HookSafe — защита от руткитов

Александр Панасенко 25 Ноября 2009 - 10:38

...

Исследователи из университета Северной Каролины в содружестве с Майкрософт создали прототип виртуальной системы предотвращения вторжений, которая обеспечивает эффективную защиту ОС от руткитов режима ядра без заметных потерь в производительности. Руткиты режима ядра маскируют свое присутствие и деятельность на зараженной машине, перехватывая системные функции и подменяя управляющую информацию на уровне ядра. Система HookSafe защищает гостевую ОС от несанкционированного доступа руткитов режима ядра, работая в режиме гипервизора.

Прототип системы был протестирован в среде Ubuntu Linux 8.10, где было идентифицировано около 6 тыс. точек возможного перехвата, разбросанных по 40 физическим страницам. HookSafe успешно отразила атаки девяти известных руткитов, ориентированных на Linux. Семь из них потерпели неудачу при попытке инсталляции, а два, внедрившись в ядро, не смогли замаскироваться. Максимальное снижение производительности из-за присутствия гипервизора составило 6%.

Разработчики признают, что HookSafe — частичное решение проблемы, к тому же не лишенное недостатков. Система предотвращает только те атаки, которые она может распознать, поэтому база сигнатур указателей должна быть создана заранее. Самостоятельно локализовать нужные данные в пространстве ядра она не способна, они выявляются путем динамического анализа при прогоне незараженной версии ОС на эмуляторе. Этот метод несовершенен, так как часть указателей может быть упущена и не будет занесена в базу. В реальных условиях ситуация усугубится, когда усилится приток программных обновлений и новых драйверов. Кроме того, HookSafe защищает ядро, но не предотвращает запуск руткита.

Отчет о новой разработке был представлен на 16-й конференции ACM по компьютерной и сетевой безопасности (CCS 2009), недавно проведенной в Чикаго. Авторы проекта планируют продолжить исследования, сосредоточившись на тотальной защите ядра. Они также работают над версией HookSafe для Windows.

Источник

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 06 Августа 2020 - 16:38

Android Домашние пользователи [taxonomy_vocabulary_2] Google

Chrome для Android будет выводить напоминания использовать... Chrome

С выходом на второе место по популярности Chromium-версии браузера Microsoft Edge разработчики Google Chrome задумались над тем, как переманить пользователей обратно. В результате поисковому гиганту пришло в голову задействовать для этой цели таргетированные уведомления.

В принципе, ничего постыдного нет, ведь тот же Microsoft Edge для привлечения пользователей использует практики, больше подходящие адваре или программам-вымогателям.

Google же решил начать с собственной мобильной операционной системы Android. Именно её пользователям посчастливится первыми увидеть новые уведомления. По крайней мере, об этом говорят соответствующие строки в коде программы (1, 2 и 3).

Разобравшие код специалисты утверждают, что Google Chrome на Android будет выводить специальные напоминания, которые предлагают пользователям перейти на браузер интернет-гиганта.

На данный момент Google внедрил три формы уведомлений, чтобы протестировать, какая из них будет работать лучше.

Также эксперты выявили триггер, который спровоцирует появление уведомлений. Пользователь увидит рекомендацию перейти на Chrome, если запустит вкладку браузера не напрямую (например, внутри другого приложения).

Кроме того, если на вашем смартфоне установлено сразу несколько браузеров, вас тоже попросят пользоваться исключительно Google Chrome.