Hårdvaruassisterad analys av skadlig programvara

En teknisk artikel med titeln "Om möjligheten att packa upp skadlig programvara via hårdvaruassisterad loopprofilering" publicerades av forskare vid Shandong University & Hubei Normal University, Tulane University och University of Texas i Arlington. Detta dokument inkluderades vid det nyligen 32:a USENIX Security Symposium.

Abstrakt
"Hårdvaruprestandaräknare (HPC) är inbyggda register av moderna processorer för att räkna förekomster av olika mikroarkitektoniska händelser. Att mäta HPCs värden är ett kostnadseffektivt sätt att karakterisera dynamiska programbeteenden. På grund av den enkla användningen och de manipuleringssäkra fördelarna har användningen av HPC:er i kombination med maskininlärningsmodeller för att lösa säkerhetsproblem ökat under de senaste åren. Men på senare tid har HPC:s lämplighet för säkerhet ifrågasatts mot bakgrund av oron över icke-determinism: mätfel orsakade av avbrottsslirning och tidsdelningsmultiplexering kan undergräva effektiviteten av att använda HPC:er i säkerhetsapplikationer.

Med dessa försiktighetsåtgärder i åtanke undersöker vi sätt att tämja hårdvaruhändelsernas icke-deterministiska natur för uppackning av skadlig programvara, vilket är en långvarig utmaning i analys av skadlig programvara. Vår forskning motiveras av två centrala observationer. För det första kan uppackningsprocessen, som involverar dyra iterationer av dekryptering eller dekompression, orsaka identifierbara avvikelser i hårdvaruhändelser. För det andra kan loop-centrerad HPC-profilering minimera de oprecisioner som orsakas av avbrottsslirning och tidsdelningsmultiplexering. Därför använder vi två mekanismer som erbjuds av Intel-processorer (dvs. Precise Event-Based Sampling (PEBS) och Last Branch Record) för att utveckla en generisk, hårdvaruassisterad uppackningsteknik, kallad LoopHPCs. Den erbjuder en ny, fördunklingsfjädrande lösning för att identifiera den ursprungliga koden från flera "skrivna-sedan-exekverade" lager. Våra kontrollerade experiment visar att LoopHPCs kan få exakta och konsekventa HPC-värden över olika Intel CPU-arkitekturer och operativsystem."

Hitta det tekniska papperet och bilderna här.. Publicerad augusti 2023.

Cheng, Binlin, Erika A. Leal, Haotian Zhang och Jiang Ming. "Om möjligheten att packa upp skadlig programvara via maskinvaruassisterad loopprofilering." I 32:a USENIX Security Symposium (USENIX Security 23), s. 7481-7498. 2023.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• ChartPrime. Höj ditt handelsspel med ChartPrime. Tillgång här.
• BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
• Källa: https://semiengineering.com/hardware-assisted-malware-analysis/