抓住恶意代码检测的主要矛盾

admin
admin
admin
138858
文章
114
评论
2022年4月19日23:22:40评论31 views字数 631阅读2分6秒阅读模式
在恶意代码检测模型上,是一直追随着恶意代码攻防对抗的方法演进的,那么这个矛盾点就是绕过与反绕过、检测与反检测、规避与反规避。恶意代码目前主流的检测形式是多样的,有特征码的,有启发式的,有行为单点和多点的,所关注的不外乎恶意代码能够成功执行都需要什么,稍微差些的抓取一些不常见的、误报低的字符串或hash、分片hash以运营手段维持检测能力。
授人以鱼不如授人以渔,技术人员在做对抗的过程中往往以技术破技术,以能力论高低,而恶意代码往往是偷奸耍滑,不按常理出牌,胯下逆袭更是常有的事情,正面对抗可谓没有胜算可言。在这里很多人更在意有结果的成败,而忽略了过程的成败。可以这样理解一下,恶意代码为什么要这样做?在把“为什么”和”要这样做”拆开在理解一下,拆开后,”为什么”的目的肯定只有一个,那就是的能够成功使用;而”要这样做”所看到的无论特征、还是行为肯定只有1,不会有2,但是其他的3、甚至是n都可以实现这个“为什么”,那么这个“为什么”就是主要矛盾。抓住矛盾,逻辑变通一下,将被检测的场景从实体提升至思想的高度,那么识别能力必然是升华的。这方面的运用国外某品牌杀毒软件可谓是登峰造极,早年学习确实受益匪浅。这几天深度分析了一个相关数据,抓住了一个矛盾点,检测的成果亦颇具效果,一个小方法检测了n种家族的n多变种,并且误报率为零,为其起了一个奇怪的名字,叫做Tinsh,由“此地无银三百两”翻译而来。

抓住恶意代码检测的主要矛盾

抓住恶意代码检测的主要矛盾



原文始发于微信公众号(锐眼安全实验室):抓住恶意代码检测的主要矛盾

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月19日23:22:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   抓住恶意代码检测的主要矛盾https://cn-sec.com/archives/909644.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息