Windows Tips & News

Microsofts Project Freta er ment å stoppe skadelig programvare i Azure

click fraud protection
ANBEFALT: Klikk her for å fikse Windows-problemer og optimalisere systemytelsen

Project Freta er et nytt Microsoft Research-prosjekt som introduserer en rettsmedisinsk plattform for virtuelle maskiner (VM) som stopper skadelig programvare. Brukere vil kunne bruke Freta til å finne skadelig programvare i skyen.

Prosjekt Freta Banner

Siden Project Freta kommer fra Microsoft Research, klassifiserer selskapet det som en "teknologidemonstrasjon".

Annonse

Den tar et øyeblikksbilde av en VM (støtter Hyper-V og VMWare), og inspiserer deretter innholdet for skadelig programvare. For å oppnå denne funksjonaliteten bør brukeren logge på Project Freta-nettstedet og deretter sende inn VM-bilder som brukes i den spesielle Azure-regionen.

De offisiell kunngjøring sier:

Project Freta-analysemotoren bruker øyeblikksbilder av flyktig Linux-minne i hele systemet og trekker ut en oppregning av systemobjekter. Noe kjerne-hooking-identifikasjon utføres automatisk; dette kan brukes av analytikere til å oppdage nye rootkits. Analyseportalen er tilgjengelig i prototypeform for offentlig bruk: https://freta.azurewebsites.net.

Prototypeportalen støtter mange typer minnesnapshots som innganger. Foreløpig er bare et Hyper-V-sjekkpunkt evaluert for å gi en rimelig tilnærming av "overraskelseselementet" som er nødvendig for å oppnå pålitelig sansing:

  • Bruk Hyper-V-sjekkpunktfunksjonen til å lage en VMRS-fil
  • Konverter et VMWare-øyeblikksbilde for å produsere en CORE-fil
  • Trekk ut minne fra et kjørende system ved hjelp av AVML
  • Trekk ut minne fra et kjørende system ved hjelp av LiME

Minneøyeblikksbilder for en kjørende VM i Azure kan tas med en spesiell sensor som gjør det mulig å fange opp og flytte forekomstens minne til et frakoblet område for analyse uten å stoppe kjøringen.

Fullført vinteren 2019, er denne sensorfunksjonen for øyeblikket bare tilgjengelig for Microsoft forskere og er ikke felt til noen av Microsofts kommersielle skyer – executive briefings og demoer er det tilgjengelig. Denne sensoren, kombinert med Freta-analysemiljøet, viser en vei til billige, automatiserte minnekriminaltekniske revisjoner av store bedrifter (10 000+ VM-er).

Når analysen er fullført, vil Project Freta lage en rapport. Rapportdataene kan også fås via REST API og Python.

Freta Rootkits-figur oppdatertV

Rapporten inneholder en oppregning av systemobjekter over intervallet prøven ble tatt:

  • Globale verdier og adresser
  • Feilsøkte prosesser
  • Filer i minnet
  • Kjerneavbruddstabell
  • Kjernemoduler
  • Kernel syscall-tabell
  • Nettverk
  • Åpne filer
  • ARP-tabell (arp)
  • Åpne stikkontakter
  • Prosesser
  • Unix-stikkontakter (lsof)
ANBEFALT: Klikk her for å fikse Windows-problemer og optimalisere systemytelsen
Hvordan endre standard plassering av skjermbilder i Windows 10

Hvordan endre standard plassering av skjermbilder i Windows 10

I Windows 8 la Microsoft til et nyttig alternativ - muligheten til å ta et skjermbilde og lagre d...

Les mer

Aktiver den eldre Windows 7-lignende oppstartsmenyen i Windows 10

Aktiver den eldre Windows 7-lignende oppstartsmenyen i Windows 10

22 svarHvis du byttet til Windows 10 fra Windows 7, har du sannsynligvis lagt merke til den nye o...

Les mer

Høstfarge i Japan-tema for Windows 10-arkiver

Denne nettsiden bruker informasjonskapsler for å forbedre opplevelsen din mens du navigerer gjenn...

Les mer