猎杀移动内存中的潜在威胁

在近日于旧金山召开的RSA会议中，研究人员讲解了一种在移动设备上检测恶意软件的新技术。该研究员指出，该技术甚至可以检测未知的恶意软件，而且不会带来过多的耗电或处理资源占用。

施乐公司帕洛阿尔托研究中心(XeroxPARC)公司首席科学家、新型恶意软件检测技术专家马库斯·贾克博森(Markus Jakobsson)指出，保护台式电脑应对威胁的传统方法无法很好地移植到智能手机上去。绝大多数的反病毒软件都是采用后台工作的方式，将新文件与一个巨大的病毒特征库进行比较。贾克博森说，移动设备的处理能力不足以扫描巨大数量的病毒特征库数据。持续的病毒扫描将会耗尽电池电量。而他的检测方法依赖一个中枢服务，通过监视内存的方式发现被感染的征兆，而不是去通过扫描的方式搜寻某个具体的软件。

移动设备通常有两种内存———随机访问存储器(RAM)，用于活动应用程序；以及二级存储器，这种存储器读取时间较长，通常用来存储当前没有使用的数据。贾克博森研发的系统可以先关掉不重要的应用程序，比如电子邮件程序或浏览器，再对设备进行检查。这样一来，除了检测软件和操作系统本身之外不应有任何程序运行。在RSA大会上，通过一台运行Android系统的设备，他演示了该软件的运行状况。

中枢服务器能与检测软件发生互动，通过计算当时可用RAM的数量，来检测是否有恶意软件在运行。该套系统向剩余的内存空间中填满随机数据，再计算所需数据的总量，并将该数量与设备没有安装恶意软件时其内存数据的特征相对比，从而得出结论。

贾克博森说，一旦设备通过了该类检测，系统就可以确信设备中没有恶意软件被激活运行。接下来，该系统就可以对辅助存储进行安全的扫描，以检测出处于休眠状态的恶意软件。贾克博森解释说，该系统不是设计用来阻止恶意软件侵入该设备的———它只能发现其藏身之处。不同于反病毒软件通常进行的持续性扫描，它的系统扫描只发生在设备执行敏感操作之前或是以预先设定的时间间隔进行。