抓住恶意代码检测的主要矛盾

2022年4月19日23:22:40评论27 views字数 631阅读2分6秒阅读模式

在恶意代码检测模型上，是一直追随着恶意代码攻防对抗的方法演进的，那么这个矛盾点就是绕过与反绕过、检测与反检测、规避与反规避。恶意代码目前主流的检测形式是多样的，有特征码的，有启发式的，有行为单点和多点的，所关注的不外乎恶意代码能够成功执行都需要什么，稍微差些的抓取一些不常见的、误报低的字符串或hash、分片hash以运营手段维持检测能力。

授人以鱼不如授人以渔，技术人员在做对抗的过程中往往以技术破技术，以能力论高低，而恶意代码往往是偷奸耍滑，不按常理出牌，胯下逆袭更是常有的事情，正面对抗可谓没有胜算可言。在这里很多人更在意有结果的成败，而忽略了过程的成败。可以这样理解一下，恶意代码为什么要这样做？在把“为什么”和”要这样做”拆开在理解一下，拆开后，”为什么”的目的肯定只有一个，那就是的能够成功使用；而”要这样做”所看到的无论特征、还是行为肯定只有1，不会有2，但是其他的3、甚至是n都可以实现这个“为什么”，那么这个“为什么”就是主要矛盾。抓住矛盾，逻辑变通一下，将被检测的场景从实体提升至思想的高度，那么识别能力必然是升华的。这方面的运用国外某品牌杀毒软件可谓是登峰造极，早年学习确实受益匪浅。这几天深度分析了一个相关数据，抓住了一个矛盾点，检测的成果亦颇具效果，一个小方法检测了n种家族的n多变种，并且误报率为零，为其起了一个奇怪的名字，叫做Tinsh，由“此地无银三百两”翻译而来。

抓住恶意代码检测的主要矛盾

原文始发于微信公众号（锐眼安全实验室）：抓住恶意代码检测的主要矛盾

左青龙
微信扫一扫

右白虎
微信扫一扫

抓住恶意代码检测的主要矛盾

一种利用合法工具渗透的新型方法

如何用纯猜的方式逆向喜马拉雅xm文件加密(wasm部分)

爬虫入门-服务端cookie反爬与header反爬

爬虫入门-js端cookie反爬与无限debugger

AOSP源码定制-内核驱动编写

入门编译原理之前端体验

Linux egg-hunt shellcode

Typora LicenseManager过期分析

xz后门进行逆向工程，并记录了有效载荷格式，并为RCE编写了一个概念验证漏洞

二进制系列——基础知识与简单的栈溢出

发表评论

在线咨询

微信