การวิเคราะห์มัลแวร์ที่ใช้ฮาร์ดแวร์ช่วย

บทความทางเทคนิคเรื่อง “On the Feasibility of Malware Unpacking via Hardware-assisted Loop Profiling” ได้รับการตีพิมพ์โดยงานวิจัยที่ Shandong University & Hubei Normal University, Tulane University และ University of Texas at Arlington เอกสารนี้รวมอยู่ในการประชุม USENIX Security Symposium ครั้งที่ 32 เมื่อเร็ว ๆ นี้

นามธรรม
“ตัวนับประสิทธิภาพฮาร์ดแวร์ (HPC) คือการลงทะเบียนในตัวของโปรเซสเซอร์สมัยใหม่เพื่อนับการเกิดขึ้นของเหตุการณ์ทางสถาปัตยกรรมขนาดเล็กต่างๆ การวัดค่า HPC เป็นวิธีที่คุ้มต้นทุนในการระบุลักษณะการทำงานของโปรแกรมแบบไดนามิก เนื่องจากความง่ายในการใช้งานและข้อได้เปรียบในการป้องกันการงัดแงะ การใช้ HPC ควบคู่ไปกับโมเดลการเรียนรู้ของเครื่องเพื่อแก้ไขปัญหาด้านความปลอดภัยจึงมีเพิ่มมากขึ้นในช่วงไม่กี่ปีที่ผ่านมา อย่างไรก็ตาม เมื่อเร็ว ๆ นี้ ความเหมาะสมของ HPC สำหรับการรักษาความปลอดภัยถูกตั้งคำถามโดยคำนึงถึงข้อกังวลที่ไม่สามารถกำหนดได้: ข้อผิดพลาดในการวัดที่เกิดจากการขัดจังหวะการลื่นไถลและมัลติเพล็กซ์แบบแบ่งเวลาสามารถบ่อนทำลายประสิทธิภาพของการใช้ HPC ในแอปพลิเคชันด้านความปลอดภัย

ด้วยข้อควรระวังเหล่านี้ เราจึงค้นหาวิธีควบคุมลักษณะที่ไม่สามารถกำหนดได้ของเหตุการณ์ฮาร์ดแวร์ในการแกะมัลแวร์ ซึ่งเป็นความท้าทายที่มีมายาวนานในการวิเคราะห์มัลแวร์ การวิจัยของเราได้รับแรงบันดาลใจจากข้อสังเกตสำคัญสองประการ ประการแรก กระบวนการแกะกล่องซึ่งเกี่ยวข้องกับการถอดรหัสหรือคลายการบีบอัดซ้ำซึ่งมีราคาแพง อาจทำให้เกิดความเบี่ยงเบนที่ระบุได้ในเหตุการณ์ฮาร์ดแวร์ ประการที่สอง การทำโปรไฟล์ HPC แบบลูปเป็นศูนย์กลางสามารถลดความไม่แม่นยำที่เกิดจากการขัดจังหวะการลื่นไถลและมัลติเพล็กซ์แบบแบ่งเวลา ดังนั้นเราจึงใช้กลไกสองประการที่นำเสนอโดย Intel CPU (เช่น Precise Event-Based Sampling (PEBS) และ Last Branch Record) เพื่อพัฒนาเทคนิคทั่วไปในการแกะกล่องโดยใช้ความช่วยเหลือจากฮาร์ดแวร์ที่เรียกว่า LoopHPC โดยนำเสนอโซลูชันใหม่ที่มีความยืดหยุ่นในการระบุโค้ดต้นฉบับจากเลเยอร์ที่ "เขียนแล้วรัน" หลายเลเยอร์ การทดลองที่มีการควบคุมของเราแสดงให้เห็นว่า LoopHPC สามารถรับค่า HPC ที่แม่นยำและสม่ำเสมอในสถาปัตยกรรมและระบบปฏิบัติการ CPU ของ Intel ที่แตกต่างกัน”

ค้นหาเอกสารทางเทคนิคและสไลด์ โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม. เผยแพร่ในเดือนสิงหาคม 2023

เฉิง, ปินลิน, เอริกา เอ. ลีล, ฮาวเทียน จาง และเจียงหมิง “เกี่ยวกับความเป็นไปได้ในการคลายมัลแวร์ผ่านการทำโปรไฟล์ Loop ที่ได้รับความช่วยเหลือจากฮาร์ดแวร์” ในการประชุมสัมมนา USENIX Security Symposium ครั้งที่ 32 (USENIX Security 23), หน้า 7481-7498 2023.

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ChartPrime. ยกระดับเกมการซื้อขายของคุณด้วย ChartPrime เข้าถึงได้ที่นี่.
• BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
• ที่มา: https://semiengineering.com/hardware-assisted-malware-analysis/