TOMOYO Linux 是一种基于应用程序执行状态（即历史记录和意图）的新型强制访问控制（MAC）方法。传统的访问控制机制仅根据主体（应用程序）与客体（文件）的组合来授予访问权限，忽略了应用程序的意图以及授权可能带来的潜在影响。本文提出了一种新颖的方法，通过记录每个应用程序的执行历史（例如，它从哪个父进程派生、曾访问过哪些资源等）来推断其“意图”，并在此基础上实施更精细的权限管理。系统管理员可以定义策略，允许或拒绝基于应用上下文的行为，从而有效降低恶意访问和操作失误的风险。论文详细阐述了 TOMOYO Linux 的设计原理、实现架构（作为 Linux 安全模块 LSM 的扩展）、以及策略描述语言。实验评估表明，该方法在提供增强安全性的同时，对系统性能的影响极小。该研究适合操作系统安全、访问控制策略设计及 Linux 安全加固领域的研究人员和工程师阅读。

该论文针对Linux生态系统中（包括嵌入式Linux）的共享库劫持攻击问题，提出了一种加载器级别的防御方案。作者指出，共享库劫持攻击本质上是利用动态链接器的库解析语义，而非直接修改受信任的库文件。现有防御措施包括加固或替换加载器、强制执行加载后控制流完整性、以及基于签名和度量框架的文件完整性机制，但这些方法均未验证加载器实际解析的共享对象是否为预期且可信的。本文的核心观点是将共享库劫持问题视为加载器解析的真实性问题，并设计了一个以加载器为中心的验证框架，为动态链接器的解析过程提供真实性保证。该框架支持两种身份模型：路径绑定模型和位置无关模型（基于Build-ID），并结合密码学哈希进行验证。作者在GNU libc（glibc）系统上实现了该机制，并在通用Linux（如Ubuntu）和嵌入式Linux（如Buildroot）模拟环境中进行了评估。实验结果表明，该方案能够有效预防共享库劫持攻击。论文的主要贡献包括：1）重新定义了共享库劫持问题的本质；2）提出了一个新颖的加载器级真实性验证框架；3）支持多种身份模型，平衡了兼容性和安全性；4）提供了实际实现和评估。适合系统安全研究员、Linux发行版开发者、嵌入式安全工程师阅读，尤其关注动态链接器安全防御的人员。

该论文深入研究了Linux系统中可执行栈问题的根源。尽管写入-异或-执行（WX）策略已被广泛应用以阻止可写且可执行的内存区域，但许多现代应用程序仍意外地重新引入了可执行栈。作者通过两个层面调查了这一现象的幕后原因：首先，评估了11个程序加固工具（作为内联引用监视器实现），发现所有工具在“加固”后的应用程序中均引入了可执行栈，原因是忽视了在汇编代码中添加.note.GNU-stack节；其次，分析了编译工具链、内核和加载器的源码，揭示了正确执行WX需要多组件紧密协作，形成一个复杂的信任与依赖链。研究指出，即便是经验丰富的安全开发者也容易遗漏这一看似微小但关键的节，从而恢复栈的可执行性。论文进一步讨论了攻击者可能利用这些可执行栈进行代码注入攻击的场景，并给出了修复建议，包括在编写汇编代码时必须手动包含.note.GNU-stack节，以及加强开发工具与编译器的检查机制。

本论文来自NDSS '26，旨在重新激活并推进Linux页面缓存攻击的研究。自2019年mincore系统调用被缓解后，页面缓存攻击被认为已被缓解或过于缓慢而不实用。然而，作者不仅复活了针对页面缓存的实用攻击，还首次提供了与页面缓存交互的原语的系统分类和理解。他们识别并描述了四种核心原语：flush（刷新）、reload（重新加载）、evict（驱逐）和monitor（监视）。通过深入分析，他们克服了Linux内核的预读机制（read-ahead），将先前已知的攻击机制加速了六个数量级。此外，论文还确定了哪些系统调用可作为重载机制用于隐蔽通道，并提供了概念验证攻击。这项工作系统地揭示了页面缓存攻击的新维度，为操作系统安全研究提供了重要基础，并可能影响未来的安全防御设计。

提出一种针对Linux ELF二进制文件的对抗性恶意软件生成器，通过语义保持变换实现67.74%的逃逸率，并发现MalConv对文件中任何位置的字符串敏感。