该论文提出了一种名为 StackPatch 的动态漏洞修复框架，专门针对资源受限且要求持续运行的嵌入式设备（如医疗设备、软PLC等）。现有动态补丁技术不适用于嵌入式系统，因为这类设备计算能力和内存有限，且缺乏足够的空闲内存来支持传统补丁机制；此外，不同处理器架构增加了补丁触发器的兼容性难度。StackPatch 的核心创新在于基于栈帧重构（Stack Frame Reconstruction）的方法：它利用异常处理机制（嵌入式处理器普遍支持）来实现控制流重定向，从而在不中断服务的情况下将补丁代码注入运行中的程序。框架支持多种触发策略，以更新存储单元中的程序。作者在三种主流微控制器架构（ARM、RISC-V、Xtensa）上进行了评估，使用 StackPatch 成功修复了实时操作系统（RTOS）中的 102 个公开漏洞，并应用于医疗设备、软 PLC 和网络服务。实验表明，每次漏洞修复耗时不超过 260 个 MCU 时钟周期，证明了其高效性和跨架构兼容性。该工作面向嵌入式安全研究人员、RTOS 开发者以及需要保障关键基础设施高可用性的安全工程师，填补了嵌入式设备动态热补丁技术的空白。

本文研究了基于微控制器的物联网设备中嵌入式实时操作系统（RTOS）的安全问题。初始分析发现，FreeRTOS等流行RTOS缺乏基本安全保护，而Zephyr OS和ThreadX虽设计了安全保护，但在系统调用参数清理的实现上存在显著差异。作者识别出ThreadX中一项性能优化实践引入了安全漏洞，该优化绕过了参数清理过程，使得攻击者能够通过精心选择的系统调用来操纵一个或多个内核对象，从而访问敏感字段，可能导致未授权数据操作、权限提升或系统沦陷。作者提出了一种新型攻击——内核对象伪装（KOM）攻击，并开发了基于欠约束符号执行的自动化方法以识别KOM攻击并理解其影响。实验在ThreadX驱动的平台上证明了攻击的可行性。作者已将发现报告给厂商，亚马逊和微软确认了漏洞并在其网站上致谢。该研究揭示了性能与安全之间的权衡，强调了嵌入式RTOS安全设计的重要性。

本文提出了一种针对实时操作系统（RTOS）内核的上下文自适应函数级模糊测试方法，名为RTCON。RTOS广泛应用于嵌入式系统和物联网设备，其内核安全性至关重要。传统模糊测试通常以系统调用或整个程序为输入，但RTOS内核具有高度耦合的上下文依赖关系，例如中断处理、任务调度和资源锁定，这使得通用模糊测试难以有效探索内核状态空间。RTCON创新性地在函数级别进行模糊测试，并利用上下文信息（如当前运行任务、中断状态、锁持有情况等）动态调整测试输入和路径选择。具体地，该方法通过静态分析提取函数间的上下文依赖图，并在执行过程中实时监控上下文变化，从而生成更导向的测试用例，提高对临界区、中断服务例程和竞争条件等深层漏洞的覆盖能力。实验在多个主流RTOS内核（如FreeRTOS、Zephyr）上进行，结果表明RTCON在代码覆盖率、漏洞发现数量和测试效率方面显著优于现有通用模糊测试工具，成功发现了多个未知的内存破坏和死锁漏洞。本文的主要贡献包括：定义了RTOS内核模糊测试的上下文自适应问题，提出了函数级测试生成算法，设计并实现了原型工具RTCON，并通过实证验证了其有效性。

本文提出了一种名为 IsolatOS 的方法，用于在商用现成实时操作系统（COTS RTOS）中检测 double fetch 漏洞。Double fetch 漏洞是一种经典的内存竞争条件，通常发生在内核两次从用户空间读取相同数据时，期间数据被恶意篡改，导致安全绕过。由于 COTS RTOS（如 FreeRTOS、uC/OS 等）通常采用单一地址空间设计，缺乏内核与用户空间的隔离，传统防护手段难以适用。作者通过重新启用内核隔离（即在现有 RTOS 上添加轻量级的内存保护单元（MPU）支持），实现了对 double fetch 的高效检测。具体方法包括：在 RTOS 启动时配置 MPU 以隔离内核和任务堆栈，并在执行涉及数据拷贝的系统调用时插入检查点，验证两次读取的数据是否一致。实验在多个真实 RTOS 上实施，并利用已知 double fetch 漏洞和合成测试用例进行评估。结果表明，IsolatOS 能够有效检测所有测试的 double fetch 漏洞，且运行时开销极低（平均性能下降小于 5%），同时不需要修改 RTOS 内核的源代码。该工作为 COTS RTOS 的安全加固提供了实用的解决方案，尤其适用于物联网、嵌入式系统等资源受限环境。

这篇论文研究了在低功耗微控制器（例如ARM TrustZone-M）上，实时操作系统（RTOS）的时间保持与可信执行环境（TEE）之间的冲突问题。在TrustZone-M架构中，安全世界和非安全世界共享中断控制器等资源。通常，非安全子系统运行RTOS和实时应用，而安全子系统运行预定义的安全操作（如加密），称为可信计算服务。许多RTOS依赖周期性中断（SysTick）来推进其时间概念，这对于维护实时行为至关重要。然而，某些可信计算服务的安全性要求相对于非安全子系统（RTOS所在侧）具有原子性，这需要禁用中断以防止被非安全世界打断，从而阻止了SysTick的处理。这导致RTOS丢失时钟滴答，时间感知出现偏差，破坏实时行为。本文首先刻画了这一冲突，然后提出了一种安全驱动的同步机制：安全世界测量经过的时间，并在重新启用中断并恢复非安全系统执行之前，通过无侵入地更新RTOS的时间保持数据结构（补偿错过的滴答数）来补偿非安全RTOS。该方法恢复了跨世界的一致、单调的时间概念，使得可信计算服务与RTOS能够在微控制器上安全共存。重要地，该方法无需修改底层RTOS，且不引入显著的运行时开销。作者通过实验验证了其有效性。