文章摘要:最近几年,大家都有发现自从杀毒软件免费以来,病毒数量已经大幅度减少。事实上,近年来恶性破坏病毒数量确实少了很多,但以窃取数据为目的的木马病毒和加密用户文件的勒索病毒却呈逐年高发趋势,危害依然很大。在世界各地造成巨大的损失。对盗版软件的保护通常是通过软件限制特定位置的改变来实现的,而软件不需要数字签名。卡巴斯基等杀毒软件也针对暂停回滚的执行提供了高级别的防护,其中回滚功能是通过提前备份硬盘上的特定位
最近几年,大家都有发现自从杀毒软件免费以来,病毒数量已经大幅度减少。事实上,近年来恶性破坏病毒数量确实少了很多,但以窃取数据为目的的木马病毒和加密用户文件的勒索病毒却呈逐年高发趋势,危害依然很大。在世界各地造成巨大的损失。
对盗版软件的保护通常是通过软件限制特定位置的改变来实现的,而软件不需要数字签名。卡巴斯基等杀毒软件也针对暂停回滚的执行提供了高级别的防护,其中回滚功能是通过提前备份硬盘上的特定位置来实现的,付出的代价包括性能下降和硬盘写入量增加。
前段时间,一批来自韩国和美国的研究人员提出了一个新的想法:通过固态硬盘主控器自动检测病毒感染,在几秒钟内恢复通过勒索病毒加密的文件,这可以称为硬件版本的“自动回滚”。
这项名为固态硬盘内部的技术是在固态硬盘固件级别实现的。主控和固件自动分析硬盘活动并找出勒索病毒的常见行为模式(如覆盖大量文件等)后。),它们会暂停主机端读写命令和Trim指令的执行,可以利用闪存中未被擦除的原始数据实现回滚。
基于SSD硬件的勒索病毒保护技术,充分利用了NAND闪存的特性(被删除的数据在被擦除前仍然存在于闪存中),写入前不需要备份数据,减少了对闪存的磨损,快速回滚病毒造成的文件损坏。
在测试中,研究人员发现SSD-Insider实现了100%的检测准确率和零误判,检测时间不到10秒,对SSD写入延迟的影响在12.8%到17.3%之间。在最坏的情况下,它只损失了大约8%的数据吞吐量,这比软件保护方案要好。关于固态硬盘内部人员、固态硬盘辅助软件检测和数据恢复技术的论文已经在IEEE计算机事务上发表。
当然,基于硬件的技术也有其局限性。新的勒索病毒可能会有针对性地规避固件检测逻辑,SSD固件升级可能不如杀毒软件及时。[来源:互联网]
