研究人员需要研究未被发现的恶意软件。一种加速这一过程的新技术 计算机科学家 Bo Chen 荣获年度计算机安全应用奖 会议。
在裸机恶意软件分析中,研究人员研究软件的恶意功能 在具有真实硬件的真实设备中。问题是真实性是有代价的: 恢复信息需要时间。
然而,陈部分开发的新技术只需要 2.8 秒, 足球比赛结果计算机科学助理教授。陈 他的团队的工作获得了会议的优秀论文奖“支持 用于移动设备上裸机恶意软件分析的透明快照”,荣获 它与网络安全分析师的相关性。随着针对移动设备的网络犯罪增加, 对敏捷安全性的需求也是如此。
“恶意软件越来越难以检测和分析,”陈说。 “同样, 我们的技术也需要智能化。”
比罪犯聪明
如果网络安全是警察与强盗的游戏,那么研究恶意软件就是警察 审讯。就像任何精明的犯罪分子一样,当今的许多恶意软件都知道什么时候发生 被监视。刺探隐藏其恶意功能的软件是 就像要求嫌疑人在没有证据的情况下认罪一样——他们会为第五项辩护。 相反,网络安全分析师更愿意在行为中捕获恶意软件。
“不是恶意的恶意软件只是软件,”陈说。 “从技术 的立场,没有区别。”
因此,网络安全分析师必须创建一个环境,在其中区分 变得明显。等待扒手偷走某人的钱包,而没有人 周围都有针对嫌疑人的摄像机,这意味着不会有盗窃行为可以记录。 然而,如果小偷或恶意软件受到无人看管的背包的诱惑, 已经被战略性地放置和监控,那么就更容易观察 犯罪的性质和过程。
对于移动网络犯罪的恶意软件研究,这意味着使用真实的手机。
恢复被黑的智能手机很痛苦
在设备遭到黑客攻击后对其进行挽救对于任何人来说都不是一件有趣的事,但对于恶意软件研究人员来说 浪费的时间会影响他们询问恶意软件的程度。他们找到了解决方法 但陈开发的博尔特超越了所有这些。
Bolt 是一种恢复机制,可确保保留旧数据。过程很简单: 复制设备的内部存储器;外部存储采用闪存并确保 某些硬件功能无法被覆盖。关键是隔离。
正如 Chen 和他的团队在摘要中所写,“内存快照是由一个隔离的 ARM TrustZone 安全世界中的操作系统 (BoltOS),磁盘快照是 通过用于基于闪存的块设备的定制固件(BoltFTL)来完成。” 这意味着内存和磁盘快照都与恶意软件隔离,甚至 超级狡猾的类型,可以深入挖掘设备的基本组件。因为他们是 隔离后,恶意软件无法破坏它们。通过利用这些快照, 从恶意软件感染中恢复可以很快发生。或者更确切地说,只要 2.8秒。
结果:无需重新启动的隐形恢复系统可帮助网络安全分析师 加快对恶意软件嫌疑人的审讯,从而使整个过程更加顺利 高效且有效地捕获移动设备上基于恶意软件的网络犯罪。
足球比赛结果是一所 R1 公立研究型大学,成立于 1885 年,位于霍顿,拥有来自全球 60 多个国家的近 7,500 名学生。密歇根州旗舰科技大学的投资回报率一直名列全美最佳大学之列,提供超过 185 个本科和毕业生科学技术、工程、计算机、林业、商业、健康专业、人文、数学、社会科学和艺术领域的学位课程。乡村校园距离密歇根州上半岛的苏必利尔湖仅数英里,提供全年户外探险的机会。
评论