有人说,自从杀毒软件免费以后,病毒的数量就少了。实际上这几年单纯损人不利己的恶性病毒数量确实少了许多,但以窃取数据为目的的木马病毒以及加密用户文件的勒索病毒危害性仍然很大。特别是后者,已经在全球内造成了非常大的损失。
针对勒索病毒的防护通常是软件限制无数字签名的软件对特定位置的更改来实现。卡巴斯基等杀毒软件还提供了挂起+回滚+禁止执行的高等级防护,其中的回滚功能是通过对硬盘中特定位置进行提前备份来实现的,付出的代价包括性能下降和硬盘写入量增加。
日前,来自韩国和美国的一组研究人员提出了一个新的设想:通过固态硬盘主控自动检测病毒感染,并能够在数秒内恢复被勒索软件加密的文件,堪称是硬件版的“自动回滚”。
这项名为SSD-Insider的技术在SSD固件级别实现,主控和固件会自动分析硬盘活动,发现勒索软件的常见行为模式(如大量文件覆写等)后,将暂停主机端读写命令以及Trim指令的执行,并能够利用闪存中尚未擦除的原始数据实现回滚。
基于SSD硬件的勒索病毒防护技术充分利用了NAND闪存的自身特性(删除的数据在未进行擦除前仍然存在于闪存中),无需在写入前先对数据进行备份,减少了对闪存的磨损,同时还能快速回滚病毒造成的文件破坏。
研究人员在测试中发现,SSD-Insider实现了100%的检测准确度、零误判,检测用时小于10秒,对SSD的写入延迟影响在12.8%到17.3%之间,最恶劣情况下大约只损失8%的数据吞吐能力,表现好于软件防护方案。关于SSD-Insider、SSD辅助勒索病毒检测与数据恢复技术的相关论文已经发表在IEEE Transactions on Computer上。
当然,基于硬件的技术也有自己的局限性,新的勒索病毒有可能会针对性地规避固件检测逻辑,而SSD固件的升级可能不如反病毒软件那样及时。
|
收藏
转播
