会员注册 | 登录 | 微信快捷登录 支付宝快捷登录 QQ登录 微博登录 | 帮助中心 人人文库renrendoc.com美如初恋!
站内搜索 百度文库

热门搜索: 直缝焊接机 矿井提升机 循环球式转向器图纸 机器人手爪发展史 管道机器人dwg 动平衡试验台设计

GPU恐成最大帮凶未来病毒运行技术前瞻.docGPU恐成最大帮凶未来病毒运行技术前瞻.doc -- 5 元

宽屏显示 收藏 分享

资源预览需要最新版本的Flash Player支持。
您尚未安装或版本过低,建议您

GPU恐成最大帮凶未来病毒运行技术前瞻恶意软件的编写者们不断地在寻找新的方法来伪装他们的代码,以求逃过杀毒软件的检测。目前有两种新的代码伪装技术对现有的恶意代码检测分析系统形成了挑战,这就是脱壳unpacking和运行时多态runtimep01yITlorphism。更为危险的是,脱壳和运行时多态都可以利用GPu进行加速。这样一来,之前困扰恶意软件编写者的那些高负荷计算运行方法,都可以利用GPU强大的并行计算能力进行处理。这将导致我们在未来而临破坏力更为强大、狡猾而令人防不胜防的恶意软件。加壳和变身恶意软件感染计算机的方法本文中将提到多次有关汁算机病毒、僵尸客户端、木马程序、后门程序以及恶意软件等诸多对电脑经常程序运行产生危害的非法软件。为了方便起见,本文全部将其称呼为怀有恶意性质的软件或恶意软件。在正常情况下,这些怀有恶意性质的软件,会悄悄地插入你的系统进程中,并在后台执行一些不可告人的操作。从硬件角度来分析,传统计算机系统中,只有CPU能完成这样的任务。原因首先是CPU可以执行任意类型的代码,可编程性极强其次,CPU是系统的核心,拥有执行任务相当高的权限其三,现代CPU性能都很不错,多核心技术的普及让这些怀疑恶意性质的软件即使运行起来,用户也很难察觉因为你的CPU某些核心往往不会满载,NVlDIA,已经分别针对其GPU发布了相应的SDKsoftwaredevelopmentkits,软件开发包,用于帮助程序员执行可以在GPUJL运行的通用代码。这些代码甚至可以使用传统的C语言来编写,比较常见的有NVIDIA和CUDA或者AMD的Stream。目前,最新一代的GPU比如支持DirectX11的NVIDIAGeForceGTX500系列,已经允许CPU和GPU上运行的代码完全相同如NVIDIA所推出的CUDAX86计划。在这种情况下,GPU通用计算被广泛应用于各类计算任务中。当然,这部分计算任务还包括那些雄心勃勃的恶意软件代码编写者。考虑到通用计算的巨大潜力,做出恶意软件编写者们将利用现代GPU的强大性能,来为自己牟利的预测就是很自然的事情了。当然,如果恶意软件需要正常的运行,必须有两个先决条件1.躲避现有反恶意软件的防御能力2.超越分析人员人工解析的能力。很多情况下,对恶意软件的人工解析是确定、部署相应的检测并开发反制软件的先决条件。为了达到这个目的,恶意软件往往使用两种手段来阻止各种反恶意软件发现,并防御自己的运行这就是加壳和多态性,这是使用最为广泛的、用于逃避反恶意软件扫描和防御的技术。除此之外,在实际应用中,代码伪装和反调试技巧常常被用于阻碍对恶意软件代码所实施的逆向分析工程。所谓加壳,就是将自己真正需要运行的内容保护起来。打比方来说,炸弹外面包上鲜花,然后放在邮包里,邮包放在旅行箱里,旅行箱被放在运输飞机的某一处。在加了三层壳子后,炸弹看起来像个正常的旅行箱,但一旦飞机上天,爆炸后的后果就不堪设想。恶意软件往往将自己伪装成正常执行的程序,骗取系统或者反病毒软件,甚至是用户本人的信任,最终实现其不可知的目的。而多态性,是指恶意软件在执行时,不将自己全部暴露在内存中如果全部暴露,就可能难以逃脱反恶意软件的扫描。因此,恶意软件将自己的一小部分暴露在内存中,然后在需要的时候再暴露另一部分。简而言之就是化整为零,按需调用。这个看起来相当有效率的方法,带来了恶意软件非常难以防御的特性。因为程序不是人,它们只能机械地执行扫描和对比的任务。如果反病毒程序已经确定了几种恶意软件变身的方法,那么只要恶意软件下次改变一下暴露顺序,或者掩盖一下自己的执行目标,反病毒软件就可能无法侦测。迄今为止,这些所有的恶意软件都利用了目前程序执行环境的复杂性,尽可能隐秘地逃脱反恶意软件的侦测。更糟的是,大部分研究反恶意软件的安全研究人员们只关注于IA32架构,因为绝大多数恶意软件都运行在X86系统上。但令人担心的是,GPU通用计算的来临,为恶意软件的编写者们带来了一扇机会之窗,因为大多数安全研究者对于GPU的执行环境和指令集架构并不熟悉。利用GPU通用计算,恶意软件可能会有效对抗现有的防御手段。机会还是威胁GPU通用计算的发展接下来,让我们先暂停一下对恶意软件的恐惧,进入GPU的世界。GPU通用计算最近几年来飞速发展,当GPU本身可编程性和灵活性大大提高后,很多人开始着手探索如何利用GPU架构进行大规模的并行计算,毕竟GPU拥有系统中最为强劲的浮点计算能力,仅仅作为3D计算显然相当可惜。但GPU通用计算需要专用API才能在GPU上完美运行。一般的图形APIMDlrectX和OpenGL等,都不能很好地进行通用计算。对传统GPU来说,无论是GPU本身设计还是调用方式都尽可能为GPU需要执行的图形计算优化。因此你如果想利用GPU庞大的计算资源,那些需要计算的数据和变量,必须映射为图形学对象,算法处理必须被表述为像素和顶点处理的形式,假装是在进行图形计算一样。这种假装的形式让程序员感到很束缚。因为传统GPU缺乏方便的数据类型,基本的计算函数,以及一个一般化的内存访问模型,使得它对于习惯于工作在传统编程环境下的程序员们来说没有多少吸引力。进入DirectX10时代后,NVIDIA提出了CUDAfComputeUnifiedDeviceArchitecture这样一个相当富有创造力的通用运算API架构。有了这个API之后,程序员就不需要在自己的大脑中映射各种数据,APl作为沟通桥粱已经承担了数据转换、程序编译等任务。这样一来,GPU就能很好地发挥计算效能。与此同时,AMD也提供了对应自家GPU产品的通用计算方法,被称为Stream。CUDA由一个C语言的极小扩展集和一个运行库组成,这个运行库提供的函数能够控制GPU,以及设备专有函数和相应的数据。从相对宏观的角度看,一个CUDA程序由两部分组成,一个运行在CPU上,另一个称之为kernel,是运行于GPU上的并行化部分。不过GPU上的kernel是不能独立运行的,它只能依赖于CPU上的父进程调用,因此,它不能被作为一个独立的程序直接初始化。CUDA中的kernel在运行时被划分为多个线程来执行,这些线程被组织成多个线程块,然后交由GPU的CUDACore也就是常说的流处理器来执行。在GeForceGPU中,每个处理单元会包含8个SIMD流处理器组。这8个SIMD流处理器组会根据一个线程调度器的调配,令多个线程块尽可能高效率、最大化地运作,保障整个GPU的运行效率。除了编程执行外,CUDA还提供了用于在主机和GPU问进行数据交换的函数,所有的I/O动作都通过PCIE总线进行。不仅如此,存储器操作还可以通过DMA进行,这样就可以大幅度提高CPU和GPU工作的并行程度。在内存一致性方面,主机的分页锁定内存中的一个块可以被映射到GPU的地址空间里,使得在CPU上运行的普通程序和GPU上运行的kernel能够直接访问相同的数据。总的来说,无论是CUDA还是Stream,都是尽可能利用GPU性能的API。恶意软件要运行得有效率,就绕不开这两个API。下面就让我们来看看恶意软件是如何在GPU上捣鬼的。上文说过,运行于GPU上的kernel必须依赖CPU上的父进程。恶意软件也是如此,那些能利用GPU超强性能的恶意软件往往包含两个部分GPU部分和CPU部分。说得更细致一些,那就是恶意软件在执行时,会裁入GPU端的设备代码,分配CPU和GPU都可以访问到的一块内存区域,先初始化数据,然后调度GPU代码开始执行。当然,和所有利用GPU的程序一样,恶意软件可以在GPU和CPU之前来回转换,或者单独让GPU运行或者只让CPU运行,也可以同时在GPU和GPU并行执行。当然,恶意软件编写者不仅仅看中了GPU的计算能力,他们还需要更自由、不被监视的执行空间。恰好,在GPU这里,恶意软件可以与CUDA库静态链接,成为一个独立的可执行程序,这样一来,恶意软件就不需要在被感染的系统中安装额外软件。更令人难以接受的是,目前GPU端的代码执行,以及CPU和GPU之间的通讯,都不需要管理员特权。这意味着,恶意软件可以在任何用户权限下成功运行它不需要任何权限,也没人监控它。这就令恶意软件隐蔽性更高、更容易被运行起来。束手无策恶意软件如何利用GPU资源前文已经描述了恶意软件感染系统的方式,并且说明了它利用GPU进行并行加速的可能性。接下来,研究人员将通过实例来模拟这个过程。在模拟中使用的原型代码不仅仅证明了恶意软件利用GPU的可行性,而且已经确信对现有的分析检测系统构成了不容忽视的挑战。研究人员选择使用NVIDIACUDA来部署源代码,当然攻击者可以很容易地使用其他GPU代码版本,甚至还能在不同GPU之间进行转换。目前攻击者只要掌握了CUDA和Stream,就能基本上掌握100%的GPU恶意软件攻击范围。还有更令人恐惧的OpenCL是一个跨平台的GPGPU框架,致力于提供统一的API,如果它得到广泛引用,那么就连插入不同版本的代码也完全没有必要,只要平台支持OpenCL,就可能被恶意软件利用你电脑中的GPU加速运行。1.自脱壳GPU加速前文已经简单介绍了恶意软件的加壳技术。当然,飞机上放炸弹的例子只是用于破坏性的炸弹。在软件这里,经过多层加壳伪装后的代码,需要脱壳解秘,才能变成真正的恶意代码危害系统。一般情况下,恶意软件设计有自脱壳程序,这个程序在运行时会首先解包被隐藏的代码,然后将控制权移交给已在主机内存中变形为真实代码的恶意软件。当然,一种恶意软件可能不止使用一种加壳程序,使用不同的变换方法或者改变解包程序的代码,攻击者可以容易地制造同一个恶意软件的全新变种,还能有效地躲避检测程序。目前传统恶意软件的自脱壳算法都不特别复杂,因为要考虑到CPU的计算能力,一旦显著拖累系统,恶意软件不但容易被察觉,还给自己的运行带来了不利影响。但利用GPU强大的并行计算能力后,恶意软件的作者能够利用极其复杂的加密算法给恶意软件加壳,这些复杂的加密算法最终将被GPU大规模并行架构快速而有效地处理。这种高强度的加壳、脱壳操作,为现有的恶意软件分析检测系统制造了不容忽视的障碍。许多反恶意软件中用于检测自动脱壳的部分有先天缺陷,没办法应对基于GPU的自解包恶意软件。比如常用的PolyUnpack,在脱壳时依赖单步执行和动态反汇编,但这种技术在GPU上的动态和静态分析还很不成熟,当然也没有获得恶意软件分析系统的支持。另外一些反恶意软件的脱壳系统,比如Renovo,依赖于在虚拟机中监控恶意软件的执行过程,但显而易见的是,目前的虚拟机还仅仅只能做到虚拟图形设备而已,只能执行简单的3D计算,根本不能执行GPU通用计算任务,也没有这方面的功能。这样一来,利用虚拟机监控恶意软件的脱壳也将成为泡影。当然,还有一些检测软件脱壳的技术比如omniUnDack,这种技术理论上可能会对恶意软件在GPU中的操作起到一定的检测作用,但实际上它在应用中还是和虚拟机联合部署的,也就是说,实际应用中也不能检测到GPU中的脱壳运行情况。2.运行时多态技术不过,前一页研究人员的演示可能并不能让人信服,有人肯定会说,无论加壳脱壳的设备是CPU还是GPU、无论壳算法多么复杂,最终都将恶意代码直接存放在主机内存中。这样一来只要反恶意软件扫描系统内容,就能很轻松地发现恶意软件执行意图并给予相应防御措施。实际上这种情况只能代表部分恶意软件的运行方法。正像本文开头解释运行时多态技术时说的那样,恶意软件在运行时,往往不会暴露自己的全部代码,它可能重新加壳,或者只是按需分配、重复加壳脱壳那些当前需要的代码。不仅如此,恶意软件开发人员还会控制解码部分的粒度,也就是每次解码的数最,这个数量越小,在内存中暴露真实代码的区域就越小,被侦测的可能性也就越低,也越难以被发现和防御。这种代码分割算法给反恶意软件带来了明显的困扰。在加入了GPU后,这些重复脱壳加壳的算法,都使用GPu执行,并且整个需要脱壳和加壳的部分代码也全部存在GPUAc。CPU的职责仅是在每个部分的代码执行前和执行后,将控制权交还给GPu上的调度代码,去做按需的解密变换和加密变换。也就是说,在执行期间,控制权在CPU和GPU之间不断地转换。同样,GPU和CPU也拥有一个可以同时访问的内存区域用于保持数据一致性和及时刷新。不仅如此,在这种技术中,解密密匙被保存在较为保密的、无法从CPU端访问的CUDA设备存储器当中,更有甚者,在每个部分执行后的重加密过程中,还可以使用随机生成的不同密匙,这导致了恶意软件能够在存储器中以不可预测的方式不断地发生变异。而这些解密方法和变异都是不能被检测或者预测到的,将直接导致目前依赖抽取密钥和相应加密解密区域等方法的反恶意软件运行失败。当然从理论上来说,虽然原始代码的完整抽取仍然是可能被分析人员做到的,但是如果考虑现有的反调试技术,这种有GPu从旁协助的运行时多态会使得整个逆向工程分析过程变得异常地漫长和艰难。未来更危险GPU上恶意软件的发展方向在先前的章节中,研究人员为我们展示了恶意软件将自己在CPU和GPU之间分离执行的具体方式。虽然现代GPU的性能已经足够强大,但是目前的技术仅仅使用了其中的一小部分。未来恶意软件作者可能会开始广泛利用GPU的图形和通用计算能力。GPU提供了,大规模并行处理的能力,可以被用来加速CPU负载较重的运算。例如,一些恶意软件开发人员往往使用僵尸网络进行大规模的密码暴力破解,而这正是GPU通用计算的专长。通过对GPU通用计算的支持,僵尸电脑的能力可以很容易地获得延伸,可以使用被感染主机的GPU来分摊密码破解的负载。这不仅带来了整体破解效率的显著提升,而且还隐藏了正在进行的恶意活动因为GPU的工作无法被实时监控,无法鉴别正在运行的代码,所以难以确认GPU上是否有密码破解程序的代码出现。另外,由于GPU的加入,在这种计算任务中,CPU几乎不会占用,所以CPU负载监视程序对于检测恶意活动也无能为力。
编号:201312182203564076    大小:33.50KB    格式:DOC    上传时间:2013-12-18
  【编辑】
5
关 键 词:
管理 组织 经营
温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
  人人文库网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

当前资源信息

4.0
 
(2人评价)
浏览:8次
abingge上传于2013-12-18

官方联系方式

客服手机:13961746681   
2:不支持迅雷下载,请使用浏览器下载   
3:不支持QQ浏览器下载,请用其他浏览器   
4:下载后的文档和图纸-无水印   
5:文档经过压缩,下载后原文更清晰   

相关资源

相关资源

相关搜索

管理   组织   经营  
关于我们 - 网站声明 - 网站地图 - 友情链接 - 网站客服客服 - 联系我们
copyright@ 2015-2017 人人文库网网站版权所有
苏ICP备12009002号-5