 유사하지만, 중요한 차이가 있다. 원래 store 자체는 side effect 때문에 루프 밖으로 뺄 수 없더라도, ''check''는 뺄 수 있다는 점이다.

적용 조건은 다음과 같다.

* 루프 반복 동안 대상 주소가 변하지 않음
* 루프 안에서 free/unmap/reallocation 같은 상태 변화가 없음
* signal-like 비정상 흐름으로 memory validity가 바뀌지 않음
* hoisted check가 루프 내 모든 access를 sound하게 대표함

이 최적화는 특히 작은 loop body에서 효과가 크다. 원래 check가 차지하던 비중이 커서, hoisting만으로도 branch와 shadow access 수가 크게 줄어든다.

=== Grouped Checks in Loops ===
loop가 연속된 주소를 차례로 접근한다면, 각 iteration마다 check하는 대신 몇 개 iteration을 묶어서 검사할 수 있다.

<syntaxhighlight lang=c>
for (int i = 0; i < N; i++) {
ASan(ptr + i);
ptr[i] = i;
}
</syntaxhighlight>

이 경우 <code>ptr + i</code>는 연속 증가 주소다. ASan shadow mapping의 granularity를 생각하면, 여러 iteration이 같은 shadow chunk를 공유할 수 있다. 따라서 매번 check하는 대신 다음처럼 바꿀 수 있다.

* 현재 iteration이 속한 shadow chunk를 확인
* 그 chunk 범위 안에서는 추가 check 생략
* chunk 경계를 넘을 때만 다시 검사

즉, ''per-access check''를 ''per-chunk check''로 바꾸는 것이다.

이 방식이 성립하려면 보통 다음이 필요하다.

* contiguous access 또는 고정 stride access
* induction variable이 명확함
* access width가 일정하거나 상한이 추론 가능함
* redzone boundary를 정확히 고려할 수 있음

예를 들어 <math>8:1</math> shadow mapping에서 1-byte store가 연속해서 8번 일어나면, 이 8개의 access는 같은 shadow byte 상태와 연관될 수 있다. 이때 매번 shadow를 읽지 않고 한 번만 읽어도 충분한 경우가 많다.

실제 구현 시 고려해야 할 문제는 다음과 같다.

* 마지막 iteration에서 chunk를 부분적으로만 쓰는 경우
* loop peeling/unrolling 후 원래 induction 관계가 바뀌는 경우
* vectorized loop와 scalar remainder loop를 별도로 처리해야 하는 경우
* stride가 1이 아니라 2, 4, 8인 경우 coverage 계산이 달라지는 경우

이 범주의 최적화는 대규모 array processing, codec, parser, numeric kernel처럼 loop가 긴 코드에서 특히 효과적이다.<ref>Debloating Address Sanitizer. USENIX Security 2022.</ref>

== Redesigning ASAN Checks ==

== References ==

Principles and Methodologies for Serial Performance Optimization

2026-03-19T02:23:09Z

Ahn9807:

[[분류:USENIX OSDI]]
{{Paper|title=Principles and Methodologies for Serial Performance Optimization|author=Sujin Park, Mingyu Guan, Xiang Cheng, Taesoo Kim
Georgia Institute of Technology|year=2025|conference=USENIX OSDI 19}}

== 개요 ==
이 논문은 시스템 성능 최적화에 초점을 맞추고, 이를 체계적으로 최적화하기 위한 framework를 제안한다. 기존에는 성능 최적화가 경험과 직관에 의존했으나, 본 논문은 이를 구조화된 문제로 정의한다.

핵심적으로, sequential task sequence를 최적화하는 세 가지 원리 (removal, replacement, reordering)를 정의하고, 이를 기반으로 8가지 방법론 (batching, caching, precomputing, deferring, relaxation, contextualization, hardware specialization, layering)을 제시한다.

또한, 지난 10년간 OSDI/SOSP 논문 477편을 분석하여, 해당 8가지 방법론이 실제 성능 최적화 기법을 거의 모두 설명할 수 있음을 보인다. 추가적으로 SysGPT라는 fine-tuned LLM을 통해 자동화된 최적화 제안 가능성을 실험적으로 보여준다.

== Motivation & Importance ==
=== 문제 정의 ===
시스템 성능 향상의 핵심은 latency 감소와 throughput 증가이다. 이는 유저 경험에 큰 영향을 미치고, '''사실 논문 작성을 위한 Implementation'''에서도 대부분의 시간을 차지하는 중요한 작업이다. 여기서 Optimization의 중요한 좀은, Sequential portion이 전체 성능의 bottleneck이 된다는 점이다. 이는 [[암달의 법칙]](Amdahl’s law)으로도 잘 알려져 있다.

기존 연구들은 체계적인 방법론이 아니라 optimization이 경험 기반(heuristic)이기 떄문에, 이러한 경험을 확장시키지 못하였다. 본 논문은 Optimization을 하나의 체계화된 구조로 정리하여서, 쉽게 프로그램의 Serial part를 최적화 할 수 있도록 하였다.

== Main Idea ==
문헌 조사를 통해서 기존에는 모호하거나 구전되던 여러 방법들을 3개의 원리와 8개의 방법론으로 분류 하였다.

== Design ==
[[파일:USENIX OSDI 2025 Sujin, Park Table 1.png|프레임|가운데]]
=== 3가지의 원리 ===
* Removal (<math>P_{rm}</math>): 수행해야 하는 Instruction의 개수를 줄여서 optimization하는 방법이다.
* Replacement (<math>P_{rep}</math>): 기존에 수행되던 Instruction을 더 빠른 방식 또는 더 효율적인 알고리즘으로 대체하여 전체 실행 비용을 줄이는 방법이다.
* Reordering (<math>P_{ord}</math>): Instruction 또는 Task의 실행 순서를 변경하여 dependency를 유지하면서도 latency를 줄이거나 병목 구간을 완화하는 방법이다.

=== 8가지 Methodologies ===
# Batching [Rm, Rep, Ord]: 여러 태스크들을 묶어서 처리하여 각 태스크에 존재하는 중복 비용을 제거하고 ('''Rm'''), 묶음 단위로 더 효율적인 처리 방식으로 대체하며 ('''Rep'''), 실행 순서를 조정하여 locality를 향상시키는 ('''Ord''') 기법이다.
# Caching [Rep]: 이전에 수행된 연산 결과를 저장해두고 재사용함으로써, 동일한 연산을 반복 수행하는 알고리즘을 대체하는 ('''Rep''') 기법이다.
# Precomputing [Rm, Ord]: 실행 경로 상에서 수행될 연산을 미리 계산하여 runtime의 critical path에서 해당 작업을 제거하고 ('''Rm'''), 실행 시점을 앞당겨 순서를 변경하는 ('''Ord''') 기법이다.
# Deferring [Ord -> Rm,Ord]: 즉시 수행할 필요가 없는 작업을 나중으로 미루어 실행 순서를 변경하고 ('''Ord'''), batching이나 추가적인 최적화 기회를 확보하는 기법이다.
# Relaxation [Rep, Rm]: 정확성이나 일관성의 일부를 희생하는 대신, 더 단순하고 빠른 연산으로 대체하여 실행 비용을 줄이거나 ('''Rep''') 아니면 생략 하는 ('''Rm''') 기법이다.
# Contextualization [Rep, Ord]: runtime 상황이나 workload 특성에 맞게 실행 방식을 더 적합한 방식으로 대체하는 ('''Rep''') 방식이다.
# Hardware Specialization [Rep]: 특정 하드웨어의 특성을 활용하여 기존 연산을 더 빠른 하드웨어 기반 처리로 대체하는 ('''Rep''') 기법이다.
# Layering [Rm, Rep]: 시스템 계층을 제거하거나 우회하여 불필요한 작업을 제거하고 ('''Rm'''), 하나의 레이어를 여러개의 레이어로 나누어서 상호의존성을 줄이는 ('''Rep''') 기법이다.

=== Methodology 특징 ===
* 여러 방법이 동시에 사용됨 (평균 2.01개)
* 서로 결합되어 효과 증폭

== Result ==
=== Empirical Study ===
* OSDI/SOSP 477개 논문 분석
* 206개 performance 논문 모두 8가지 방법론으로 설명 가능 (특히 논문에서 제일 재밌는 파트였는데, 기존의 내가 알고 있던 논문들의 Design들이 제시한 Optimization기법으로 설명된다는 것을 보며, 논문을 읽으면서 들었던 생각인, 어쩌면 중복되는 아이디어가 많다는 생각이 여기서 나온 것은 아닌 가 하는 생각이 들었다. 따라서 Implementation이든 Design이든 새로운 시스템 아이디어를 구현한다는 것은 어떻게 기존 시스템을 보다 최적화 할 수 있다는 것에 있음을 보며, 적절한 Optimization기법을 효과적으로 사용하는 방법을 배우는 과정이라는 생각이 들었다.)

== [[Conclusion]] ==
이 논문은 Memory allocator optimization을 많이 해 왔던 나의 경험에 비추어서, 평소 생각하고 있었던 Implementation의 Optimization step-by-step solution의 가려운 부분을 긁어준 매우 재미있는 논문이었다. 나중에도 만약 Optimization할일이 있다면, 이 논문에서 제공하는 여러 원리와 방법론들을 참고 하면서 (혹은 GPT에 이 논문을 넣고 해줘 하면서...), checklist를 참고할 수 있을 것 같다는 생각이든다. 논문의 흐름도 매우 매끄럽고, 이해하는데 어려움이 없었지만, 몇몇 설명들은 설명의 Completness를 위해서인지 조금 쉬운 내용을 어렵게 설명하는 느낌이 (E.g., Section 2.1 Principles for performance optimization)있었다. 그리고 원리의 3가지 요소들은 서로 중복되는 면이 없지 않는가 하는 생각이 들었다.

Principles and Methodologies for Serial Performance Optimization

2026-03-19T02:22:23Z

Ahn9807: 새 문서: 분류:USENIX OSDI {{Paper|title=Principles and Methodologies for Serial Performance Optimization|author=Sujin Park, Mingyu Guan, Xiang Cheng, Taesoo Kim Georgia Institute of Technology|year=2025|conference=USENIX OSDI 19}} == 개요 == 이 논문은 시스템 성능 최적화에 초점을 맞추고, 이를 체계적으로 최적화하기 위한 framework를 제안한다. 기존에는 성능 최적화가 경험과 직관에 의존했으나, 본 논문은 이를 구조화된...

파일:USENIX OSDI 2025 Sujin, Park Table 1.png

2026-03-18T12:03:04Z

Ahn9807:

Table 1: Summary of the eight methodologies, detailing their underlying principles, visual representations, necessary conditions, and strategic applications.

Fast Pointer Nullification for Use-After-Free Prevention

2026-03-18T08:03:10Z

Ahn9807:

[[분류:NDSS]]

{{Paper|title=Fast Pointer Nullification for Use-After-Free Prevention|author=Yubo Du University of Pittsburgh yubo.du@pitt.edu Youtao Zhang University of Pittsburgh youtao@pitt.edu Jun Yang University of Pittsburgh juy9@pitt.edu|conference=NDSS 2026|year=2026}}

== 개요 ==
[[Pointer nullification]]기법은 [[Use-after-free]]버그를 효과적으로 막을 수 있지만, 기존의 PN (Pointer nullification)기법들은 메타데이터 Lookup에 많은 시간이 사용되기 때문에 효율적으로 사용하기는 어려웠다.

이 논문은 '''Fast Pointer Nullification (FPN)'''이라는 기법을 제안하여, 최적화된 PN을 통해 UAF 탐지 및 방지의 성능을 향상시키는 것을 목표로 한다.

기존 PN의 핵심 병목이었던 metadata lookup을 단순화하고, 공간적 지역성을 활용한 새로운 저장 구조를 통해 성능과 메모리 오버헤드를 동시에 줄인다.

== Motivation & Importance ==
UAF 버그는 dangling pointer가 해제된 메모리를 참조하면서 발생하는 취약점으로, arbitrary code execution 등 심각한 보안 문제로 이어질 수 있다.

이를 방지하기 위한 다양한 기법이 존재하지만, 성능(Performance), 메모리 사용량(Memory consumption), 보안(Security), 호환성(Compatibility) 측면에서 trade-off가 존재한다.

그중 Pointer Nullification (PN)기법은 이러한 trade-off를 비교적 균형 있게 만족하는 방식으로 평가된다.

== Background ==
[[파일:NDSS 2026 FPN Figure 2.png|섬네일|오른쪽]]
Pointer Nullification은 다음과 같은 방식으로 동작한다:

# heap object가 생성될 때 metadata를 생성한다.
# pointer가 특정 object를 가리킬 때, 해당 pointer의 저장 위치를 metadata에 기록한다.
# object가 free될 때, 해당 object를 가리키는 모든 pointer를 찾아 null로 설정한다.

즉, dangling pointer가 생성되는 것을 사전에 제거하여 UAF를 방지하는 방식이다.

하지만 PN 기법에는 다음과 같은 문제가 존재한다:

* pointer → object 관계를 추적하기 위한 metadata lookup 비용이 매우 큼
* CAMP 기준으로 약 62.5%의 성능 오버헤드가 lookup에서 발생
* metadata를 tree/hash 구조로 저장 → cache locality가 매우 나쁨

또한 pointer 저장 위치들은 실제로는 공간적으로 밀집되어 있는 경우가 많음에도 불구하고, 이를 활용하지 못하는 비효율이 존재한다.

== Main Idea ==
이 논문은 Fast Pointer Nullification이라는 기법을 도입하였다.

FPN은 두 가지 핵심 최적화 디자인을 포함한다:

* Constant-time and lightweight metadata address computation: pointer가 속한 metadata 위치를 bit-shift 연산으로 계산하여 O(1) 접근
* Spatial locality 활용: individual pointer storage location 대신 <math>2^M</math> byte-aligned memory block 단위로 관리

즉,
* 기존 PN: pointer 단위 tracking
* FPN: block 단위 tracking

을 통해 metadata lookup과 registration 비용을 동시에 줄인다.

== Challenge ==
* PN 방식은 pointer가 어떤 연결관계를 맺는지를 기억해야 한다. 이 metadata lookup 비용이 매우 크다.
** DangNULL: Red-black tree 사용 → O(log n)
** CAMP: 최적화했지만 여전히 높은 비용
** 전체 성능 오버헤드 중 약 62.50%가 lookup에서 발생
* metadata가 spatial locality를 전혀 반영하지 못한다.
** hash / tree 기반 구조 → 메모리 상에 무작위 배치
** pointer 저장 위치는 실제로 인접한 경우가 많음에도 불구하고 이를 활용하지 못함
** cache miss 증가 및 성능 저하 발생

== Design ==
[[파일:NDSS 2026 FPN Figure 4.png|프레임|가운데]]

FPN은 기존 PN의 동작 구조를 유지하면서 내부 메커니즘을 최적화한다.

여기서 Buffer는 Allocation된 Heap메모리를, Pointer는 그 Buffer를 가르키는 포인터를 의미한다. 예를 들어서 Pointer A = Buffer; 이 있을때, Pointer B = A;면 Pointer A와 Pointer B는 동시에 같은 Buffer B를 가르키고, 과연 어떻게 이러한 종속관계를 빠르게 추적할 수 있는 자료구조를 만들 수 있을지가 이 논문의 핵심이다.

=== Region-based Metadata ===
메모리를 2^N byte 단위 region으로 분할하고 pointer가 속한 region을 다음과 같이 계산한다:

region_id = ptr >> N

각 region은 다음 정보를 포함한다:
* buffer list: 이 리전에 포함된 버퍼들의 리스트를 가지고 있다. 이 리스트는 Buffer info로 관리되며 각 Buffer info는 할당된 메모리들의 Start address와 End address가 있다.
* block list: 이 리전을 가르키는 포인터들이 어떤 Block에 속하는 지에 대한 리스트를 가지고 있다.

이를 통해 metadata lookup을 constant-time으로 수행할 수 있다.

=== Block-based Pointer Registration ===
기존 PN는 pointer 저장 위치를 개별적으로 기록하지만 FPN과 같은 경우는 pointer가 속한 block 단위로 등록한다.

block_addr = store_loc & ~(2^M - 1)

동작:
# pointer → region 계산
# region의 block list 접근
# 최근 block들과 비교하여 중복 제거
# 새로운 block만 등록 (이 Region에는 Block 1과 Block 2에 해당하는 포인터들이 있다. 즉 Possible한 Pointer의 Range를 가지고 있는 것)

효과:
# registration 횟수 감소
# metadata 크기 감소
# cache locality 향상

=== Nullification 과정 ===
object free 시:
# 해당 object가 속한 region 확인
# region의 block list 순회
# 각 block 내 pointer 후보 탐색
# 해당 object를 가리키는 pointer를 null로 설정
# Region에서 Buffer info제거

특징:
* pointer를 정확히 저장하지 않고 block 단위로 탐색
* '''deallocation frequency가 낮기 때문에 overhead는 제한적'''

=== Status Bit (False Positive 방지) ===
문제: block 단위 탐색 시 pointer가 아닌 값까지 nullify될 위험 존재한다.

해결: shadow memory 기반 status bit 사용

status_table[address >> 3]
* pointer 저장 시 bit 설정
* free 시 bit 제거

효과:
* false positive 제거
* 안전한 nullification

== Evaluation ==
=== 성능 및 메모리 오버헤드 ===
: SPEC CPU 2017 기준으로 분석하였을 경우
* 성능 오버헤드: 약 17.78%
* 메모리 오버헤드: 약 8.34%

; 기존 PN 대비 크게 개선된 사항
* CAMP: ~56% performance / ~173% memory
* FreeSentry: 높은 메모리 오버헤드

== [[Conclusion]] ==
FPN은 기존 Pointer Nullification의 핵심 병목이었던 metadata lookup 비용과 pointer registration를 Corased-grained block-based region search로 변경하여 문제를 해결하였다. 그결과, 낮은 성능 및 메모리 오버헤드를 가져올 수 있었다. 논문의 몇몇 가정은 동의하기 힘든 부분도 있었지만, "E.g., Page 5, "ALthough scanning entire blocks during nullification may introduce additional performance overhead, deallocations occur infrequently in most applications", [[BUDAlloc: Defeating Use-After-Free Bugs by Decoupling Virtual Address Management from Kernel|BUDAlloc]]과 [[SwiftSweeper]]를 평가에 반영하였기 때문에 매우 높은 점수를 주고 싶다.

Minor comments:

# Buffer information이 설명없이 그림에만 나와서, 알고리즘을 이해하는데 조금 어려웠다.

Major comments:

# Deallocation frequency가 낮기 때문에 Free성능이 병목이 되지 않는 다고 주장하고 있지만, 이 부분에 대한 명시적인 증거가 필요해 보인다. 추측해 보건데, Deallocation frequency가 낮은 것이 아니라, 단순히 Pointer tracking이 Deallocation시의 Overhead를 감수할만큼 더 많이 Overhead를 줄인 것으로 추측된다.
# Performance overhead관점에서 보았을 경우, FPN은 Pointer nullification의 단점인 Overhead를 확실히 많이 끌어 올린 것은 맞지만, 기존의 FFmalloc과 같은 논문과 비교하여 아직 부족한 부분이 있다. Pointer nullification을 좀더 빠르게 만들 수 있는 방법으로, Block tracking 내부적으로 Hash를 이용하는 방법이나, 아니면 LLVM컴파일러의 도움을 받는 부분도 탐색하면 좋을 것 같다는 생각이 든다.

Fast Pointer Nullification for Use-After-Free Prevention

2026-03-18T08:02:53Z

Ahn9807: 새 문서: index.php?title=분류:NDSS {{Paper|title=Fast Pointer Nullification for Use-After-Free Prevention|author=Yubo Du University of Pittsburgh yubo.du@pitt.edu Youtao Zhang University of Pittsburgh youtao@pitt.edu Jun Yang University of Pittsburgh juy9@pitt.edu|conference=NDSS 2026|year=2026}} == 개요 == Pointer nullification기법은 Use-after-free버그를 효과적으로 막을 수 있지만, 기존의 PN (Pointer nullification)기법들은 메타데이터 Looku...

[[index.php?title=분류:NDSS]]

{{Paper|title=Fast Pointer Nullification for Use-After-Free Prevention|author=Yubo Du University of Pittsburgh yubo.du@pitt.edu Youtao Zhang University of Pittsburgh youtao@pitt.edu Jun Yang University of Pittsburgh juy9@pitt.edu|conference=NDSS 2026|year=2026}}

== 개요 ==
[[Pointer nullification]]기법은 [[Use-after-free]]버그를 효과적으로 막을 수 있지만, 기존의 PN (Pointer nullification)기법들은 메타데이터 Lookup에 많은 시간이 사용되기 때문에 효율적으로 사용하기는 어려웠다.

이 논문은 '''Fast Pointer Nullification (FPN)'''이라는 기법을 제안하여, 최적화된 PN을 통해 UAF 탐지 및 방지의 성능을 향상시키는 것을 목표로 한다.

기존 PN의 핵심 병목이었던 metadata lookup을 단순화하고, 공간적 지역성을 활용한 새로운 저장 구조를 통해 성능과 메모리 오버헤드를 동시에 줄인다.

== Motivation & Importance ==
UAF 버그는 dangling pointer가 해제된 메모리를 참조하면서 발생하는 취약점으로, arbitrary code execution 등 심각한 보안 문제로 이어질 수 있다.

이를 방지하기 위한 다양한 기법이 존재하지만, 성능(Performance), 메모리 사용량(Memory consumption), 보안(Security), 호환성(Compatibility) 측면에서 trade-off가 존재한다.

그중 Pointer Nullification (PN)기법은 이러한 trade-off를 비교적 균형 있게 만족하는 방식으로 평가된다.

== Background ==
[[파일:NDSS 2026 FPN Figure 2.png|섬네일|오른쪽]]
Pointer Nullification은 다음과 같은 방식으로 동작한다:

# heap object가 생성될 때 metadata를 생성한다.
# pointer가 특정 object를 가리킬 때, 해당 pointer의 저장 위치를 metadata에 기록한다.
# object가 free될 때, 해당 object를 가리키는 모든 pointer를 찾아 null로 설정한다.

즉, dangling pointer가 생성되는 것을 사전에 제거하여 UAF를 방지하는 방식이다.

하지만 PN 기법에는 다음과 같은 문제가 존재한다:

* pointer → object 관계를 추적하기 위한 metadata lookup 비용이 매우 큼
* CAMP 기준으로 약 62.5%의 성능 오버헤드가 lookup에서 발생
* metadata를 tree/hash 구조로 저장 → cache locality가 매우 나쁨

또한 pointer 저장 위치들은 실제로는 공간적으로 밀집되어 있는 경우가 많음에도 불구하고, 이를 활용하지 못하는 비효율이 존재한다.

== Main Idea ==
이 논문은 Fast Pointer Nullification이라는 기법을 도입하였다.

FPN은 두 가지 핵심 최적화 디자인을 포함한다:

* Constant-time and lightweight metadata address computation: pointer가 속한 metadata 위치를 bit-shift 연산으로 계산하여 O(1) 접근
* Spatial locality 활용: individual pointer storage location 대신 <math>2^M</math> byte-aligned memory block 단위로 관리

즉,
* 기존 PN: pointer 단위 tracking
* FPN: block 단위 tracking

을 통해 metadata lookup과 registration 비용을 동시에 줄인다.

== Challenge ==
* PN 방식은 pointer가 어떤 연결관계를 맺는지를 기억해야 한다. 이 metadata lookup 비용이 매우 크다.
** DangNULL: Red-black tree 사용 → O(log n)
** CAMP: 최적화했지만 여전히 높은 비용
** 전체 성능 오버헤드 중 약 62.50%가 lookup에서 발생
* metadata가 spatial locality를 전혀 반영하지 못한다.
** hash / tree 기반 구조 → 메모리 상에 무작위 배치
** pointer 저장 위치는 실제로 인접한 경우가 많음에도 불구하고 이를 활용하지 못함
** cache miss 증가 및 성능 저하 발생

== Design ==
[[파일:NDSS 2026 FPN Figure 4.png|프레임|가운데]]

FPN은 기존 PN의 동작 구조를 유지하면서 내부 메커니즘을 최적화한다.

여기서 Buffer는 Allocation된 Heap메모리를, Pointer는 그 Buffer를 가르키는 포인터를 의미한다. 예를 들어서 Pointer A = Buffer; 이 있을때, Pointer B = A;면 Pointer A와 Pointer B는 동시에 같은 Buffer B를 가르키고, 과연 어떻게 이러한 종속관계를 빠르게 추적할 수 있는 자료구조를 만들 수 있을지가 이 논문의 핵심이다.

=== Region-based Metadata ===
메모리를 2^N byte 단위 region으로 분할하고 pointer가 속한 region을 다음과 같이 계산한다:

region_id = ptr >> N

각 region은 다음 정보를 포함한다:
* buffer list: 이 리전에 포함된 버퍼들의 리스트를 가지고 있다. 이 리스트는 Buffer info로 관리되며 각 Buffer info는 할당된 메모리들의 Start address와 End address가 있다.
* block list: 이 리전을 가르키는 포인터들이 어떤 Block에 속하는 지에 대한 리스트를 가지고 있다.

이를 통해 metadata lookup을 constant-time으로 수행할 수 있다.

=== Block-based Pointer Registration ===
기존 PN는 pointer 저장 위치를 개별적으로 기록하지만 FPN과 같은 경우는 pointer가 속한 block 단위로 등록한다.

block_addr = store_loc & ~(2^M - 1)

동작:
# pointer → region 계산
# region의 block list 접근
# 최근 block들과 비교하여 중복 제거
# 새로운 block만 등록 (이 Region에는 Block 1과 Block 2에 해당하는 포인터들이 있다. 즉 Possible한 Pointer의 Range를 가지고 있는 것)

효과:
# registration 횟수 감소
# metadata 크기 감소
# cache locality 향상

=== Nullification 과정 ===
object free 시:
# 해당 object가 속한 region 확인
# region의 block list 순회
# 각 block 내 pointer 후보 탐색
# 해당 object를 가리키는 pointer를 null로 설정
# Region에서 Buffer info제거

특징:
* pointer를 정확히 저장하지 않고 block 단위로 탐색
* '''deallocation frequency가 낮기 때문에 overhead는 제한적'''

=== Status Bit (False Positive 방지) ===
문제: block 단위 탐색 시 pointer가 아닌 값까지 nullify될 위험 존재한다.

해결: shadow memory 기반 status bit 사용

status_table[address >> 3]
* pointer 저장 시 bit 설정
* free 시 bit 제거

효과:
* false positive 제거
* 안전한 nullification

== Evaluation ==
=== 성능 및 메모리 오버헤드 ===
: SPEC CPU 2017 기준으로 분석하였을 경우
* 성능 오버헤드: 약 17.78%
* 메모리 오버헤드: 약 8.34%

; 기존 PN 대비 크게 개선된 사항
* CAMP: ~56% performance / ~173% memory
* FreeSentry: 높은 메모리 오버헤드

== [[Conclusion]] ==
FPN은 기존 Pointer Nullification의 핵심 병목이었던 metadata lookup 비용과 pointer registration를 Corased-grained block-based region search로 변경하여 문제를 해결하였다. 그결과, 낮은 성능 및 메모리 오버헤드를 가져올 수 있었다. 논문의 몇몇 가정은 동의하기 힘든 부분도 있었지만, "E.g., Page 5, "ALthough scanning entire blocks during nullification may introduce additional performance overhead, deallocations occur infrequently in most applications", [[BUDAlloc: Defeating Use-After-Free Bugs by Decoupling Virtual Address Management from Kernel|BUDAlloc]]과 [[SwiftSweeper]]를 평가에 반영하였기 때문에 매우 높은 점수를 주고 싶다.

Minor comments:

# Buffer information이 설명없이 그림에만 나와서, 알고리즘을 이해하는데 조금 어려웠다.

Major comments:

# Deallocation frequency가 낮기 때문에 Free성능이 병목이 되지 않는 다고 주장하고 있지만, 이 부분에 대한 명시적인 증거가 필요해 보인다. 추측해 보건데, Deallocation frequency가 낮은 것이 아니라, 단순히 Pointer tracking이 Deallocation시의 Overhead를 감수할만큼 더 많이 Overhead를 줄인 것으로 추측된다.
# Performance overhead관점에서 보았을 경우, FPN은 Pointer nullification의 단점인 Overhead를 확실히 많이 끌어 올린 것은 맞지만, 기존의 FFmalloc과 같은 논문과 비교하여 아직 부족한 부분이 있다. Pointer nullification을 좀더 빠르게 만들 수 있는 방법으로, Block tracking 내부적으로 Hash를 이용하는 방법이나, 아니면 LLVM컴파일러의 도움을 받는 부분도 탐색하면 좋을 것 같다는 생각이 든다.

파일:NDSS 2026 FPN Figure 4.png

2026-03-18T04:56:12Z

Ahn9807:

Diagram of FPN and comparisons of pointer registrations between previous PN methods and FPN. To illustrate the points-to relationships more clearly, (a) presents two conceptual views of memory (overlapping with each other): a zoomed-in view highlighting the heap region that heap pointers reference, and a full-memory view showing where these pointers may be stored.

파일:NDSS 2026 FPN Figure 2.png

2026-03-18T03:54:09Z

Ahn9807:

NDSS 2026 FPN Figure 2

대문

2026-02-06T14:11:27Z

Ahn9807:

<templatestyles src="Template:대문/shared/styles.css" />

{{대문/header}}

<div id="home-content" class="home-grid">
<div id="home-card-onthewiki" class="home-card home-card--col1 home-card--row1">
<div class="home-card__label">Nori wiki</div>
<div class="home-link">
<div class="home-link__button">[[Help:About the wiki|About the wiki]]</div>
<div class="home-link__button">[[Help:Style guide|Style guide]]</div>
<div class="home-link__button">[[Help:How to contribute|How to contribute]]</div>
</div>
</div>

<div id="home-card-onthewiki" class="home-card home-card--col2 home-card--row1">
<div class="home-card__label">Author</div>
<div class="home-link">
안준호 (Ahn, Junho)<br>
KAIST E3-1 CASYS Lab<br>
✉️ junhoahn@kaist.ac.kr
<div class="home-link__button">[https://sites.google.com/view/junhoahn/ Curriculum Vitae]</div>
</div>
</div>

<div id="home-card-onthewiki" class="home-card home-card--col3 home-card--row1">
<div class="home-card__label">Submissions</div>
# USENIX Security 2024 <strong>Junho Ahn</strong>, Jaehyeon Lee, KangHyuk Lee, Wooseok Gwak, Minseong Hwang, Youngjin Kwon, "[[BUDAlloc: Defeating Use-After-Free Bugs by Decoupling Virtual Address Management from Kernel]]" (Acceptance rate: 18.32%, BK21++)
# IEEE S&P 2025 <strong>Junho Ahn</strong>, KangHyuk Lee, Chanyoung Park, Hyungon Moon, Youngjin Kwon, "[[SwiftSweeper: Defeating Use-After-Free Bugs Using Memory Sweeper Without Stop-the-World]]" (Acceptance rate: 14.8%, BK21++)
# European Conference on Computer Systems (EuroSys), 2026 Minkyu Jung, Chanshin Kwak, <strong>Junho Ahn</strong>, Sunho Park, Changjun Lee, Jongyul Kim, Jeehoon Kang, Youngjin Kwon "CofferOS: Hardening OS-level Virtualization with Rust" (BK21++)
<div class="home-card__header" style="font-size:200%">

</div>
</div>

</div>
<tabber>
|-|Science=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">전산과학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">논문 작성법</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">수학</categorytree>
</div>
<div style="clear:both"></div>
|-|Hobby=
<div class="home-card">
<categorytree mode="pages" namespaces="Main Category">필름 카메라</categorytree>
</div>
|-|Liberal Arts=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">중국 문화와 역사</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
</tabber>

<div class="home-card">
<div class="home-card__label">최근 바뀜</div>
{{Special:RecentChanges/15,hidecategorization,hideminor}}
</div>
</div>

<!---
|-|Book Review=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
---!>

대문

2026-02-06T14:10:56Z

Ahn9807:

<templatestyles src="Template:대문/shared/styles.css" />

{{대문/header}}

<div id="home-content" class="home-grid">
<div id="home-card-onthewiki" class="home-card home-card--col1 home-card--row1">
<div class="home-card__label">Nori wiki</div>
<div class="home-link">
<div class="home-link__button">[[Help:About the wiki|About the wiki]]</div>
<div class="home-link__button">[[Help:Style guide|Style guide]]</div>
<div class="home-link__button">[[Help:How to contribute|How to contribute]]</div>
</div>
</div>

<div id="home-card-onthewiki" class="home-card home-card--col2 home-card--row1">
<div class="home-card__label">Author</div>
<div class="home-link">
안준호 (Ahn, Junho)<br>
KAIST E3-1 CASYS Lab<br>
✉️ junhoahn@kaist.ac.kr
<div class="home-link__button">[https://sites.google.com/view/junhoahn/ Curriculum Vitae]</div>
</div>
</div>

<div id="home-card-onthewiki" class="home-card home-card--col3 home-card--row1">
<div class="home-card__label">Submissions</div>
# USENIX Security 2024 <strong>Junho Ahn</strong>, Jaehyeon Lee, KangHyuk Lee, Wooseok Gwak, Minseong Hwang, Youngjin Kwon, "[[BUDAlloc: Defeating Use-After-Free Bugs by Decoupling Virtual Address Management from Kernel]]" (Acceptance rate: 18.32%, BK21++)
# IEEE S&P 2025 <strong>Junho Ahn</strong>, KangHyuk Lee, Chanyoung Park, Hyungon Moon, Youngjin Kwon, "[[SwiftSweeper: Defeating Use-After-Free Bugs Using Memory Sweeper Without Stop-the-World]]" (Acceptance rate: 14.8%, BK21++)
# European Conference on Computer Systems (EuroSys), 2026 Minkyu Jung, Chanshin Kwak, <strong>Junho Ahn</strong>, Sunho Park, Changjun Lee, Jongyul Kim, Jeehoon Kang, Youngjin Kwon "[CofferOS: Hardening OS-level Virtualization with Rust" (BK21++)
<div class="home-card__header" style="font-size:200%">

</div>
</div>

</div>
<tabber>
|-|Science=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">전산과학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">논문 작성법</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">수학</categorytree>
</div>
<div style="clear:both"></div>
|-|Hobby=
<div class="home-card">
<categorytree mode="pages" namespaces="Main Category">필름 카메라</categorytree>
</div>
|-|Liberal Arts=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">중국 문화와 역사</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
</tabber>

<div class="home-card">
<div class="home-card__label">최근 바뀜</div>
{{Special:RecentChanges/15,hidecategorization,hideminor}}
</div>
</div>

<!---
|-|Book Review=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
---!>

Evaluating the Effectiveness of Memory Safety Sanitizers

2026-02-03T13:34:54Z

Ahn9807: 새 문서: {{Paper|title=Evaluating the Effectiveness of Memory Safety Sanitizers|conference=IEEE Symposium on Security and Privacy (SP)|year=2025|author=Emanuel Q. Vintila Technical University of Munich emanuel.vintila@tum.de Philipp Zieris Fraunhofer AISEC philipp.zieris@aisec.fraunhofer.de Julian Horsch Fraunhofer AISEC julian.horsch@aisec.fraunhofer.de}} 분류: IEEE S&P == 개요 == 기존의 다양한 Memory sanitizer들은 성능으로는 Evlauation결과를 보여주지만...

{{Paper|title=Evaluating the Effectiveness of Memory Safety Sanitizers|conference=IEEE Symposium on Security and Privacy (SP)|year=2025|author=Emanuel Q. Vintila Technical University of Munich emanuel.vintila@tum.de Philipp Zieris Fraunhofer AISEC philipp.zieris@aisec.fraunhofer.de Julian Horsch Fraunhofer AISEC julian.horsch@aisec.fraunhofer.de}}

[[분류: IEEE S&P]]

== 개요 ==
기존의 다양한 Memory sanitizer들은 성능으로는 Evlauation결과를 보여주지만 Bug detection capabilities는 Evaluation에서 간과하고 있다. 이 논문은 MSET이라는 Memory safety sanitizer들의 Bug detectabilities를 측정하는 툴을 만들어거 기존의 Sanitizer들의 Bug detectabilities를 다양한 Metric들을 통해서 정량분석 하였다. 이를 통하여 기존의 시스템들이 개념적인 이론은 제공하고 있지만 잘못된 혹은 불충분한 Implementation으로 제대로 동작하지 못하고 있음 또한 알아내었으며, 후속 연구들의 편의를 도모하기 위해서 Open source화 하였다.

== Motivation & Importance ==
Memory safety는 중요하고 그중에서 특히 Spatial safety bug를 잡는 Sanitizer들은 계속 해서 연구되어지고 있다. 그러나 아직 Memory sanitizer의 버그 검출 성능을 spatial safety버그 분야에서 제대로 측정할 수 있는 Metric(성능 지표)는 아직 정립되어 있지 않았다.

== Main Idea ==
Memory Sanitizer Evaluation Tool (MSET)이라는 툴을 개발하여서, 기존 Memory Sanitizer들의 연구를 분석하여 결과를 비교하였다.

== Design ==

== Result ==

== [[Conclusion]] ==

분류:LLVM

2026-01-19T10:20:33Z

Ahn9807: 새 문서: 분류: 컴파일러

[[분류: 컴파일러]]

LLVM

2026-01-19T10:19:46Z

Ahn9807: 새 문서: 분류: 오픈소스 프로젝트 분류: LLVM == 개요 == LLVM(Low Level Virtual Machine)은 모듈화된 구조를 가진 오픈소스 컴파일러 인프라 프로젝트이다. 특정 프로그래밍 언어에 종속되지 않고, 공통의 중간 표현(IR, Intermediate Representation)을 중심으로 다양한 컴파일 최적화와 코드 생성을 수행하는 것이 특징이다. LLVM의 핵심 아이디어는 프로그래밍 언어 → 중간 표현(IR) →...

[[분류: 오픈소스 프로젝트]]
[[분류: LLVM]]

== 개요 ==
LLVM(Low Level Virtual Machine)은 모듈화된 구조를 가진 오픈소스 컴파일러 인프라 프로젝트이다. 특정 프로그래밍 언어에 종속되지 않고, 공통의 중간 표현(IR, Intermediate Representation)을 중심으로 다양한 컴파일 최적화와 코드 생성을 수행하는 것이 특징이다.

LLVM의 핵심 아이디어는 프로그래밍 언어 → 중간 표현(IR) → 최적화 → 대상 아키텍처 코드 생성이라는 단계적 구조이다. 이를 통해 여러 언어가 동일한 최적화 파이프라인을 공유할 수 있으며, 새로운 언어나 하드웨어 아키텍처를 비교적 쉽게 지원할 수 있다.

LLVM은 전통적인 단일 컴파일러가 아니라, 컴파일러를 구성하는 재사용 가능한 라이브러리들의 집합으로 설계되었다. 이로 인해 다양한 컴파일 최적화 기법을 독립적으로 구현·조합할 수 있고, 연구 및 산업 전반에서 폭넓게 활용되고 있다.

== 중간 표현(IR) ==
LLVM은 프로그램을 LLVM IR(Intermediate Representation)이라는 저수준 중간 언어로 표현한다. LLVM IR은 어셈블리어와 유사한 형태를 가지지만, 플랫폼에 독립적이며 정형화된 구조를 갖는다. 모든 소스 언어는 먼저 LLVM IR로 변환된 후, 언어와 무관한 최적화 과정을 거치게 된다.

LLVM IR의 주요 특징은 다음과 같다.
* 정적 단일 할당(SSA, Static Single Assignment) 형식을 사용하여 분석과 최적화가 용이함
* 고급 언어의 구조를 유지하면서도 저수준 최적화가 가능함
* 텍스트 형식(.ll)과 바이너리 형식(.bc)을 모두 지원함

대문

2026-01-19T09:52:18Z

Ahn9807:

<templatestyles src="Template:대문/shared/styles.css" />

{{대문/header}}

<div id="home-content" class="home-grid">
<div id="home-card-onthewiki" class="home-card home-card--col1 home-card--row1">
<div class="home-card__label">Nori wiki</div>
<div class="home-link">
<div class="home-link__button">[[Help:About the wiki|About the wiki]]</div>
<div class="home-link__button">[[Help:Style guide|Style guide]]</div>
<div class="home-link__button">[[Help:How to contribute|How to contribute]]</div>
</div>
</div>

<div id="home-card-onthewiki" class="home-card home-card--col2 home-card--row1">
<div class="home-card__label">Author</div>
<div class="home-link">
안준호 (Ahn, Junho)<br>
KAIST E3-1 CASYS Lab<br>
✉️ junhoahn@kaist.ac.kr
<div class="home-link__button">[https://sites.google.com/view/junhoahn/ Curriculum Vitae]</div>
</div>
</div>

<div id="home-card-onthewiki" class="home-card home-card--col3 home-card--row1">
<div class="home-card__label">Submissions</div>
# USENIX Security 2024 <strong>Junho Ahn</strong>, Jaehyeon Lee, KangHyuk Lee, Wooseok Gwak, Minseong Hwang, Youngjin Kwon, "[[BUDAlloc: Defeating Use-After-Free Bugs by Decoupling Virtual Address Management from Kernel]]" (Acceptance rate: 18.32%, BK21++)
# IEEE S&P 2025 <strong>Junho Ahn</strong>, KangHyuk Lee, Chanyoung Park, Hyungon Moon, Youngjin Kwon, "[[SwiftSweeper: Defeating Use-After-Free Bugs Using Memory Sweeper Without Stop-the-World]]" (Acceptance rate: 14.8%, BK21++)
<div class="home-card__header" style="font-size:200%">

</div>
</div>

</div>
<tabber>
|-|Science=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">전산과학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">논문 작성법</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">수학</categorytree>
</div>
<div style="clear:both"></div>
|-|Hobby=
<div class="home-card">
<categorytree mode="pages" namespaces="Main Category">필름 카메라</categorytree>
</div>
|-|Liberal Arts=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">중국 문화와 역사</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
</tabber>

<div class="home-card">
<div class="home-card__label">최근 바뀜</div>
{{Special:RecentChanges/15,hidecategorization,hideminor}}
</div>
</div>

<!---
|-|Book Review=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
---!>

대문

2026-01-19T09:50:07Z

Ahn9807:

<templatestyles src="Template:대문/shared/styles.css" />

{{대문/header}}

<div id="home-content" class="home-grid">
<div id="home-card-onthewiki" class="home-card home-card--col1 home-card--row1">
<div class="home-card__label">Nori wiki</div>
<div class="home-link">
<div class="home-link__button">[[Help:About the wiki|About the wiki]]</div>
<div class="home-link__button">[[Help:Style guide|Style guide]]</div>
<div class="home-link__button">[[Help:How to contribute|How to contribute]]</div>
</div>
</div>

<div id="home-card-onthewiki" class="home-card home-card--col2 home-card--row1">
<div class="home-card__label">Author</div>
<div class="home-link">
안준호 (Ahn, Junho)<br>
KAIST E3-1 CASYS Lab<br>
✉️ junhoahn@kaist.ac.kr
<div class="home-link__button">[https://sites.google.com/view/junhoahn/ Curriculum Vitae]</div>
</div>
</div>

<div id="home-card-onthewiki" class="home-card home-card--col3 home-card--row1">
<div class="home-card__label">Submissions</div>
# USENIX Security 2024 <strong>Junho Ahn</strong>, Jaehyeon Lee, KangHyuk Lee, Wooseok Gwak, Minseong Hwang, Youngjin Kwon, "[[BUDAlloc: Defeating Use-After-Free Bugs by Decoupling Virtual Address Management from Kernel]]" (Acceptance rate: 18.32%, BK21++)
# IEEE S&P 2025 <strong>Junho Ahn</strong>, KangHyuk Lee, Chanyoung Park, Hyungon Moon, Youngjin Kwon, "[[SwiftSweeper: Defeating Use-After-Free Bugs Using Memory Sweeper Without Stop-the-World]]" (Acceptance rate: 14.8%, BK21++)
<div class="home-card__header" style="font-size:200%">

</div>
</div>

</div>
<tabber>
|-|Science=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">전산과학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">논문 작성법</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">수학</categorytree>
</div>
<div style="clear:both"></div>
|-|Hobby=
<div class="home-card">
<categorytree mode="pages" namespaces="Main Category">필름 카메라</categorytree>
</div>
|-|Liberal Arts=
<div class="home-card">
<categorytree mode="pages" namespaces="Main Category">중국 문화와 역사</categorytree>
</div>
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
</tabber>

<div class="home-card">
<div class="home-card__label">최근 바뀜</div>
{{Special:RecentChanges/15,hidecategorization,hideminor}}
</div>
</div>

<!---
|-|Book Review=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
---!>

대문

2026-01-15T15:30:06Z

Ahn9807:

<templatestyles src="Template:대문/shared/styles.css" />

{{대문/header}}

<div id="home-content" class="home-grid">
<div id="home-card-onthewiki" class="home-card home-card--col1 home-card--row1">
<div class="home-card__label">Nori wiki</div>
<div class="home-link">
<div class="home-link__button">[[Help:About the wiki|About the wiki]]</div>
<div class="home-link__button">[[Help:Style guide|Style guide]]</div>
<div class="home-link__button">[[Help:How to contribute|How to contribute]]</div>
</div>
</div>

<div id="home-card-onthewiki" class="home-card home-card--col2 home-card--row1">
<div class="home-card__label">Author</div>
<div class="home-link">
안준호 (Ahn, Junho)<br>
KAIST E3-1 CASYS Lab<br>
✉️ junhoahn@kaist.ac.kr
<div class="home-link__button">[https://sites.google.com/view/junhoahn/ Curriculum Vitae]</div>
</div>
</div>

<div id="home-card-onthewiki" class="home-card home-card--col3 home-card--row1">
<div class="home-card__label">Submissions</div>
# USENIX Security 2024 <strong>Junho Ahn</strong>, Jaehyeon Lee, KangHyuk Lee, Wooseok Gwak, Minseong Hwang, Youngjin Kwon, "[[BUDAlloc: Defeating Use-After-Free Bugs by Decoupling Virtual Address Management from Kernel]]" (Acceptance rate: 18.32%, BK21++)
# IEEE S&P 2025 <strong>Junho Ahn</strong>, KangHyuk Lee, Chanyoung Park, Hyungon Moon, Youngjin Kwon, "[[SwiftSweeper: Defeating Use-After-Free Bugs Using Memory Sweeper Without Stop-the-World]]" (Acceptance rate: 14.8%, BK21++)
<div class="home-card__header" style="font-size:200%">

</div>
</div>

</div>
<tabber>
|-|Science=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">전산과학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">논문 작성법</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">수학</categorytree>
</div>
<div style="clear:both"></div>
|-|Hobby=
<div class="home-card">
<categorytree mode="pages" namespaces="Main Category">필름 카메라</categorytree>
</div>
|-|Liberal Arts=
<div class="home-card">
<categorytree mode="pages" namespaces="Main Category">중국 문화와 역사</categorytree>
</div>
</tabber>

<div class="home-card">
<div class="home-card__label">최근 바뀜</div>
{{Special:RecentChanges/15,hidecategorization,hideminor}}
</div>
</div>

<!---
|-|Book Review=
<div class="home-card">
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">문학</categorytree>
</div>
<div class="main-top-left" style="float:left">
<categorytree mode="pages" namespaces="Main Category">사회과학</categorytree>
</div>
<div style="clear:both"></div>
---!>

컴퓨터 시스템

2026-01-15T15:26:55Z