本文提出了一种名为UACatcher的工具，用于系统性地检测Linux内核中的Use-After-Cleanup（UAC）漏洞。当设备从系统断开时，由于运行中的内核线程可能未感知到设备移除，仍尝试访问已被清理线程释放的对象，从而引发UAC漏洞。这种漏洞可被攻击者利用以实现任意代码执行和权限提升，但此前未受到足够关注。现有工具主要关注数据竞争等常见并发错误，很少针对UAC漏洞。UACatcher包含三个阶段：首先扫描整个内核以定位目标层；然后采用上下文敏感、流敏感的间过程分析和指向分析，在自底向上的清理线程中找出可能的释放（deallocation）点，在自顶向下的内核线程中找出引发UAC的使用（dereference）点；最后通过例程切换点算法，基于同步机制和路径约束来检测UAC漏洞并评估其可利用性。对于可利用的漏洞，工具利用基于伪终端的设备模拟技术开发实际漏洞利用代码。原型在Linux 5.11内核上评估，成功检测到346个UAC漏洞，已报告给社区（其中277个已确认并修复，分配了15个CVE）。其中13个漏洞可利用，可用于开发实现内核空间任意代码执行和权限提升的漏洞利用代码。文章还讨论了UACatcher的局限性并提出修复和预防UAC漏洞的可能方案。