1. 恶意软件检测的介绍

恶意软件的检测难度是因为恶意软件高度扩散和不同的变体,使得基于签名和图像文件哈希的方法是行不通的. 我们通常说的二进制文件不仅仅是指可执行文件,而且指隐藏在其他文件格式的中的代码,比如(.png格式或者.zip格式),同样文本文档也可以成为恶意软件的载体,尽管他们不是可行性文件格式 .

方法整体分为:静态方法和动态恶意软件分析方法

1.1 恶意软件分类

1. 木马:看似合法且无害的可执行文件,但是一单运行就后台执行恶意指令.
2. 僵尸网络:一种恶意软件且破坏可能多的网络主机将其计算能力提供给攻击者.
3. 下载器: 从网络上下载恶意库或部分代码并在受害主机上执行的恶意软件
4. Rootkit:在操作系统上破坏主机的恶意程序.
5. 勒索软件: 一种恶意软件对存储在主机上的文件进行加密.
6. APT:是利用受害主机上的特定漏洞量定制的攻击形式.
7. 零日(0 days)一种恶意软件,利用尚未向我研究者和分析人员公开的漏洞,安全软件无法检测到的.

1.2 业界的恶意软件分析工具

1. 反编译程序
2. 调试器
3. 系统监视器
4. 网络监视器
5. 脱壳工具和加壳识别器
6. 二进制和代码分析工具

2. 恶意软件的方案

2.1 静态恶意软件分析