官網熱線:400-100-0298
惡意代碼檢測中的惡意代碼在實現上可大致分為兩類:一類是基于基礎技術的共用,惡意代碼開發人員通過重用基礎模塊實現變種;一類是惡意代碼專門針對現有防范技術而設計開發的混淆技術。混淆技術按實現機理,可分為兩類:一類是干擾反匯編的混淆,使反匯編無法得到正確結果,從而阻礙進一步分析;另一類是指令/控制流混淆,此類混淆技術通常采用垃圾代碼插入、寄存器重分配、等價指令替換及代碼變換等方式,改變代碼的語法特征,隱藏其內部邏輯關系。從混淆技術產生作用的層面,可將其分為代碼層混淆和行為層混淆兩類:代碼層混淆通過變形、壓縮等方式,模糊、隱藏或改變原有代碼特征,從而使基于代碼特征的檢測失效;行為層混淆則通過垃圾行為插入、執行順序變換及等價行為替換等方式,改變行為序列或執行流程,使基于行為序列或流程圖的檢測失效。
惡意代碼檢測方法可以分為基于啟發式的檢測和基于特征的檢測兩大類。基于啟發式的檢測方法,通過比較系統上層信息和取自內核的系統狀態來識別隱藏的文件、進程及注冊表信息.還有一些研究工作通過監控系統特定資源來識別惡意代碼。根據預先設定的規則判斷惡意代碼存在的可能性,其優勢在于可檢測新惡意代碼樣本;但其規則的生成依賴于分析人員的經驗,在應用中易引發高誤報及漏報率,因此在實際檢測系統中應用較少。基于特征的檢測方法,則根據由惡意代碼中提取的特征進行檢測,與基于啟發式的檢測方法相比,具有效率高、誤報率低等優點,因此被廣泛應用于惡意代碼檢測工具之中,是目前惡意代碼檢測比較常見的方法。傳統的特征檢測,大多采用基于代碼特征的檢測方法,該方法從已有惡意代碼樣本中提取代碼語法特征用于檢測,此類特征通常精確匹配單一樣本,惡意代碼使用簡單混淆方法即可繞過相應檢測。并且,不同變種需使用不同特征進行描述,特征庫數據量往往十分龐大,且在出現變種時需及時、不斷地更新。
上一篇:應急響應的各個階段及重要性分享
下一篇:應急響應應當如何正確去做?
