一、恶意软件检测
3.1 常用恶意软件检测技术
目前,常用的恶意软件检测技术有特征码检测技术、校验和技术、行为分析技术、虚拟机技术、启发式检测技术等。
(1)特征码检测技术
特征码检测技术依赖邻域专家的行业经验和个人能力提取恶意软件的特征码,让该特征码唯一性的映射到对应的恶意软件。该技术的前提 是必须先捕获恶意软件样本,捕获样本的常见方法有用户上报、蜜罐技术、定向采集等,然后根据恶意软件样本进行特征码抽取,在抽取时需要遵循“在保持特征代码唯一性的前提下,尽量使特征代码长度短些,以减少时空开销”的原则。
(2)校验和技术
校验和技术采用文件的校验和作为检测恶意软件的依据,在系统中建立新文件时,计算并保存正常文件的校验和。在文件使用时,计算文件当前的校验和,并将其与先前的校验和进行比较,如果不一致,判断该文件感染了恶意软件。
(3)行为分析技术
行为分析技术采用行为特征序列来作为判别恶意软件的依据,根据邻域专家多年经验找出恶意软件的一些共通性行为来建立行为序列特征库。该技术在检测恶意软件时,监测程序运行过程中产生的行为信息,分析程序的执行流程及其对系统的影响,构建程序行为特征序列,并将该行为序列与特征库进行比较,如有一致,则判断正在执行的程序为恶意软件。
(4)虚拟机技术
虚拟机技术采用程序代码虚拟CPU寄存器和硬件端口,用调试程序调入可疑恶意程序样本,将每个语句放到虚拟环境中执行