惡意代碼檢測是指收集并分析網絡和計算機系統中若干關鍵點的信息,發現其中是否存在違反安全策略的行為以及被攻擊的痕跡��。惡意代碼檢測的常用方法包括:1���、特征碼掃描是在惡意代碼檢測中使用的一種基本技術�����,廣泛應用于各類惡意代碼清除軟件中�。但是這種技術也存在一定的問題:一方面隨著惡意代碼數量的增長��,特征庫規模不斷擴充����,掃描效率越來越低�����;另一方面該技術只能用于已知惡意代碼的檢測����,不能發現新的惡意代碼��;此外,如果惡意代碼采用了加密���、混淆、多態變形等自我防護技術��,特征碼掃描技術也難以檢測���。2����、沙箱技術是將惡意代碼放入虛擬機中執行,其執行的所有操作都被虛擬化重定向��,不改變實際操作系統�。沙箱技術能較好地解決變形惡意代碼的檢測問題。3�、行為檢測技術通過對惡意代碼的典型行為特征分析���,如頻繁連接網絡����、修改注冊表��、內存消耗過大等�,確定惡意操作行為,對這些典型行為特征和用戶合法操作規則進行分析和研究��,如果某個程序運行時����,檢測發現其行為違反了合法程序操作規則,或者符合惡意程序操作規則,則可以判斷其為惡意代碼。行為檢測技術根據程序的操作行為分析���,判斷其惡意性,可用于未知病毒的發現。
惡意代碼檢測需要的知識和技術儲備是怎樣的呢�? 1�、分析能力����。檢測的前提是分析���,類似編譯器的優化���,優化是先分析再轉換��,檢測是先分析再檢測���。2��、程序分析。程序分析在安全領域的應用由來已久�����,但是本身的門檻其實非常的高���。因為門檻高�����,技術又比較偏門�����,導致這個領域的人才非常難找。3��、系統和內核���。檢測離不開動態特征的抽取���,這本質上是一個讓樣本細粒度受控執行的技術�。比如殺毒軟件里的虛擬機���,可以讓樣本按指令粒度去執行����,自動脫殼解密,抓取執行時的內存訪問和API序列信息,同時要保證樣本在受限環境內運行,不會逃逸到真實操作系統。4�����、數據處理能力����。攻防發展到今天,除了研究個體樣本,還需要宏觀高維視角��。通過特征工程和數據算法的手段�����,建立起樣本的家族信息��。既研究樣本個體也研究樣本群體。
