NC国家研究显示了阻止隐形恶意软件攻击的方法

恶意软件的传播，也被称为恶意软件或计算机病毒，是一个日益严重的问题，它可能导致计算机系统崩溃，个人信息被盗，以及每年数十亿美元的生产力损失。最阴险的恶意软件类型之一是“rootkit”，它可以有效地从用户隐藏其他间谍软件或病毒的存在-允许第三方在你不知情的情况下从你的计算机窃取信息。但是现在来自北卡罗来纳州立大学的研究人员发明了一种新方法来阻止rootkit，防止它们接管你的计算机系统。

为了让人们对计算机恶意软件问题的规模有所了解，最近的一份网络安全威胁报告显示，从2006年到2008年发现的野生恶意软件程序中提取的新恶意软件签名数量增加了1000%。在这些恶意程序中，“rootkit是最隐秘的程序之一，”北卡罗来纳州立大学计算机科学助理教授、该研究的合著者姜旭贤博士说。黑客可以使用rootkit安装和隐藏间谍软件或其他程序。当你启动你的机器时，一切看起来都很正常，但不幸的是，你已经被入侵了。”

rootkit通常通过劫持计算机操作系统中的一些“钩子”或控制数据来工作。“通过控制这些钩子，rootkit可以随意拦截和操纵计算机系统的数据，”Jiang说，“本质上是让用户只看到它想让用户看到的内容。”因此，rootkit可以使自己对计算机用户和任何杀毒软件不可见。此外，rootkit还可以安装额外的恶意软件，如旨在窃取个人信息的程序，并使其隐形。

为了防止rootkit渗入操作系统，Jiang和其他研究人员确定操作系统的所有钩子都需要保护。“具有挑战性的部分是，一个操作系统可能有数万个钩子——其中任何一个都可能被用于rootkit的目的，”Jiang说，“更糟糕的是，这些钩子可能会蔓延到整个系统。”我们的研究引出了一种新的方法，可以有效地保护所有的鱼钩，将它们转移到一个集中的地方，从而使它们更容易管理，更难以颠覆。”

蒋解释说，通过将所有的“钩子”放在一个地方，研究人员可以简单地利用基于硬件的内存保护来防止“钩子”被劫持，这在现在很普遍。从本质上讲，他们能够在适当的地方安装硬件，以确保rootkit不能在未经用户批准的情况下修改任何钩子。

这项名为“用轻量级钩子保护反内核Rootkits”的研究将在11月12日于芝加哥举行的第16届ACM计算机和通信安全会议上发表。该研究的共同作者是江、宁鹏博士、北卡罗来纳州立大学计算机科学副教授、北卡罗来纳州立大学博士生王智和微软研究院的崔卫东。

希普曼-

编辑:下面是演示摘要。

“用轻量级钩子保护来对抗内核Rootkits”

作者:王志、蒋绪贤、宁鹏、美国北卡罗来纳州立大学;崔卫东，微软研究院

提出了: 2009年11月12日，在芝加哥举行的第16届美国计算机学会计算机与通信安全会议上。

文摘:由于其隐秘的方式，内核rootkit已经构成了严重的安全威胁。为了隐藏它们的存在和活动，许多rootkit通过修改内核空间中的控制数据或钩子来劫持控制流。消除rootkits的一个关键步骤是保护这样的钩子不被劫持。然而，这仍然是一个挑战，因为存在大量分布广泛的内核钩子，它们中的许多可以从内核堆动态分配，并与其他内核数据共存。此外，缺乏灵活的商品硬件支持，导致了所谓的保护粒度差距——内核钩子保护需要字节级的粒度，而商品硬件只提供页面级的保护。为了解决上述挑战，在本文中，我们介绍了钩子安全(Hook-Safe)，这是一个基于虚拟机监控程序的轻量级系统，可以保护来宾操作系统中的数千个内核钩子不被劫持。我们的方法背后的一个关键观察是，内核钩子一旦初始化，可能会经常被“读”访问，但很少被“写”访问。因此，我们可以将这些内核钩子重新定位到专用的页对齐内存空间，然后使用基于硬件的页级保护来调节对它们的访问。我们开发了一个HookSafe的原型，并使用它来保护Linux客户机中的5900多个内核钩子。我们用9个真实的rootkit进行的实验表明，HookSafe可以有效地挫败他们劫持内核钩子的企图。 We also show that HookSafe achieves such a large-scale protection with a small overhead (e.g., around 6% slowdown in performance benchmarks).