گروهی از محققان ایتالیایی ابزاری مبتنی بر سیستم فایل با عنوان ShieldFS ارائه کردهاند که بر طبق بررسیهای انجام شده توسط آنها قادر به شناسایی 97 درصد باجافزارهاست.
به گزارش شرکت مهندسی شبکه گستر، این ابزار با بکارگیری تکنیکهایی همچون Shadowing و Copy-on-Write و تهیه نسخهای از فایلها امکان بازگردانی فایل را حتی پس از رمز شدن آن نیز فراهم میکند.
این گروه در کنفرانس Black Hat این افزونه سیستم فایلی را معرفی کردند.
جدول زیر آمار شناساییهایی ShieldFS را نشان میدهد:
ShieldFS ابتدا فعالیتهای سیستم فایل را آموخته و الگویی از آنها ایجاد میکند. در ادامه رفتارهای مشکوک به باجافزار را که مغایر با الگوی ساخته شده هستند شناسایی میکند.
در صورت کشف یک برنامه مشکوک، ShieldFS وارد مرحله رصد شده و هر کدام از فعالیتهای آن را مورد بررسی قرار می دهد. چنانچه که ShieldFS به این نتیجه برسد که برنامه مخرب است، کد مسدود شده و نسخه پشتیبان بازگردانده میشود.
ShieldFS نتیجه 18 ماه کار این محققان است. هر چند که بر اساس آمار این محققان ShieldFS قادر به شناسایی باجافزار Petya نبوده است.
در طی دو سال گذشته بسیاری از شرکتهای امنیتی نیز فناوریهایی با اهداف مشابه را در محصولات خود لحاظ کردهاند.
ارائه این محققان در کنفرانس Black Hat در اینجا قابل دریافت و مطالعه است.