Egy olyan új rendszer monitorozó keretrendszert javaslunk, amely alkalmas lehet ismeretlen malware detekciójára élő rendszereken. Módszerünk az egyre jobban elterjedő hardver által támogatott virtualizációs technológiákra épül, és fő újdonsága, hogy a hypervisor-t úgy indítjuk el egy élő rendszeren, hogy nem kell a rendszert leállítani és ismét elindítani. A hypervisor a legmagasabb privilégium szinten fut, ezért alkalmas a rendszerben történő eseméyek transzparens megfigyelésére. E célból egy újszerű rendszerhívás monitorozó eljárást is javaslunk, melynek transzparenciája és granularitása konfigurálható.
A teljes kutatási beszámoló letölthető innen (PDF)
Dr. Buttyán Levente, docens, BME Hálózati Rendszerek és Szolgáltatások tanszék, buttyan@crysys.hu
2014. október 2.