《科技创业》在旧金山召开的RSA会议中，研究人员讲解了一种在移动设备上检测恶意软件的新技术。该研究员指出，该技术甚至可以检测未知的恶意软件，而且不会带来过多的电池电量消耗或处理资源占用。如今，专家们也开始认同恶意软件已经开始侵袭智能手机产品的说法，并且，相关研究人员也在寻找保护移动设备不受恶意软件侵害的途径。但是，施乐公司帕洛阿尔托研究中心（Xerox PARC）公司首席科学家、新型恶意软件检测技术专家马库斯.贾克博森（Markus Jakobsson）指出，保护台式电脑应对威胁的传统方法无法很好地移植到智能手机上去。贾克博森同时也是FatSkunk公司的联合创始人，该公司将于不久后在其研究成果的基础上向市场推出一款恶意软件检测软件。绝大多数的反病毒软件都是采用后台工作的方式，将新文件与一个巨大的病毒特征库进行比较。贾克博森指出，移动设备的处理能力不足以扫描巨大数量的病毒特征库数据。持续的病毒扫描将会耗尽电池电量。在他的检测方法依赖一个中枢服务，通过监视内存的方式发现被感染的征兆，而不是去通过扫描的方式搜寻某个具体的软件。移动设备通常有两种内存——随机访问存储器（RAM，random-access memory），用于活动应用程序；以及二级存储器，这种存储器读取时间较长，通常用来存储当前没有使用的数据。贾克博森研发的系统可以先关掉不重要的应用程序，比如电子邮件程序或浏览器，再对设备进行检查。这样一来，除了检测软件和操作系统本身之外不应有任何程序运行。在RSA大会上，通过一台运行Android系统的设备，他演示了该软件的运行状况。如果恶意软件存在并且是处于激活状态时，它便需要使用RAM在设备上执行指令。所以，中枢服务器就能与检测软件发生互动，通过计算当时可用RAM的数量来检测是否有恶意软件在运行。该套系统向剩余的内存空间中填满随机数据，再计算所需数据的总量，并将该数量与设备没有安装恶意软件时其内存数据的特征相对比，从而得出结论。这样一来，任何运行中的恶意软件都能被检测到。某些恶意软件有可能会允许随机数据覆盖其占用的RAM而达到隐藏自己存在的目的，贾克博森说，但这样同样会阻止它们任何进一步的行为。如果它尝试在设备的二级存储中而不是内存中读取数据，那这种行为会导致设备给中枢服务器的响应变慢，从而也暴露了自身的存在。贾克博森说，一旦当设备通过了该类检测，系统就可以确信设备中没有恶意软件被激活运行。接下来，该系统就可以对辅助存储进行安全的扫描，以检测出处于休眠状态的恶意软件。贾克博森解释说，该系统不是设计用来阻止恶意软件侵入该设备的——它只能发现其藏身之处。不同于反病毒软件通常进行的持续性扫描，他的系统扫描只发生在设备执行敏感操作之前或是以预先设定的时间间隔进行。同时，它也可以作为传统反病毒软件的备用安全系统使用。“这种技术显然通过只有一群组织严谨的研究人员经过大量工作之后才能取得”， 奥瑞莱恩.弗兰西昂（Aurélien Francillon）指出，他是位于苏黎世的瑞士联邦技术研究所系统安全组的研究员之一，负责研究恶意软件检测方案。但是他也随后指出，对于该项技术，还需要大量审慎的工作来对其方法进行彻底评估。弗兰西昂还对该检测系统对时间同步的依赖性提出了质疑。例如，他指出：网络拥塞之类的环境因素会给导致正常的延迟，对设备的响应时间发起的挑战。同时，弗兰西昂也怀疑该系统中探测恶意软件的代码会遭到攻击。与其它任何新的安全技术一样，该系统需要更多的分析工作以进行全面的评估，他说。位于芬兰赫尔辛基的F-Secure安全集团的首席科研官米科.海普伦（Mikko Hypp?nen）指出，此类威胁目前还处于理论阶段。目前只有数百种针对移动设备的恶意软件，相较于个人电脑上数百万种而言，数量甚微。迄今为止，他指出，移动设备上的恶意软件还处于初级阶段，它们还没有采用类似于桌面电脑恶意软件所广泛采用的复杂规避手段。海普伦同时还指出，就目前而言，与其保护移动设备不受恶意软件侵扰，还不如保护其不被盗窃更加重要。尽管如此，他相信移动设备上的恶意软件会在将来变得越来越复杂。从这个意义上来说，人们将会要用到类似贾克博森所提出的先进的检测方案。贾克博森计划将他的检测方案通过FatSkunk向手持设备生产商推向市场，希望能够说服厂商将他的代码嵌入软件中。如果其它公司想要使用该系统，比如生产反病毒软件的公司或是银行，就需要向该手持设备生产商和FatSkunk支付许可证费用。本文为美国Technology Review授权文章，未经书面许可，严禁转载使用。