软件说明
以市场需求为产品导向 我公司通过监控产品,负责对客户单位的网络数据进行监控,当发现存在可疑流量时,采取协议还原的方式进行相应的内容甄别,通过协议还原后的内容有相当一部分是经过加密压缩处理的,而没有进行加密压缩的文件中的可疑流量的有价值线索很少,大多数有价值的线索都是通过的相应的加密压缩形式进行处理。 基于上述情况,安达信咨开发基于压缩数据包破解技术的产品,通过更为合理设计,实现软硬件之间更为有效的结合。首先在硬件方面,放弃效率偏低的CPU处理器,采用效率更高的GPU处理器架构技术,并且通过强大的显卡群集技术,实现多块性能强大的显卡GPU处理器的群集技术,提升产品硬件的处理效率;其次在软件方面,通过独立开发的智慧型暴力破解字典,应用于压缩数据包破解技术平台,实现产品更为高效的破解效率;最后在功能模块方面,我们通过之前与部里研究课题《基于主机木马的取证》项目,将产品的功能模块增加了木马取证,在破解压缩数据包的同时,根据木马特征数据库匹配压缩包内的数据,来确定数据包里是否存在木马程序的安全隐患。 以高效全为产品理念 产品开发理念 深入研究软件解密特点,从硬件方面,对比CPU与GPU处理性能的差异;从软件方面,对比普通暴力破解字典与智慧型暴力破解字典特点差异,从部署环境来说,支持多种运行平台以及部署方式,突出压缩数据包破解技术平台的兼容性、实用性、高效性与多元化。在压缩数据包破解技术平台获取大量压缩数据包时,自动快速并且准确的识别各类加密文件,通过多种暴力破解字典对加密数据包进行快速破解,并且采取自动分类的存放的形式,方便客户更好的查询资料,增加木马特征检查的模块,实现对破密文件实时木马分析,提升产品功能的多元化。 技术研究方向 基于压缩数据包破解技术平台,通过硬件与软件的两个方面实现从压缩数据包破解技术平台的多元化、实用性与高效性。硬件方面上,需要采用高性能显卡GPU处理器架构,并且通过基于显卡CPU处理器群集技术,实现多块高性能显卡GPU的架构,在硬件方面具备实用性、高效性;软件方面上,独立开发智慧型暴力破解密码字典,创造一个会自我分析自我学习的智慧型暴力密码字典,并且同时支持多种加密模式的破解,软件方面具备很好实用性、高效性;加入了木马取证的模块,通过获取加密数据包,破解加密数据包,分析加密数据包的流程,实现对加密数据包内可能存在的木马程序进行分析取证,并且自动生成调查报告,方便用户实时掌握信息,提升了产品功能的多元化;在软件应用平台上支持多种类型,如windows系列平台,Linux系列平台,具备很好的兼容性。 基于显卡CPU处理器应用技术 GPU英文全称GraphicProcessingUnit,中文翻译为 图形处理器 。GPU是相对于CPU的一个概念,由于在现代的计算机中(特别是家用系统,游戏的发烧友)图形的处理变得越来越重要,需要一个专门的图形的核心处理器。GPU是显示卡的 心脏 ,也就相当于CPU在电脑中的作用,它决定了显卡的档次与性能,同时也是2D显示卡和3D显示卡的区别依据。2D显示芯片在处理3D图像和特效时主要依赖CPU的处理能力,称为 软加速 。3D显示芯片是将三维图像和特效处理功能集中在显示芯片内,也即所谓的 硬件加速 功能。显示芯片通常是显示卡上更大的芯片(也是引脚较多的)。现在市场上的显卡大多采用NVIDIA和ATI两家公司的图形处理芯片。GPU相当于专用于图像处理的CPU,正因为它专,所以它强,在处理图像时它的工作效率远高于CPU,但是CPU是通用的数据处理器,处理数值计算是它的强项,它能完成的任务是GPU无法代替的,所以不能用GPU来代替CPU。GPU擅长的:图形类矩阵运算,非图形类并行数值计算,高端3D游戏,以及应用于破解技术领域。 基于显卡GPU处理器群集技术 显卡GPU处理器具有超出CPU处理器的性能,并且通过高性能主板的对多条PCI-E显卡槽支持,并且通过显卡群集技术达到同时支持多块高性能显卡,实现更为高速的处理速度,让压缩数据包破密技术平台具备更为快速的破解密码的首要条件。 附:性能对比 GPU型号为:NVIDIAGeForce8800GT CPU型号为:IntelXeonQuad-core 基于智能化的暴力破解字典 数据包破密技术平台支持多种暴利破解字典,有类似常见的穷举法的暴力字典,也有常用的排列组合的暴力字典,更拥有具备智慧化的暴力破解字典。 破解多种加密模式的支持 基于目前的文件加密软件实际情况,存在着多种加密模式,从数据加密标准DES(DataEncryptionStandard),三层DES(Triple-DES),RC2和RC4,到数字摘要(DigitalDigest),国际数据加密算法IDEA(InternationalDataEncryptionAlgorithm)均能得到有效支持。 多平台支持技术 开发支持多种系统的压缩数据包破密技术平台,使软件覆盖windows所有系统以及Linux所有系统,将软件的兼容性做到更好,使软件的在各系统的平台里覆盖率达到完善。 木马取证模块的支持 破解加密数据包后,通过对原始文件的分析检查,在产品的虚拟系统里通过对比木马特征数据库,按木马的进程名称进行关联,然后按进程的创建关系进行关联,最后是按所访问的文件进行关联。通过对最终关联的结果进行分析,如果发现某个外来文件所生成的进程以及它的子进程按时间顺序完成了隐藏、获取主机信息和回传文件三种行为则记录回传文件的名称,确定木马后形成日志进行记录保存。 以多种形式部署方案迎合客户需求 1.压缩数据包破密技术平台设备本地化部署方案 2.压缩数据包破密技术平台本地化部署特点 a.通过本地化的设备对加密文档进行快速破解 b.需要部署额外设备 c.对客户网络环境要求不高 3.压缩数据包破密技术平台远程化部署方案 4.压缩数据包破密技术平台本地化部署特点 a.通过远程化设备进行针对加密文档的快速破解 b.不需要客户部署额外设备 c.对客户网络带宽环境有较高要求 以超越同类型破密软件为产品目标 同类型破解软件的先进性: 压缩数据包破解技术平台,从硬件的角度上来看,通过集成多块高性能GPU处理器提升处理性能,从软件的角度上来看,通过智慧型暴力破解字典提高破解效率,使得压缩数据包破解技术平台在同类破解软件中具备先进性,并且增加木马特征检测模块,实时对破解后的文件进行及时木马特征检查,让产品功能更加多元化。 集成多块高性能GPU处理器,采用智慧型暴力破解字典,集成了木马特征模块,与同类常用软件RARPasswordRecoveryGPU架构模式破解性能提升300%以上,功能更具多元化。 自动识别各类文件加密的破解方式 压缩数据包破解技术平台应能够自动识别加密文件的功能,通过传输软件获取各类加密文件,针对不同的文件,不同的加密方式,进行快速分辨实现高效的破解。 文件加密破解完的自动归类 通过暴力字典破解成功的文件,将根据多种多样的分类形式,进行统一的分类存放,方便客户在需要查询资料的时候,更快捷的获取自己需要的资料。 木马特征模块自动分析解密文件 通过破解加密数据包,获取原始数据,通过产品木马特征分析模块,使用木马特征分析数据库,确定原始数据是否存在木马,发现木马程序将自动生成报告。 多种应用系统平台的兼容性一致性 压缩数据包破解技术平台各系统平台产品,能够通过各自互联网网络,采用VPN的加密通道,互相传送智慧型暴力破解字典,实现更系统平台的兼容性。通过相互的传送智慧型暴力破解字典,实现平台里各台压缩数据包破解技术平台的智慧型暴力破解字典的一致性。