惡意軟件的編寫(xiě)者們不斷地在尋找新的方法來(lái)偽裝他們的代碼，以求逃過(guò)殺毒軟件的檢測(cè)。目前有兩種新的代碼偽裝技術(shù)對(duì)現(xiàn)有的惡意代碼檢測(cè)分析系統(tǒng)形成了挑戰(zhàn)，這就是脫殼(unpacking)和運(yùn)行時(shí)多態(tài)(run—timep01yITlorphism)。更為危險(xiǎn)的是，脫殼和運(yùn)行時(shí)多態(tài)都可以利用GPu進(jìn)行加速。這樣一來(lái)，之前困擾惡意軟件編寫(xiě)者的那些高負(fù)荷計(jì)算運(yùn)行方法，都可以利用GPU強(qiáng)大的并行計(jì)算能力進(jìn)行處理。這將導(dǎo)致我們?cè)谖磥?lái)而臨破壞力更為強(qiáng)大、狡猾而令人防不勝防的惡意軟件。
　　
　　加殼和變身惡意軟件感染計(jì)算機(jī)的方法
　　
　　本文中將提到多次有關(guān)汁算機(jī)病毒、僵尸客戶(hù)端、木馬程序、后門(mén)程序以及惡意軟件等諸多對(duì)電腦經(jīng)常程序運(yùn)行產(chǎn)生危害的非法軟件。為了方便起見(jiàn)，本文全部將其稱(chēng)呼為“懷有惡意性質(zhì)的軟件”或“惡意軟件”。
　　在正常情況下，這些懷有惡意性質(zhì)的軟件，會(huì)悄悄地插入你的系統(tǒng)進(jìn)程中，并在后臺(tái)執(zhí)行一些不可告人的操作。從硬件角度來(lái)分析，傳統(tǒng)計(jì)算機(jī)系統(tǒng)中，只有CPU能完成這樣的任務(wù)。原因首先是CPU可以執(zhí)行任意類(lèi)型的代碼，可編程性極強(qiáng)；其次，CPU是系統(tǒng)的核心，擁有執(zhí)行任務(wù)相當(dāng)高的權(quán)限；其三，現(xiàn)代CPU性能都很不錯(cuò)，多核心技術(shù)的普及讓這些懷疑惡意性質(zhì)的軟件即使運(yùn)行起來(lái)，用戶(hù)也很難察覺(jué)——因?yàn)槟愕腃PU某些核心往往不會(huì)滿(mǎn)載，NVlDIA，已經(jīng)分別針對(duì)其GPU發(fā)布了相應(yīng)的SDK(software developmentkits，軟件開(kāi)發(fā)包)，用于幫助程序員執(zhí)行可以在GPUJL運(yùn)行的通用代碼。這些代碼甚至可以使用傳統(tǒng)的C語(yǔ)言來(lái)編寫(xiě)，比較常見(jiàn)的有NVIDIA和CUDA或者AMD的Stream。
　　目前，最新一代的GPU(比如支持DirectX 11的NVIDIA GeForce GTX500系列)，已經(jīng)允許CPU和GPU上運(yùn)行的代碼完全相同(如NVIDIA所推出的CUDA-X86計(jì)劃)。在這種情況下，GPU通用計(jì)算被廣泛應(yīng)用于各類(lèi)計(jì)算任務(wù)中。當(dāng)然，這部分計(jì)算任務(wù)還包括那些“雄心勃勃”的惡意軟件代碼編寫(xiě)者?？紤]到通用計(jì)算的巨大潛力，做出“惡意軟件編寫(xiě)者們將利用現(xiàn)代GPU的強(qiáng)大性能，來(lái)為自己牟利”的預(yù)測(cè)就是很自然的事情了。
　　當(dāng)然，如果惡意軟件需要正常的運(yùn)行，必須有兩個(gè)先決條件：1.躲避現(xiàn)有反惡意軟件的防御能力；2.超越分析人員人工解析的能力。很多情況下，對(duì)惡意軟件的人工解析是確定、部署相應(yīng)的檢測(cè)并開(kāi)發(fā)反制軟件的先決條件。為了達(dá)到這個(gè)目的，惡意軟件往往使用兩種手段來(lái)阻止各種反惡意軟件發(fā)現(xiàn)，并防御自己的運(yùn)行——這就是加殼和多態(tài)性，這是使用最為廣泛的、用于逃避反惡意軟件掃描和防御的技術(shù)。除此之外，在實(shí)際應(yīng)用中，代碼偽裝和反調(diào)試技巧常常被用于阻礙對(duì)惡意軟件代碼所實(shí)施的逆向分析工程。
　　所謂加殼，就是將自己真正需要運(yùn)行的內(nèi)容保護(hù)起來(lái)。打比方來(lái)說(shuō)，炸彈外面包上鮮花，然后放在郵包里，郵包放在旅行箱里，旅行箱被放在運(yùn)輸飛機(jī)的某一處。在加了三層殼子后，炸彈看起來(lái)像個(gè)正常的旅行箱，但一旦飛機(jī)上天，爆炸后的后果就不堪設(shè)想。惡意軟件往往將自己偽裝成正常執(zhí)行的程序，騙取系統(tǒng)或者反病毒軟件，甚至是用戶(hù)本人的信任，最終實(shí)現(xiàn)其不可知的目的。
　　而多態(tài)性，是指惡意軟件在執(zhí)行時(shí)，不將自己全部暴露在內(nèi)存中——如果全部暴露，就可能難以逃脫反惡意軟件的掃描。因此，惡意軟件將自己的一小部分暴露在內(nèi)存中，然后在需要的時(shí)候再暴露另一部分。簡(jiǎn)而言之就是“化整為零，按需調(diào)用”。這個(gè)看起來(lái)相當(dāng)“有效率”的方法，帶來(lái)了惡意軟件非常難以防御的特性。因?yàn)槌绦虿皇侨?，它們只能機(jī)械地執(zhí)行掃描和對(duì)比的任務(wù)。如果反病毒程序已經(jīng)確定了幾種惡意軟件“變身”的方法，那么只要惡意軟件下次改變一下暴露順序，或者掩蓋一下自己的執(zhí)行目標(biāo)，反病毒軟件就可能無(wú)法偵測(cè)。
　　迄今為止，這些所有的惡意軟件都利用了目前程序執(zhí)行環(huán)境的復(fù)雜性，盡可能隱秘地逃脫反惡意軟件的偵測(cè)。更糟的是，大部分研究反惡意軟件的安全研究人員們只關(guān)注于IA-32架構(gòu)，因?yàn)榻^大多數(shù)惡意軟件都運(yùn)行在X86系統(tǒng)上。但令人擔(dān)心的是，GPU通用計(jì)算的來(lái)臨，為惡意軟件的編寫(xiě)者們帶來(lái)了一扇機(jī)會(huì)之窗，因?yàn)榇蠖鄶?shù)安全研究者對(duì)于GPU的執(zhí)行環(huán)境和指令集架構(gòu)并不熟悉。利用GPU通用計(jì)算，惡意軟件可能會(huì)有效對(duì)抗現(xiàn)有的防御手段。
　　
　　機(jī)會(huì)還是威脅GPU通用計(jì)算的發(fā)展
　　
　　接下來(lái)，讓我們先暫停一下對(duì)惡意軟件的恐懼，進(jìn)入GPU的世界。GPU通用計(jì)算最近幾年來(lái)飛速發(fā)展，當(dāng)GPU本身可編程性和靈活性大大提高后，很多人開(kāi)始著手探索如何利用GPU架構(gòu)進(jìn)行大規(guī)模的并行計(jì)算，畢竟GPU擁有系統(tǒng)中最為強(qiáng)勁的浮點(diǎn)計(jì)算能力，僅僅作為3D計(jì)算顯然相當(dāng)可惜。但GPU通用計(jì)算需要專(zhuān)用API才能在GPU上完美運(yùn)行。一般的圖形APIMDlrectX和OpenGL等，都不能很好地進(jìn)行通用計(jì)算。
　　對(duì)傳統(tǒng)GPU來(lái)說(shuō)，無(wú)論是GPU本身設(shè)計(jì)還是調(diào)用方式都盡可能為GPU需要執(zhí)行的圖形計(jì)算優(yōu)化。因此你如果想利用GPU龐大的計(jì)算資源，那些需要計(jì)算的數(shù)據(jù)和變量，必須映射為圖形學(xué)對(duì)象，算法處理必須被表述為像素和頂點(diǎn)處理的形式，假裝是在進(jìn)行圖形計(jì)算一樣。這種“假裝”的形式讓程序員感到很束縛。因?yàn)閭鹘y(tǒng)GPU缺乏方便的數(shù)據(jù)類(lèi)型，基本的計(jì)算函數(shù)，以及一個(gè)一般化的內(nèi)存訪問(wèn)模型，使得它對(duì)于習(xí)慣于工作在傳統(tǒng)編程環(huán)境下的程序員們來(lái)說(shuō)沒(méi)有多少吸引力。
　　進(jìn)入DirectX 10時(shí)代后，NVIDIA提出了CUDAfCompute UnifiedDevice Architecture)這樣一個(gè)相當(dāng)富有創(chuàng)造力的通用運(yùn)算API架構(gòu)。有了這個(gè)API之后，程序員就不需要在自己的大腦中“映射”各種數(shù)據(jù)，APl作為溝通橋粱已經(jīng)承擔(dān)了數(shù)據(jù)轉(zhuǎn)換、程序編譯等任務(wù)。這樣一來(lái)，GPU就能很好地發(fā)揮計(jì)算效能。與此同時(shí)，AMD也提供了對(duì)應(yīng)自家GPU產(chǎn)品的通用計(jì)算方法，被稱(chēng)為Stream。
　　CUDA由一個(gè)C語(yǔ)言的極小擴(kuò)展集和一個(gè)運(yùn)行庫(kù)組成，這個(gè)運(yùn)行庫(kù)提供的函數(shù)能夠控制GPU，以及設(shè)備專(zhuān)有函數(shù)和相應(yīng)的數(shù)據(jù)。從相對(duì)宏觀的角度看，一個(gè)CUDA程序由兩部分組成，一個(gè)運(yùn)行在CPU上，另一個(gè)稱(chēng)之為“kernel”，是運(yùn)行于GPU上的并行化部分。不過(guò)GPU上的kernel是不能獨(dú)立運(yùn)行的，它只能依賴(lài)于CPU上的父進(jìn)程調(diào)用，因此，它不能被作為一個(gè)獨(dú)立的程序直接初始化。
　　CUDA中的kernel在運(yùn)行時(shí)被劃分為多個(gè)線程來(lái)執(zhí)行，這些線程被組織成多個(gè)線程塊，然后交由GPU的CUDA Core--也就是常說(shuō)的流處理器來(lái)執(zhí)行。在GeForceGPU中，每個(gè)處理單元會(huì)包含8個(gè)SIMD流處理器組。這8個(gè)SIMD流處理器組會(huì)根據(jù)一個(gè)線程調(diào)度器的調(diào)配，令多個(gè)線程塊盡可能高效率、最大化地運(yùn)作，保障整個(gè)GPU的運(yùn)行效率。
　　除了編程執(zhí)行外，CUDA還提供了用于在主機(jī)和GPU問(wèn)進(jìn)行數(shù)據(jù)交換的函數(shù)，所有的I／O動(dòng)作都通過(guò)PCI-E總線進(jìn)行。不僅如此，存儲(chǔ)器操作還可以通過(guò)DMA進(jìn)行，這樣就可以大幅度提高CPU和GPU工作的并行程度。在內(nèi)存一致性方面，主機(jī)的分頁(yè)鎖定內(nèi)存中的一個(gè)塊可以被映射到GPU的地址空間里，使得在CPU上運(yùn)行的普通程序和GPU上運(yùn)行的kernel能夠直接訪問(wèn)相同的數(shù)據(jù)。
　　總的來(lái)說(shuō)，無(wú)論是CUDA還是Stream，都是盡可能利用GPU'性能的API。惡意軟件要運(yùn)行得有效率，就繞不開(kāi)這兩個(gè)API。下面就讓我們來(lái)看看惡意軟件是如何在GPU上搗鬼的。
　　上文說(shuō)過(guò)，運(yùn)行于GPU上的kernel必須依賴(lài)CPU上的父進(jìn)程。惡意軟件也是如此，那些能利用GPU超強(qiáng)性能的惡意軟件往往包含兩個(gè)部分--GPU部分和CPU部分。說(shuō)得更細(xì)致一些，那就是惡意軟件在執(zhí)行時(shí)，會(huì)裁入GPU端的設(shè)備代碼，分配CPU和GPU都可以訪問(wèn)到的一塊內(nèi)存區(qū)域，先初始化數(shù)據(jù)，然后調(diào)度GPU代碼開(kāi)始執(zhí)行。當(dāng)然，和所有利用GPU的程序一樣，惡意軟件可以在GPU和CPU之前來(lái)回轉(zhuǎn)換，或者單獨(dú)讓GPU運(yùn)行或者只讓CPU運(yùn)行，也可以同時(shí)在GPU和GPU并行執(zhí)行。
　　當(dāng)然，惡意軟件編寫(xiě)者不僅僅看中了GPU的計(jì)算能力，他們還需要更自由、不被監(jiān)視的執(zhí)行空間。恰好，在GPU這里，惡意軟件可以與CUDA庫(kù)靜態(tài)鏈接，成為一個(gè)獨(dú)立的可執(zhí)行程序，這樣一來(lái)，惡意軟件就不需要在被感染的系統(tǒng)中安裝額外軟件。更令人難以接受的是，目前GPU端的代碼執(zhí)行，以及CPU和GPU之間的通訊，都不需要管理員特權(quán)。這意味著，惡意軟件可以在任何用戶(hù)權(quán)限下成功運(yùn)行——它不需要任何權(quán)限，也沒(méi)人監(jiān)控它。這就令?lèi)阂廛浖[蔽性更高、更容易被運(yùn)行起來(lái)。`NextPage`　　束手無(wú)策?惡意軟件如何利用GPU資源
　　
　　前文已經(jīng)描述了惡意軟件感染系統(tǒng)的方式，并且說(shuō)明了它利用GPU進(jìn)行并行加速的可能性。接下來(lái)，研究人員將通過(guò)實(shí)例來(lái)模擬這個(gè)過(guò)程。在模擬中使用的原型代碼不僅僅證明了惡意軟件利用GPU的可行性，而且已經(jīng)確信對(duì)現(xiàn)有的分析檢測(cè)系統(tǒng)構(gòu)成了不容忽視的挑戰(zhàn)。
　　研究人員選擇使用NVIDIACUDA來(lái)部署源代碼，當(dāng)然攻擊者可以很容易地使用其他GPU代碼版本，甚至還能在不同GPU之間進(jìn)行轉(zhuǎn)換。目前攻擊者只要掌握了CUDA和Stream，就能基本上掌握100％的GPU惡意軟件攻擊范圍。還有更令人恐懼的——OpenCL是一個(gè)跨平臺(tái)的GPGPU框架，致力于提供統(tǒng)一的API，如果它得到廣泛引用，那么就連插入不同版本的代碼也完全沒(méi)有必要，只要平臺(tái)支持OpenCL，就可能被惡意軟件利用你電腦中的GPU加速運(yùn)行。
　　1.自脫殼GPU加速
　　前文已經(jīng)簡(jiǎn)單介紹了惡意軟件的加殼技術(shù)。當(dāng)然，飛機(jī)上放炸彈的例子只是用于破壞性的炸彈。在軟件這里，經(jīng)過(guò)多層加殼偽裝后的代碼，需要脫殼解秘，才能變成真正的惡意代碼危害系統(tǒng)。
　　一般情況下，惡意軟件設(shè)計(jì)有自脫殼程序，這個(gè)程序在運(yùn)行時(shí)會(huì)首先解包被隱藏的代碼，然后將控制權(quán)移交給已在主機(jī)內(nèi)存中變形為真實(shí)代碼的惡意軟件。當(dāng)然，一種惡意軟件可能不止使用一種加殼程序，使用不同的變換方法或者改變解包程序的代碼，攻擊者可以容易地制造同一個(gè)惡意軟件的全新變種，還能有效地躲避檢測(cè)程序。
　　目前傳統(tǒng)惡意軟件的自脫殼算法都不特別復(fù)雜，因?yàn)橐紤]到CPU的計(jì)算能力，一旦顯著拖累系統(tǒng)，惡意軟件不但容易被察覺(jué)，還給自己的運(yùn)行帶來(lái)了不利影響。但利用GPU強(qiáng)大的并行計(jì)算能力后，惡意軟件的作者能夠利用極其復(fù)雜的加密算法