jellyfish:基于Linux的用户态GPU Rootkit PoC
项目地址: https://gitcode.com/gh_mirrors/jellyfish4/jellyfish 项目介绍
在网络安全领域,Rootkit是一种隐蔽的恶意软件,旨在获取系统最高权限并隐藏自身。jellyfish项目是一个基于Linux的用户态GPU Rootkit的Proof of Concept(PoC)项目。它利用了Jynx项目的LD_PRELOAD技术来操纵CPU,以及Khronos组开发的OpenCL API来操控GPU。当前代码支持AMD和NVIDIA图形卡,但AMDAPPSDK同样支持Intel图形卡。
项目技术分析
jellyfish的核心技术是基于Linux系统的用户态程序,它通过LD_PRELOAD技术拦截库函数调用,从而实现隐蔽的GPU内存操作。同时,项目利用OpenCL API直接与GPU通信,进行复杂的数学计算和数据处理。
技术细节:
- LD_PRELOAD技术:通过预加载共享库,拦截系统调用,实现隐蔽操作。
- OpenCL API:用于GPU编程,实现高效的数据处理和数学计算。
- DMA访问:GPU可以通过直接内存访问(DMA)窃听CPU主内存。
项目及技术应用场景
jellyfish项目可以应用于多个场景,主要包括:
- 安全研究:作为安全研究员,你可以使用jellyfish来研究GPU内存的安全性,探索潜在的攻击面和防御措施。
- 恶意软件分析:通过该项目,安全分析师可以更好地理解恶意软件如何利用GPU进行隐蔽操作。
- 学术研究:学术界可以利用jellyfish来研究操作系统级别的安全机制,特别是在用户态程序与硬件交互的层面。
应用案例:
- 安全测试:在渗透测试中,使用jellyfish来检测系统对GPU滥用行为的防御能力。
- 恶意软件开发:安全研究员可以基于jellyfish开发新的恶意软件检测工具。
项目特点
jellyfish项目具有以下显著特点:
- 利用GPU内存:将恶意代码存储在GPU内存中,当前网络上几乎没有针对GPU内存的恶意软件分析工具。
- DMA窃听:利用GPU的DMA能力,可以窃听CPU主内存的数据。
- 数学计算能力:GPU的高性能计算能力,可以用于快速进行数学运算,如异或操作或数据解析。
- 恶意内存持久化:即使在温暖重启后,GPU内存中的恶意代码可能仍然存在。
- 跨平台支持:支持AMD和NVIDIA显卡,Intel显卡可通过AMDAPPSDK支持。
功能亮点:
- 客户端监听器:记录GPU数据,并在准备就绪时发送magic packet进行数据转储。
注意事项:
- 使用要求:需要安装OpenCL驱动程序,Mac OS X系统默认预装了OpenCL。
- 平台支持:支持NVIDIA或AMD图形卡,Intel可通过AMD的SDK支持。
- 安全性声明:该项目仅供教育目的使用,作者不对用户的使用行为承担责任。
结语
jellyfish项目以其独特的用户态GPU Rootkit实现,为安全研究员提供了一个强大的工具,以探索和研究GPU在安全领域的应用。通过其高效的内存操作和数学计算能力,jellyfish不仅有助于提高对GPU滥用行为的认识,也为防御策略的制定提供了新的视角。对于关注网络安全、操作系统安全和GPU编程的开发者和研究人员来说,jellyfish无疑是一个值得关注的开源项目。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
