官网热线:400-100-0298
恶意代码检测是指收集并分析网络和计算机系统中若干关键点的信息,发现其中是否存在违反安全策略的行为以及被攻击的痕迹。恶意代码检测的常用方法包括:1、特征码扫描是在恶意代码检测中使用的一种基本技术,广泛应用于各类恶意代码清除软件中。但是这种技术也存在一定的问题:一方面随着恶意代码数量的增长,特征库规模不断扩充,扫描效率越来越低;另一方面该技术只能用于已知恶意代码的检测,不能发现新的恶意代码;此外,如果恶意代码采用了加密、混淆、多态变形等自我防护技术,特征码扫描技术也难以检测。2、沙箱技术是将恶意代码放入虚拟机中执行,其执行的所有操作都被虚拟化重定向,不改变实际操作系统。沙箱技术能较好地解决变形恶意代码的检测问题。3、行为检测技术通过对恶意代码的典型行为特征分析,如频繁连接网络、修改注册表、内存消耗过大等,确定恶意操作行为,对这些典型行为特征和用户合法操作规则进行分析和研究,如果某个程序运行时,检测发现其行为违反了合法程序操作规则,或者符合恶意程序操作规则,则可以判断其为恶意代码。行为检测技术根据程序的操作行为分析,判断其恶意性,可用于未知病毒的发现。
恶意代码检测需要的知识和技术储备是怎样的呢? 1、分析能力。检测的前提是分析,类似编译器的优化,优化是先分析再转换,检测是先分析再检测。2、程序分析。程序分析在安全领域的应用由来已久,但是本身的门槛其实非常的高。因为门槛高,技术又比较偏门,导致这个领域的人才非常难找。3、系统和内核。检测离不开动态特征的抽取,这本质上是一个让样本细粒度受控执行的技术。比如杀毒软件里的虚拟机,可以让样本按指令粒度去执行,自动脱壳解密,抓取执行时的内存访问和API序列信息,同时要保证样本在受限环境内运行,不会逃逸到真实操作系统。4、数据处理能力。攻防发展到今天,除了研究个体样本,还需要宏观高维视角。通过特征工程和数据算法的手段,建立起样本的家族信息。既研究样本个体也研究样本群体。
上一篇:应急响应应当如何正确去做?
下一篇:渗透测试的介绍及其七个过程分享
