PCEVA,PC绝对领域,探寻真正的电脑知识
开启左侧

通过SSD固件实现的勒索病毒防护技术

[复制链接]
绝对有料 发表于 2021-9-13 10:18 | 显示全部楼层 |阅读模式
点击数:733|回复数:2
有人说,自从杀毒软件免费以后,病毒的数量就少了。实际上这几年单纯损人不利己的恶性病毒数量确实少了许多,但以窃取数据为目的的木马病毒以及加密用户文件的勒索病毒危害性仍然很大。特别是后者,已经在全球内造成了非常大的损失。
image1.jpeg

针对勒索病毒的防护通常是软件限制无数字签名的软件对特定位置的更改来实现。卡巴斯基等杀毒软件还提供了挂起+回滚+禁止执行的高等级防护,其中的回滚功能是通过对硬盘中特定位置进行提前备份来实现的,付出的代价包括性能下降和硬盘写入量增加。
image2.jpg


日前,来自韩国和美国的一组研究人员提出了一个新的设想:通过固态硬盘主控自动检测病毒感染,并能够在数秒内恢复被勒索软件加密的文件,堪称是硬件版的“自动回滚”。

image3.jpeg


这项名为SSD-Insider的技术在SSD固件级别实现,主控和固件会自动分析硬盘活动,发现勒索软件的常见行为模式(如大量文件覆写等)后,将暂停主机端读写命令以及Trim指令的执行,并能够利用闪存中尚未擦除的原始数据实现回滚。

image4.jpeg

基于SSD硬件的勒索病毒防护技术充分利用了NAND闪存的自身特性(删除的数据在未进行擦除前仍然存在于闪存中),无需在写入前先对数据进行备份,减少了对闪存的磨损,同时还能快速回滚病毒造成的文件破坏。
image5.jpeg

研究人员在测试中发现,SSD-Insider实现了100%的检测准确度、零误判,检测用时小于10秒,对SSD的写入延迟影响在12.8%到17.3%之间,最恶劣情况下大约只损失8%的数据吞吐能力,表现好于软件防护方案。关于SSD-Insider、SSD辅助勒索病毒检测与数据恢复技术的相关论文已经发表在IEEE Transactions on Computer上。

当然,基于硬件的技术也有自己的局限性,新的勒索病毒有可能会针对性地规避固件检测逻辑,而SSD固件的升级可能不如反病毒软件那样及时。

nighttob 发表于 2021-9-13 13:33 | 显示全部楼层
那勒索软件要是进化成能set security password,SSD还能知道这是用户自己干的还是黑客干的?
kingyesx1 发表于 2021-9-13 15:05 | 显示全部楼层
那数据更没安全性了。又一个可以出漏洞的地方了。固件存防火墙?亏想得出来
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部