惡意軟件的編寫者們不斷地在尋找新的方法來偽裝他們的代碼，以求逃過殺毒軟件的檢測。目前有兩種新的代碼偽裝技術(shù)對現(xiàn)有的惡意代碼檢測分析系統(tǒng)形成了挑戰(zhàn)，這就是脫殼(unpacking)和運行時多態(tài)(run—timep01yITlorphism)。更為危險的是，脫殼和運行時多態(tài)都可以利用GPu進行加速。這樣一來，之前困擾惡意軟件編寫者的那些高負荷計算運行方法，都可以利用GPU強大的并行計算能力進行處理。這將導(dǎo)致我們在未來而臨破壞力更為強大、狡猾而令人防不勝防的惡意軟件。
　　
　　加殼和變身惡意軟件感染計算機的方法
　　
　　本文中將提到多次有關(guān)汁算機病毒、僵尸客戶端、木馬程序、后門程序以及惡意軟件等諸多對電腦經(jīng)常程序運行產(chǎn)生危害的非法軟件。為了方便起見，本文全部將其稱呼為“懷有惡意性質(zhì)的軟件”或“惡意軟件”。
　　在正常情況下，這些懷有惡意性質(zhì)的軟件，會悄悄地插入你的系統(tǒng)進程中，并在后臺執(zhí)行一些不可告人的操作。從硬件角度來分析，傳統(tǒng)計算機系統(tǒng)中，只有CPU能完成這樣的任務(wù)。原因首先是CPU可以執(zhí)行任意類型的代碼，可編程性極強；其次，CPU是系統(tǒng)的核心，擁有執(zhí)行任務(wù)相當高的權(quán)限；其三，現(xiàn)代CPU性能都很不錯，多核心技術(shù)的普及讓這些懷疑惡意性質(zhì)的軟件即使運行起來，用戶也很難察覺——因為你的CPU某些核心往往不會滿載，NVlDIA，已經(jīng)分別針對其GPU發(fā)布了相應(yīng)的SDK(software developmentkits，軟件開發(fā)包)，用于幫助程序員執(zhí)行可以在GPUJL運行的通用代碼。這些代碼甚至可以使用傳統(tǒng)的C語言來編寫，比較常見的有NVIDIA和CUDA或者AMD的Stream。
　　目前，最新一代的GPU(比如支持DirectX 11的NVIDIA GeForce GTX500系列)，已經(jīng)允許CPU和GPU上運行的代碼完全相同(如NVIDIA所推出的CUDA-X86計劃)。在這種情況下，GPU通用計算被廣泛應(yīng)用于各類計算任務(wù)中。當然，這部分計算任務(wù)還包括那些“雄心勃勃”的惡意軟件代碼編寫者。考慮到通用計算的巨大潛力，做出“惡意軟件編寫者們將利用現(xiàn)代GPU的強大性能，來為自己牟利”的預(yù)測就是很自然的事情了。
　　當然，如果惡意軟件需要正常的運行，必須有兩個先決條件：1.躲避現(xiàn)有反惡意軟件的防御能力；2.超越分析人員人工解析的能力。很多情況下，對惡意軟件的人工解析是確定、部署相應(yīng)的檢測并開發(fā)反制軟件的先決條件。為了達到這個目的，惡意軟件往往使用兩種手段來阻止各種反惡意軟件發(fā)現(xiàn)，并防御自己的運行——這就是加殼和多態(tài)性，這是使用最為廣泛的、用于逃避反惡意軟件掃描和防御的技術(shù)。除此之外，在實際應(yīng)用中，代碼偽裝和反調(diào)試技巧常常被用于阻礙對惡意軟件代碼所實施的逆向分析工程。
　　所謂加殼，就是將自己真正需要運行的內(nèi)容保護起來。打比方來說，炸彈外面包上鮮花，然后放在郵包里，郵包放在旅行箱里，旅行箱被放在運輸飛機的某一處。在加了三層殼子后，炸彈看起來像個正常的旅行箱，但一旦飛機上天，爆炸后的后果就不堪設(shè)想。惡意軟件往往將自己偽裝成正常執(zhí)行的程序，騙取系統(tǒng)或者反病毒軟件，甚至是用戶本人的信任，最終實現(xiàn)其不可知的目的。
　　而多態(tài)性，是指惡意軟件在執(zhí)行時，不將自己全部暴露在內(nèi)存中——如果全部暴露，就可能難以逃脫反惡意軟件的掃描。因此，惡意軟件將自己的一小部分暴露在內(nèi)存中，然后在需要的時候再暴露另一部分。簡而言之就是“化整為零，按需調(diào)用”。這個看起來相當“有效率”的方法，帶來了惡意軟件非常難以防御的特性。因為程序不是人，它們只能機械地執(zhí)行掃描和對比的任務(wù)。如果反病毒程序已經(jīng)確定了幾種惡意軟件“變身”的方法，那么只要惡意軟件下次改變一下暴露順序，或者掩蓋一下自己的執(zhí)行目標，反病毒軟件就可能無法偵測。
　　迄今為止，這些所有的惡意軟件都利用了目前程序執(zhí)行環(huán)境的復(fù)雜性，盡可能隱秘地逃脫反惡意軟件的偵測。更糟的是，大部分研究反惡意軟件的安全研究人員們只關(guān)注于IA-32架構(gòu)，因為絕大多數(shù)惡意軟件都運行在X86系統(tǒng)上。但令人擔心的是，GPU通用計算的來臨，為惡意軟件的編寫者們帶來了一扇機會之窗，因為大多數(shù)安全研究者對于GPU的執(zhí)行環(huán)境和指令集架構(gòu)并不熟悉。利用GPU通用計算，惡意軟件可能會有效對抗現(xiàn)有的防御手段。
　　
　　機會還是威脅GPU通用計算的發(fā)展
　　
　　接下來，讓我們先暫停一下對惡意軟件的恐懼，進入GPU的世界。GPU通用計算最近幾年來飛速發(fā)展，當GPU本身可編程性和靈活性大大提高后，很多人開始著手探索如何利用GPU架構(gòu)進行大規(guī)模的并行計算，畢竟GPU擁有系統(tǒng)中最為強勁的浮點計算能力，僅僅作為3D計算顯然相當可惜。但GPU通用計算需要專用API才能在GPU上完美運行。一般的圖形APIMDlrectX和OpenGL等，都不能很好地進行通用計算。
　　對傳統(tǒng)GPU來說，無論是GPU本身設(shè)計還是調(diào)用方式都盡可能為GPU需要執(zhí)行的圖形計算優(yōu)化。因此你如果想利用GPU龐大的計算資源，那些需要計算的數(shù)據(jù)和變量，必須映射為圖形學(xué)對象，算法處理必須被表述為像素和頂點處理的形式，假裝是在進行圖形計算一樣。這種“假裝”的形式讓程序員感到很束縛。因為傳統(tǒng)GPU缺乏方便的數(shù)據(jù)類型，基本的計算函數(shù)，以及一個一般化的內(nèi)存訪問模型，使得它對于習慣于工作在傳統(tǒng)編程環(huán)境下的程序員們來說沒有多少吸引力。
　　進入DirectX 10時代后，NVIDIA提出了CUDAfCompute UnifiedDevice Architecture)這樣一個相當富有創(chuàng)造力的通用運算API架構(gòu)。有了這個API之后，程序員就不需要在自己的大腦中“映射”各種數(shù)據(jù)，APl作為溝通橋粱已經(jīng)承擔了數(shù)據(jù)轉(zhuǎn)換、程序編譯等任務(wù)。這樣一來，GPU就能很好地發(fā)揮計算效能。與此同時，AMD也提供了對應(yīng)自家GPU產(chǎn)品的通用計算方法，被稱為Stream。
　　CUDA由一個C語言的極小擴展集和一個運行庫組成，這個運行庫提供的函數(shù)能夠控制GPU，以及設(shè)備專有函數(shù)和相應(yīng)的數(shù)據(jù)。從相對宏觀的角度看，一個CUDA程序由兩部分組成，一個運行在CPU上，另一個稱之為“kernel”，是運行于GPU上的并行化部分。不過GPU上的kernel是不能獨立運行的，它只能依賴于CPU上的父進程調(diào)用，因此，它不能被作為一個獨立的程序直接初始化。
　　CUDA中的kernel在運行時被劃分為多個線程來執(zhí)行，這些線程被組織成多個線程塊，然后交由GPU的CUDA Core--也就是常說的流處理器來執(zhí)行。在GeForceGPU中，每個處理單元會包含8個SIMD流處理器組。這8個SIMD流處理器組會根據(jù)一個線程調(diào)度器的調(diào)配，令多個線程塊盡可能高效率、最大化地運作，保障整個GPU的運行效率。
　　除了編程執(zhí)行外，CUDA還提供了用于在主機和GPU問進行數(shù)據(jù)交換的函數(shù)，所有的I／O動作都通過PCI-E總線進行。不僅如此，存儲器操作還可以通過DMA進行，這樣就可以大幅度提高CPU和GPU工作的并行程度。在內(nèi)存一致性方面，主機的分頁鎖定內(nèi)存中的一個塊可以被映射到GPU的地址空間里，使得在CPU上運行的普通程序和GPU上運行的kernel能夠直接訪問相同的數(shù)據(jù)。
　　總的來說，無論是CUDA還是Stream，都是盡可能利用GPU'性能的API。惡意軟件要運行得有效率，就繞不開這兩個API。下面就讓我們來看看惡意軟件是如何在GPU上搗鬼的。
　　上文說過，運行于GPU上的kernel必須依賴CPU上的父進程。惡意軟件也是如此，那些能利用GPU超強性能的惡意軟件往往包含兩個部分--GPU部分和CPU部分。說得更細致一些，那就是惡意軟件在執(zhí)行時，會裁入GPU端的設(shè)備代碼，分配CPU和GPU都可以訪問到的一塊內(nèi)存區(qū)域，先初始化數(shù)據(jù)，然后調(diào)度GPU代碼開始執(zhí)行。當然，和所有利用GPU的程序一樣，惡意軟件可以在GPU和CPU之前來回轉(zhuǎn)換，或者單獨讓GPU運行或者只讓CPU運行，也可以同時在GPU和GPU并行執(zhí)行。
　　當然，惡意軟件編寫者不僅僅看中了GPU的計算能力，他們還需要更自由、不被監(jiān)視的執(zhí)行空間。恰好，在GPU這里，惡意軟件可以與CUDA庫靜態(tài)鏈接，成為一個獨立的可執(zhí)行程序，這樣一來，惡意軟件就不需要在被感染的系統(tǒng)中安裝額外軟件。更令人難以接受的是，目前GPU端的代碼執(zhí)行，以及CPU和GPU之間的通訊，都不需要管理員特權(quán)。這意味著，惡意軟件可以在任何用戶權(quán)限下成功運行——它不需要任何權(quán)限，也沒人監(jiān)控它。這就令惡意軟件隱蔽性更高、更容易被運行起來。`NextPage`　　束手無策?惡意軟件如何利用GPU資源
　　
　　前文已經(jīng)描述了惡意軟件感染系統(tǒng)的方式，并且說明了它利用GPU進行并行加速的可能性。接下來，研究人員將通過實例來模擬這個過程。在模擬中使用的原型代碼不僅僅證明了惡意軟件利用GPU的可行性，而且已經(jīng)確信對現(xiàn)有的分析檢測系統(tǒng)構(gòu)成了不容忽視的挑戰(zhàn)。
　　研究人員選擇使用NVIDIACUDA來部署源代碼，當然攻擊者可以很容易地使用其他GPU代碼版本，甚至還能在不同GPU之間進行轉(zhuǎn)換。目前攻擊者只要掌握了CUDA和Stream，就能基本上掌握100％的GPU惡意軟件攻擊范圍。還有更令人恐懼的——OpenCL是一個跨平臺的GPGPU框架，致力于提供統(tǒng)一的API，如果它得到廣泛引用，那么就連插入不同版本的代碼也完全沒有必要，只要平臺支持OpenCL，就可能被惡意軟件利用你電腦中的GPU加速運行。
　　1.自脫殼GPU加速
　　前文已經(jīng)簡單介紹了惡意軟件的加殼技術(shù)。當然，飛機上放炸彈的例子只是用于破壞性的炸彈。在軟件這里，經(jīng)過多層加殼偽裝后的代碼，需要脫殼解秘，才能變成真正的惡意代碼危害系統(tǒng)。
　　一般情況下，惡意軟件設(shè)計有自脫殼程序，這個程序在運行時會首先解包被隱藏的代碼，然后將控制權(quán)移交給已在主機內(nèi)存中變形為真實代碼的惡意軟件。當然，一種惡意軟件可能不止使用一種加殼程序，使用不同的變換方法或者改變解包程序的代碼，攻擊者可以容易地制造同一個惡意軟件的全新變種，還能有效地躲避檢測程序。
　　目前傳統(tǒng)惡意軟件的自脫殼算法都不特別復(fù)雜，因為要考慮到CPU的計算能力，一旦顯著拖累系統(tǒng)，惡意軟件不但容易被察覺，還給自己的運行帶來了不利影響。但利用GPU強大的并行計算能力后，惡意軟件的作者能夠利用極其復(fù)雜的加密算法