微软推出Project Freta免费服务，能在OS内存快照中查找恶意软件

微软新推出了一项名为Project Freta免费服务，允许用户在操作系统内存快照中查找包括rootkit在内的恶意软件。

Project Freta，是一项基于云的服务，允许用户手机有关Linux系统攻击的取证证据，包括与rootkit和其他复杂的恶意软件有关的内容。该服务目前只支持Linux系统，但是Microsoft将会增加对Windows系统调查的支持。

项目名字来源于Marie Curie出生的街道Freta Street，她将X涉嫌医学成像技术带到了计算机中。

尽管基于快照的内存取证已经有20年头，但是还没有商业云能够为客户提供对上千个虚拟机（VM）进行全内存审计的功能，而无需侵入式捕获机制和事先的取证准备，就像往年的胶卷相机和现在的智能手机具有类似的百万像素，但是易用性和可用性却大不相同一样，Freta计划将VM取证自动化并使其民主化，以至于每个用户和每个企业都可以通过以下方式来清除易失性内存以查找未知恶意软件，只需要点一下按钮，无需设置。

该项目的出吃版本Freta支持四千多个Linux内核。基于快照的内存取证解决方案，旨在自动执行虚拟机（VM）快照的全系统易失性内存检查。根据Microsoft的说法，该服务解决方案对于在启动感染链之前无法检测到传感器的恶意软件是透明的，这意味着由恶意代码试试的逃避技术无效。

项目分析服务着眼于进程，全局值和地址，内存文件，调试的进程，内核组件，网络，ARP表，打开文件，打开套接字和Unix套接字。

可以通过门户使用Project Freta，该门户允许上传起操作系统映像进行分析。该平台产生的结果可以直接在门户上或者通过REST和Python API访问。

为此，受信任的感知系统通过处理四个不同方面来工作，这些方面首先通过防止任何程序使系统免受此类攻击。除了增加Windows支持以外，Microsoft还计划扩展分析能力并实施在基于AI的鞠策制定以检测新威胁。

该服务实现可信赖感测的第二个组件是为Azure打造的传感器，他使操作员可以将实时虚拟机的易失性内存迁移到脱机分析环境当中，而不会中断执行，该传感器功能已于2019年冬天完成，目前仅适用于Microsoft研究人员，尚未应用于任何商业云中，这种传感器与Freta分析环境相结合，展示了对大型企业（上万个虚拟机）进行廉价的自动内存取证审计的能力。