王冠+康晉菊+孫亮

摘 要：隨著計(jì)算機(jī)軟硬件及網(wǎng)絡(luò)的迅猛發(fā)展，互聯(lián)網(wǎng)用戶不斷增長，各類應(yīng)用軟件在給廣大用戶帶來便利的同時，信息安全問題成為一個巨大隱患。目前，基于網(wǎng)絡(luò)漏洞的信息竊取技術(shù)已經(jīng)被黑客利用，基于計(jì)算機(jī)固件漏洞的攻擊也時有發(fā)生。基于計(jì)算機(jī)固件的攻擊具有隱蔽性強(qiáng)、難以清除且先于操作系統(tǒng)被加載的特征，給計(jì)算機(jī)固件帶來致命性災(zāi)難。從攻擊者角度出發(fā)，研究了攻擊計(jì)算機(jī)固件的方法，發(fā)現(xiàn)固件存在的安全漏洞，開發(fā)了一個計(jì)算機(jī)固件遠(yuǎn)程攻擊系統(tǒng)，該系統(tǒng)可用于計(jì)算機(jī)固件被攻擊的漏洞研究，從而提升計(jì)算機(jī)固件的安全性能。

關(guān)鍵詞：固件；固件攻擊；遠(yuǎn)程攻擊；信息安全

DOIDOI：10.11907/rjdk.171213

中圖分類號：TP319

文獻(xiàn)標(biāo)識碼：A 文章編號：1672-7800（2017）007-0096-04

0 引言

計(jì)算機(jī)技術(shù)的飛速發(fā)展，尤其是Internet互聯(lián)網(wǎng)技術(shù)的發(fā)展，使得計(jì)算機(jī)用戶迅速增長，基于計(jì)算機(jī)網(wǎng)絡(luò)的各種應(yīng)用軟件不斷推出。而網(wǎng)絡(luò)自身及應(yīng)用軟件存在不可避免的安全漏洞，致使信息泄露、釣魚網(wǎng)站、木馬病毒等安全事件頻發(fā)。隨著統(tǒng)一可擴(kuò)展固件接口（UEFI BIOS）的出現(xiàn)，對BIOS的編程相比之前更加簡潔規(guī)范，但卻給計(jì)算機(jī)帶來了新的安全問題。對計(jì)算機(jī)固件的攻擊成為一種新的攻擊方式，如CERT團(tuán)隊(duì)已經(jīng)證實(shí)蘋果和戴爾設(shè)備存在BIOS寫保護(hù)漏洞，還有聯(lián)想筆記本存在的流氓BIOS更新機(jī)制漏洞等。

針對底層計(jì)算機(jī)固件的攻擊是致命的，因?yàn)橐坏〣IOS被攻擊，一般用戶及殺毒軟件無法清除被植入到BIOS中的病毒，固化在flash rom中的BIOS程序是計(jì)算機(jī)加電后最先執(zhí)行的代碼，而在引導(dǎo)操作系統(tǒng)加載后便進(jìn)入休眠狀態(tài)。BIOS（Basic Input Output System）基本輸入輸出系統(tǒng)，是一組被固化到計(jì)算機(jī)主板上的一個ROM（現(xiàn)在基本都是NORFlash）芯片中的程序代碼，保存了計(jì)算機(jī)最重要的基本輸入輸出程序、開機(jī)后自檢程序和系統(tǒng)自啟動程序。計(jì)算機(jī)上電后，首先會加載BIOS程序，為計(jì)算機(jī)提供最底層、最直接的硬件設(shè)置和控制，是計(jì)算機(jī)系統(tǒng)不可或缺的部分[1]。

本文研究計(jì)算機(jī)固件攻擊方法以及如何通過遠(yuǎn)程方式進(jìn)行攻擊，同時對固件狀態(tài)進(jìn)行監(jiān)測，判斷固件是否被攻擊，并設(shè)計(jì)一個基于遠(yuǎn)程的計(jì)算機(jī)固件攻擊演示系統(tǒng)，用于計(jì)算機(jī)固件遠(yuǎn)程攻擊的研究分析。

1 總體設(shè)計(jì)

遠(yuǎn)程計(jì)算機(jī)固件攻擊分為控制端（本地計(jì)算機(jī)）和被控端（被攻擊的遠(yuǎn)程計(jì)算機(jī)）兩部分?？刂贫送ㄟ^遠(yuǎn)程控制軟件來操控被控端計(jì)算機(jī)，遠(yuǎn)程控制軟件客戶端應(yīng)安裝在控制端，而被控端需要安裝服務(wù)端程序。遠(yuǎn)程計(jì)算機(jī)可以通過對客戶端軟件界面的操作，如簡單的選擇和單擊等控制目標(biāo)計(jì)算機(jī)完成相應(yīng)功能。圖1是該系統(tǒng)整體架構(gòu)。

2 遠(yuǎn)程控制客戶端程序設(shè)計(jì)

遠(yuǎn)程控制中控制端和被控端的連接有主動型和被動型兩種方式。主動型是控制端主動發(fā)送連接請求與被控端建立連接，被動型是利用安裝在被控計(jì)算機(jī)上的服務(wù)器程序主動向控制端發(fā)送連接請求。遠(yuǎn)程控制系統(tǒng)采用現(xiàn)在流行的被動型方式，可在不知道對方IP地址的情況下建立連接。

遠(yuǎn)程控制的客戶端程序安裝在本地計(jì)算機(jī)，作為控制端對遠(yuǎn)程計(jì)算機(jī)進(jìn)行監(jiān)測控制?？蛻舳酥饕峁┙缑娌僮?，向被控端發(fā)送控制命令，控制端在收到命令后需要執(zhí)行相應(yīng)操作，同時客戶端程序需要顯示從被控端發(fā)送來的執(zhí)行結(jié)果?？蛻舳顺绦蚬ぷ髁鞒倘鐖D2所示。

客戶端程序類似于網(wǎng)絡(luò)通信的Server端，客戶端程序啟動后綁定自己的IP地址和端口號后就進(jìn)入監(jiān)聽狀態(tài)，等待被控端的連接請求。在監(jiān)聽端口收到連接請求并建立連接后，本地計(jì)算機(jī)就可利用該連接控制遠(yuǎn)程計(jì)算機(jī)。首先控制端需要獲取文件管理權(quán)限，將計(jì)算機(jī)固件攻擊工具傳送到遠(yuǎn)程計(jì)算機(jī)（該攻擊工具是實(shí)現(xiàn)BIOS攻擊不可缺少的程序），攻擊工具發(fā)送到遠(yuǎn)程計(jì)算機(jī)后，需要重命名與系統(tǒng)易混淆的文件名，并將文件隱藏使用戶不易發(fā)現(xiàn)。接下來控制端向被控端發(fā)送控制命令，本系統(tǒng)終端輸入的命令實(shí)際是在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行。遠(yuǎn)程計(jì)算機(jī)在執(zhí)行相應(yīng)任務(wù)后通過服務(wù)端程序?qū)⑦\(yùn)行結(jié)果發(fā)送給本地計(jì)算機(jī)。客戶端程序要接收發(fā)送到監(jiān)聽端口的數(shù)據(jù)，在控制端得到需要的數(shù)據(jù)。

3 遠(yuǎn)程控制服務(wù)端程序設(shè)計(jì)

3.1 服務(wù)端程序功能

服務(wù)端程序是實(shí)現(xiàn)遠(yuǎn)程控制的核心模塊，遠(yuǎn)程控制軟件通過調(diào)用服務(wù)端程序功能模塊實(shí)現(xiàn)對計(jì)算機(jī)的遠(yuǎn)程控制。服務(wù)端程序主要包括自啟動模塊、主動發(fā)送連接請求模塊、文件管理功能模塊、超級終端模塊、回傳數(shù)據(jù)模塊，如圖3所示。

（1）自動啟動模塊。服務(wù)端程序只有啟動后才能發(fā)揮作用，而對遠(yuǎn)程計(jì)算機(jī)而言服務(wù)端程序是一個惡意程序，用戶不會手動運(yùn)行該程序，服務(wù)端程序必須隱藏啟動，即所謂的自動啟動。本系統(tǒng)將服務(wù)端程序設(shè)置為一個系統(tǒng)服務(wù)程序，并在/etc/rc.d/init.d目錄下添加相應(yīng)的Shell命令腳本實(shí)現(xiàn)開機(jī)時自動啟動。

（2）發(fā)送連接請求模塊。要進(jìn)行遠(yuǎn)程控制首先需要在雙方之間建立連接，本系統(tǒng)采用被動型遠(yuǎn)程控制方式，服務(wù)端程序在運(yùn)行后能主動向控制端發(fā)送連接請求。因此，服務(wù)端程序必須知道控制端的IP地址和端口號，如果控制端計(jì)算機(jī)的IP地址是固定的，可以將該固定的IP地址直接寫入服務(wù)端程序中。通常本地計(jì)算機(jī)（控制端）的IP地址是動態(tài)分配的，計(jì)算機(jī)每次開機(jī)后IP地址與上次不一定相同。解決IP地址動態(tài)變化問題有兩種方法：①給本地計(jì)算機(jī)申請一個域名，域名固定不變，根據(jù)域名不變原理可以將服務(wù)器程序中的地址設(shè)置為域名；②申請一塊免費(fèi)的FTP空間，F(xiàn)TP空間有自己的空間地址而且固定不變，本地計(jì)算機(jī)在每次開機(jī)后將當(dāng)前的IP地址和端口號更新到該FTP空間中，因此可以將服務(wù)器程序中的地址設(shè)置為固定的FTP空間地址。服務(wù)器程序啟動后，首先根據(jù)FTP地址讀取FTP空間內(nèi)容，獲取控制端動態(tài)的IP地址和端口號，然后向該地址發(fā)送連接請求。endprint

（3）文件管理模塊。文件管理模塊用于對遠(yuǎn)程計(jì)算機(jī)中的文件進(jìn)行查看、修改、刪除以及上傳下載。通過文件管理模塊將攻擊計(jì)算機(jī)固件的程序傳送到被控端計(jì)算機(jī)的硬盤中。文件管理通常有兩種方法：①將被控端的硬盤進(jìn)行共享便可對該硬盤中的文件進(jìn)行任意操作；②將本地計(jì)算機(jī)配置成一個FTP服務(wù)器，控制端控制遠(yuǎn)程計(jì)算機(jī)訪問該FTP服務(wù)器進(jìn)行文件上傳和下載等操作。

（4）超級終端模塊。計(jì)算機(jī)固件攻擊工具的調(diào)用需要在終端執(zhí)行命令，所以服務(wù)端程序還要具有超級終端功能。超級終端能夠使在本計(jì)算機(jī)上的操作實(shí)際是在被控端計(jì)算機(jī)上執(zhí)行。超級終端的原理是將控制端輸入的信息及時發(fā)送給被控端，并且控制端將顯示被控端執(zhí)行命令后發(fā)回給該控制端端口信息。

（5）回傳數(shù)據(jù)模塊。遠(yuǎn)程控制不僅要向遠(yuǎn)程計(jì)算機(jī)發(fā)送控制命令，還需要從被控端獲取信息以及監(jiān)控被控端命令的執(zhí)行情況。實(shí)現(xiàn)數(shù)據(jù)回傳方式有多種，可以利用FTP協(xié)議實(shí)現(xiàn)，還可以在被控端建立一個臨時文件來存放需要回傳的數(shù)據(jù)，設(shè)計(jì)一個時間戳，每隔一段時間就將臨時文件中的數(shù)據(jù)發(fā)送給控制端。

服務(wù)端程序工作流程見圖4。在啟動服務(wù)端程序后，將主動向控制端發(fā)送連接請求，在客戶端程序（控制端）接受該連接請求后進(jìn)入連接狀態(tài)，等待控制端發(fā)送控制命令。一旦接收到控制端的執(zhí)行命令，服務(wù)端程序便調(diào)用相應(yīng)文件執(zhí)行該命令。該命令執(zhí)行后需要及時將結(jié)果發(fā)送給控制端程序以實(shí)現(xiàn)監(jiān)控目的，即回傳執(zhí)行結(jié)果。整個過程要接收和發(fā)送多次數(shù)據(jù)，為了避免數(shù)據(jù)混亂，每一過程都要建立一個新的線程。最后在客戶端斷開連接控制后，服務(wù)端程序也需要將連接斷開，釋放系統(tǒng)資源。

3.2 服務(wù)端程序植入和隱藏

服務(wù)端程序需要將自己偽裝來吸引用戶下載使用，可將該服務(wù)端程序隱藏到圖片、Word文檔中，或?qū)⑵潆[藏到使用頻率高的軟件中。本系統(tǒng)作為一個演示系統(tǒng)，選擇使用比較簡單的軟件捆綁方式實(shí)現(xiàn)服務(wù)端程序隱藏，從網(wǎng)絡(luò)站點(diǎn)下載一個使用頻率高的軟件，如Office軟件，將服務(wù)端的可執(zhí)行程序捆綁到Office安裝軟件中，并將服務(wù)端程序設(shè)置為隱藏安裝，服務(wù)端程序捆綁到Office軟件并進(jìn)行相關(guān)設(shè)置后，將新生成的可執(zhí)行文件（文件名仍是Office安裝包）上傳到安全檢查不嚴(yán)格的網(wǎng)絡(luò)站點(diǎn)上，等待用戶下載安裝。為增加該軟件被下載的概率，可以在論壇上寫一篇有關(guān)軟件的文檔，并將該軟件地址附在文檔中。一旦有用戶下載并安裝該軟件則服務(wù)端程序也被安裝。

在服務(wù)端程序安裝過程中還需要完成自動啟動和進(jìn)行隱藏兩個任務(wù)。服務(wù)端程序?qū)τ?jì)算機(jī)而言是惡意程序，不能依靠用戶啟動該服務(wù)，需要自己悄無聲息啟動，通過設(shè)置開機(jī)自啟動實(shí)現(xiàn)。服務(wù)端程序要想長期駐留在被控端計(jì)算機(jī)中，必須具有良好的隱蔽性，本系統(tǒng)將服務(wù)端程序設(shè)置為系統(tǒng)服務(wù)進(jìn)行隱藏，即將文件名改為和系統(tǒng)文件容易混淆的名字，如將“I”替換為“1”，將“o”替換成“0”等相似字符，使用戶難以察覺，同時將某些文件設(shè)置為隱藏屬性。服務(wù)端程序的植入和隱藏是實(shí)現(xiàn)遠(yuǎn)程控制的關(guān)鍵，高端的植入和隱藏手段可以使服務(wù)端程序在被控計(jì)算機(jī)中長時間駐留。

4 固件攻擊工具設(shè)計(jì)

計(jì)算機(jī)固件攻擊工具是本系統(tǒng)核心部分。計(jì)算機(jī)固件主要指BIOS芯片，它是計(jì)算機(jī)中最底層的軟件程序，與處于偏上層的操作系統(tǒng)和上層的應(yīng)用程序不同，不能通過簡單的函數(shù)調(diào)用實(shí)現(xiàn)對相應(yīng)資源的訪問，所以需要設(shè)計(jì)專門的工具來訪問計(jì)算機(jī)固件。圖5是固件攻擊工具整體架構(gòu)。

從圖5可以看出，當(dāng)控制端發(fā)送攻擊BIOS的命令后，調(diào)用被控端計(jì)算機(jī)硬盤中存放的固件攻擊工具，利用Kernel層中的flash.ko模塊觸發(fā)高級別的系統(tǒng)管理中斷SMI#，CPU對現(xiàn)場進(jìn)行保護(hù)后進(jìn)入SMM（系統(tǒng)管理模式），在該模式下可實(shí)現(xiàn)對BIOS芯片的讀寫操作。在刷寫B(tài)IOS芯片的過程中，被控端需要將執(zhí)行進(jìn)度傳送給控制端，并在控制端顯示攻擊過程。

攻擊工具包括獲取BIOS映像、將惡意代碼寫入BIOS映像、刷寫B(tài)IOS三個模塊，如圖6所示。要對BIOS進(jìn)行攻擊植入惡意代碼，首先需要獲取計(jì)算機(jī)當(dāng)前BIOS芯片中的BIOS映像文件，在現(xiàn)有BIOS文件的基礎(chǔ)上進(jìn)行修改以保障計(jì)算機(jī)正常啟動，然后對BIOS芯片重新刷寫，將惡意代碼固化到BIOS芯片中。

攻擊工具的設(shè)計(jì)中需要對BIOS進(jìn)行讀寫操作，計(jì)算機(jī)加電后會首先執(zhí)行BIOS中的代碼，在操作系統(tǒng)啟動后BIOS就進(jìn)入休眠狀態(tài)，在計(jì)算機(jī)啟動過程中會將BIOS文件映射到物理內(nèi)存的高端地址。但在操作系統(tǒng)正常運(yùn)行的保護(hù)模式下，物理內(nèi)存地址對操作系統(tǒng)上層的應(yīng)用程序是透明的，無法直接訪問BIOS文件被映射到的物理內(nèi)存地址塊。不過在Intel 386SL之后的X86架構(gòu)CUP中引入了一種特殊的SMM模式，在該模式下系統(tǒng)完全在自然環(huán)境下執(zhí)行，沒有邏輯地址，所有地址都是物理地址，這個模式為OS實(shí)現(xiàn)平臺指定的功能（比如電源管理或系統(tǒng)安全）提供了一種透明機(jī)制，操作系統(tǒng)無法感知CPU什么時候進(jìn)入系統(tǒng)管理模式，也不知道執(zhí)行過SMM模式。該模式下可以對硬件進(jìn)行I/O操作，可以執(zhí)行一切特權(quán)指令，一切內(nèi)存保護(hù)均失效。

為了實(shí)現(xiàn)SMM，Intel在其CPU上增加了一個SMI# PIN引腳。當(dāng)外部的SMM interrupt pin（SMI#）被激活或從APIC（Advanced Programming Interrupt Controller）收到一個SMI時，處理器將進(jìn)入SMM。在SMM下，可以對BIOS代碼進(jìn)行操作，此時操作系統(tǒng)相關(guān)的執(zhí)行流程將被掛起，轉(zhuǎn)而執(zhí)行BIOS中注冊的ISR。SMM是一種特殊的工作模式，它不依賴于具體的操作系統(tǒng)，完全由固件來控制。SMM只能通過系統(tǒng)管理中斷SMI進(jìn)入。SMI中斷的觸發(fā)有硬件方式和軟件方式。硬件方式是使中斷pin電平發(fā)生變化（一般是將電平拉低）；軟件方式是通過向B2H寫入數(shù)值進(jìn)入SMI中斷。

（1）獲取BIOS映像文件。由于是通過重新刷寫B(tài)IOS的方式來達(dá)到攻擊目的，所以先要取得廠商提供的無差錯BIOS鏡像文件。BIOS程序在計(jì)算機(jī)啟動過程中映射到了物理內(nèi)存最高端的8M區(qū)域（本系統(tǒng)設(shè)計(jì)采用昆侖固件，其BIOS容量是8M），在SMM模式下，通過讀取物理內(nèi)存最高端8M的地址空間獲取BIOS映像文件。endprint

（2）將惡意代碼封裝到BIOS文件。BIOS程序是按模塊來開發(fā)的，每個模塊都是一個獨(dú)立部分，受BIOS芯片存儲空間的限制，在將程序?qū)懭隑IOS的Flash ROM芯片時，先將各個模塊分別進(jìn)行壓縮，然后將壓縮后的模塊再做一次整體壓縮，最終存儲到Flash ROM中。所以獲得的BIOS鏡像文件首先要對其進(jìn)行解壓縮，并將各個模塊分離開，將惡意代碼隱藏到ISA模塊、ACPI模塊以及PCI模塊中，其中ISA、ACPI模塊中加載惡意代碼需要CMOS中沒有設(shè)置禁止加載模塊，PCI模塊中加載惡意代碼只在裝有TPM的計(jì)算機(jī)才能檢測到?，F(xiàn)在使用的BIOS芯片程序只占芯片容量的60%～70%，剩余部分供UEFI BIOS功能擴(kuò)展使用。本系統(tǒng)所使用的昆侖BIOS也預(yù)留了空白容量，所以該演示系統(tǒng)將惡意代碼存放到BIOS的空白區(qū)域，并將該地址鏈接到UEFI系統(tǒng)表中，再將BIOS文件進(jìn)行各模塊和整體的壓縮打包。

（3）刷寫B(tài)IOS。在完成上述操作后就可用新生成的BIOS映像文件替換原來的BIOS映像，對BIOS芯片刷寫仍然需要在SMM下進(jìn)行，只有在該模式下才能對硬件及芯片進(jìn)行I/O操作。在SMM下直接對8M大小的整個BIOS Flash芯片進(jìn)行重寫，攜帶惡意代碼的BIOS映像文件就寫入到BIOS芯片中。

5 結(jié)語

BIOS作為計(jì)算機(jī)主板的一部分，在計(jì)算機(jī)中占據(jù)著很重要的位置，BIOS程序是計(jì)算機(jī)加電后CPU最先執(zhí)行的代碼，若BIOS已經(jīng)不安全，則后續(xù)的一切操作都會使計(jì)算機(jī)處于更危險(xiǎn)的狀態(tài)。BIOS安全是計(jì)算機(jī)安全的前提，所以研究計(jì)算機(jī)固件攻擊對加強(qiáng)計(jì)算機(jī)信息安全具有重大意義。

本文從攻擊者角度出發(fā)，對 UEFI 原理、BIOS技術(shù)及源代碼進(jìn)行了深入研究，并且對BIOS攻擊機(jī)理和遠(yuǎn)程攻擊技術(shù)進(jìn)行了透徹分析，在此基礎(chǔ)上，設(shè)計(jì)并實(shí)現(xiàn)遠(yuǎn)程計(jì)算機(jī)固件攻擊系統(tǒng)。本研究一方面能夠促進(jìn)固件技術(shù)的發(fā)展，使其逐步完善，另一方面對完善固件層的安全性具有一定的研究價值與意義。本文提出了通過遠(yuǎn)程操控技術(shù)對計(jì)算機(jī)固件進(jìn)行攻擊，并具體闡述了實(shí)現(xiàn)思路和方法。基于遠(yuǎn)程的計(jì)算機(jī)固件攻擊系統(tǒng)模擬了針對計(jì)算機(jī)BIOS攻擊的整個流程，便于發(fā)現(xiàn)BIOS存在的漏洞，進(jìn)一步研究如何修補(bǔ)該漏洞，從而加強(qiáng)計(jì)算機(jī)固件的安全性能。

參考文獻(xiàn)：

[1]周振柳.計(jì)算機(jī)固件安全技術(shù)[M]. 北京：清華大學(xué)出版社，2012.

[2]池亞平，許盛偉，方勇. BIOS木馬機(jī)理分析與防護(hù)[J].計(jì)算機(jī)工程，2011（13）：122-125.

[3]高飛.基于木馬的計(jì)算機(jī)遠(yuǎn)程控制及隱藏技術(shù)分析[J].信息通信，2014（12）：150-152.

[4]張智，袁慶霓. BIOS安全檢查系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2012（22）：172-178.

[5]王曉箴，劉寶，旭潘林.BIOS惡意代碼實(shí)現(xiàn)及其檢測系統(tǒng)設(shè)計(jì)[J].計(jì)算機(jī)工程，2010（36）：17-20.

[6]劉博.BIOS安全等級劃分建議[J].信息技術(shù)與標(biāo)準(zhǔn)化，2013（3）：47-50.

[7]王吉發(fā).基于UEFI的病毒掃描引擎的設(shè)計(jì)與實(shí)現(xiàn)[D].哈爾濱：哈爾濱工程大學(xué)，2011.

[8]張德平.基于BOOTKIT原理惡意代碼控制技術(shù)研究[J].柳州職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2011（11）：28-35.

[9]JOHN BUTTERWORTH， COREY KALLENBERG， XENO KOVAH， et al. BIOS chronomancy： fixing the core root of trust for measurement[J].ACM，2013（13）：25-36.

[10]YANLIN LI， JONATHAN M MCCUNE， ADRIAN PERRIG. VIPER： verifying the integrity of PERipherals' firmware [J]. ACM，2011（11）：3-16.

[11]SUNHA AHN， SHARAD MALIK. Automated firmware testing using firmware-hardware interaction patterns [J]. ACM，2014（14）：1-10.

[12]DAVID HAUWEELE. Tracking inefficient power usages in WSN by monitoring the network firmware： Ph.D. forum abstract [J]. IEEE Press，2016（16）：5-6.

[13]PETRA R MAIER， VEIT KLEEBERGER， DANIEL MUELLER-GRITSCHNEDER，et al. Fault injection at host-compiled level with static fault set reduction for SoC firmware robustness testing [J].ACM，2016（16）：25-27.endprint