Automatiskt detektering av att ett program beter sig felaktigt är i sig ingen nyhet. Det nya är att forskarna väljer att försöka reparera programmet och låta det fortsätta köra, istället för att stänga av det, vilket är den vanliga metoden idag. I vissa sammanhang är syftet med ett virus just att att stänga ner ett system. Den nya metoden ger ett skydd mot detta.
För att testa sitt system anlitade forskarna konsulten Sparta som fick fria händer att försöka sabotera webbläsaren Firefox. Alla de tio attackerna upptäcktes och avbröts innan de hann ställa till skada. I sju av fallen kunde virusskyddet inom fem minuter reparera Firefox och sedan låta det fortsätta köra. Efter en manuell modifiering av virusskyddets inställningar, kunde Firefox skyddas mot ytterligare två attacker.
Virus- och buggskyddet heter Clearview och kan integreras med befintliga system för att upptäcka virus. I försöket användes bland annat den kommersiella virusmonitorn Determina Memory Firewall. En generell metod för att upptäcka virus och buggar är exempelvis att kontinuerligt övervaka att data endast skrivs till reserverade minnesadresser eftersom en vanlig virusangreppsmetod är att infiltrera ett program för att via detta, via minnet, kunna påverka ett annat. Minnesfel av detta slag är också en vanlig typ av bugg.
Clearview stöder Windows och behöver inte tillgång till källkoden för programvaran utan arbetar direkt mot den kompilerade binärkoden.
Reparationen fungerar enligt en trial-and-errormetod med stöd av inlärning. Under normal exekvering bygger Clearview upp en databas över vilka värden som normalt finns i minnesceller. Efter ett fel avbryts programmet varvid Clearview undersöker vilka värden som hamnat utanför de normala och provar olika möjligheter för att återställa dem utan att programvaran kraschar.
Reparationen kan leda till att programmets funktion begränsas – i en webbläsare skulle Clearview exempelvis kunna ”reparera” ett säkerhetshål genom att ta bort möjligheten att mata in webbadresser över en bestämd längd, som ett skydd mot virus som planterar fientlig kod i webbadressfältet.
Här är en artikel som beskriver forskarnas teknik. (pdf).