抓住恶意代码检测的主要矛盾

admin 2022年4月19日23:22:40程序逆向评论7 views631字阅读2分6秒阅读模式
在恶意代码检测模型上,是一直追随着恶意代码攻防对抗的方法演进的,那么这个矛盾点就是绕过与反绕过、检测与反检测、规避与反规避。恶意代码目前主流的检测形式是多样的,有特征码的,有启发式的,有行为单点和多点的,所关注的不外乎恶意代码能够成功执行都需要什么,稍微差些的抓取一些不常见的、误报低的字符串或hash、分片hash以运营手段维持检测能力。
授人以鱼不如授人以渔,技术人员在做对抗的过程中往往以技术破技术,以能力论高低,而恶意代码往往是偷奸耍滑,不按常理出牌,胯下逆袭更是常有的事情,正面对抗可谓没有胜算可言。在这里很多人更在意有结果的成败,而忽略了过程的成败。可以这样理解一下,恶意代码为什么要这样做?在把“为什么”和”要这样做”拆开在理解一下,拆开后,”为什么”的目的肯定只有一个,那就是的能够成功使用;而”要这样做”所看到的无论特征、还是行为肯定只有1,不会有2,但是其他的3、甚至是n都可以实现这个“为什么”,那么这个“为什么”就是主要矛盾。抓住矛盾,逻辑变通一下,将被检测的场景从实体提升至思想的高度,那么识别能力必然是升华的。这方面的运用国外某品牌杀毒软件可谓是登峰造极,早年学习确实受益匪浅。这几天深度分析了一个相关数据,抓住了一个矛盾点,检测的成果亦颇具效果,一个小方法检测了n种家族的n多变种,并且误报率为零,为其起了一个奇怪的名字,叫做Tinsh,由“此地无银三百两”翻译而来。

抓住恶意代码检测的主要矛盾

抓住恶意代码检测的主要矛盾



原文始发于微信公众号(锐眼安全实验室):抓住恶意代码检测的主要矛盾

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月19日23:22:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  抓住恶意代码检测的主要矛盾 http://cn-sec.com/archives/909644.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: