'R2D2'可以在执行恶意命令之前停止磁盘擦除恶意软件的侵害

普渡大学的研究人员认为他们已经破解如何保护数据免受“磁盘擦除”恶意软件的侵害。

在Christopher Gutierrez的领导下，该团队创建了一个可以在写入缓冲区到达存储之前分析写入缓冲区的软件，如果写入具有破坏性，它会着手保存销毁目标数据。

在这篇文章的预印版中，研究人员解释了他们的技术。使用虚拟机内省（VMI）在虚拟机监视器（VMM）中执行检查。

他们写道：“这有利于它不依赖整个操作系统作为信任的根源，并且他们声称批量任务的延迟惩罚为1％到4％，交互任务为9％到20％ 。

该系统已经过针对各种安全删除工具和恶意软件（如Shamoon和Stonedrill）的测试，并且他们声称完全成功地针对“我们尝试过的所有雨刷式恶意软件样本”。

R2D2拦截打开的文件并在来宾虚拟机上写入文件系统调用。当它检测到一个打开的文件请求时，它会检查“所有打开的系统调用”以查看该文件是否已经打开供写入。

他们写道：“如果系统调用请求写入权限，策略将确定文件是否应该基于黑名单或白名单进行保护。”

列入白名单的文件是不受保护的文件; 如果该文件位于黑名单中，我们拍摄文件系统的快照，因为该文件被认为对系统稳定性至关重要。

如果攻击者试图在这两个列表上打开一个文件，“R2D2会根据分析策略对文件系统进行临时检查，然后分析后续的写入系统调用，以确定写入是否可疑”。

Open File VMI的伪代码如下所示：

if File is opened for writing then
if File is in Blacklist then
Create a Snapshot (Permanent)
Done
else if File is in Whitelist then
Done
else
Create Checkpoint (Temporary)
end if
end if

他们解释说，可以丢失的文件的“白名单”是为了提高性能。例如，重新安装操作系统令人恼火，但它比丢失用户数据要好。