image

Onderzoekers willen malware met hardware bestrijden

woensdag 9 november 2016, 14:42 door Redactie, 3 reacties

Bij de bestrijding van malware wordt vaak aan software zoals virusscanners gedacht, maar onderzoekers van de Amerikaanse Binghamton Universiteit hebben een beurs van 275.000 dollar gekregen om te kijken hoe hardware kan helpen bij het beschermen van computers.

"Het is een nieuwe aanpak voor het verbeteren van de effectiviteit van malware-detectie", aldus hoogleraar Dmitry Ponomarev, die het project leidt. Om malware via hardware te kunnen bestrijden willen de onderzoekers de processor van computers aanpassen. Door het toevoegen van logica zou de processor naar opvallende zaken kunnen kijken, bijvoorbeeld als er een programma zoals Microsoft Word wordt geopend. Vervolgens kan de hardware software op het systeem waarschuwen om het probleem te controleren.

De onderzoekers stellen dat de hardware niet in alle gevallen gelijk heeft, maar dat het eigenlijk als een uitkijk fungeert om de algehele detectie van malware te verbeteren. "De aangepaste microprocessor heeft de mogelijkheid om malware te detecteren als programma's worden uitgevoerd", merkt Ponomarev. "Aangezien de hardware-detector niet 100 procent nauwkeurig is, zal het alarm een software-detector aanroepen die verdachte programma's inspecteert. De software-detector zal de uiteindelijke beslissing maken."

Volgens Ponomarev stuurt de hardware de software aan. "Zonder de hardware zal de software te traag zijn om bij alle programma's gelijktijdig te werken", merkt hij op. De hoogleraar vergelijkt de hardware-detector met een kanarie in een kolenmijn, die softwareprogramma's waarschuwt als er een probleem is. "De hardware-detector is snel, maar minder flexibel en uitgebreid. De hardware heeft als doel om verdacht gedrag te vinden en vervolgens de software in te schakelen."

Reacties (3)
09-11-2016, 15:44 door sjonniev
Nieuw... Not!

Wel eens van Thunderbyte gehoord?
09-11-2016, 17:19 door Anoniem
Door sjonniev: Nieuw... Not!

Wel eens van Thunderbyte gehoord?
Dat is niet hetzelfde. TBAV had een ISA-kaart met een EPROM die zorgde dat de antivirus-software effectief onderdeel van de BIOS werd en actief was voor het besturingssysteem zelfs maar geladen werd. Een truc om antivirussoftware in een vroeger stadium te laden dan normaal. Hier gaat het om een aangepaste CPU die in staat is om ongebruikelijke patronen van processorinstructies op te merken en voor verdere analyse software een signaal te geven, ik neem aan door een interrupt te genereren. Het is een zelflerend systeem dat ze op het oog hebben, maar op een vrij simpele manier, het moet vooral snel zijn. Het zal een hoop fout-positieven genereren maar die worden door de geactiveerde software nader bekeken. Het idee is dat op die manier heel direct de uitvoering van software kan worden gemonitord zonder veel overhead te genereren.
09-11-2016, 18:19 door karma4
Nieuw? Oud in een hardware memory architecture met exta bytes per 4k blokken werd de sandboxscheidi door hardware feautures gedaan. Het kon allemaal veel makkelijker ....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.