Блог

Я понимаю разницу между ними следующим образом:

• В первом «основанном на сигнатурах» будет проверен код вредоносного ПО для извлечения какой-либо сигнатуры, которая идентифицирует вредоносное ПО с аналогичным кодом .. таким образом, сигнатура может быть двоичной последовательностью или хэшем .. и т.д.
• При обнаружении вредоносных программ на основе поведения будет запущен фактический исполняемый файл для проверки его поведения, а не его кода, а затем можно использовать несколько методов, таких как статистика, машинное обучение и т.д.

Единственное, что вызывает сомнения в этих определениях, это то, что я читал в некоторых статьях, таких как эта, что «динамический анализ» также можно использовать вместе с системами на основе сигнатур ! есть ли какой-либо пример для этого .. будет ли поиск определенных изменений в реестре, например, добавление исполняемого файла в автозапуск, тогда будет рассматриваться как система обнаружения на основе сигнатур или система обнаружения на основе поведения? например, к какой категории его можно отнести?

Подпись — это набор информации, который действует как подтверждение подлинности данного объекта.

Неважно, является ли это содержимым файла или его поведением.

Например, тот факт, что данный образец загружает двоичный файл с заданного URL, изменяет определенные разделы реестра Windows и запускает процесс с заданным именем, может использоваться в качестве поведенческой сигнатуры для обнаружения вредоносных программ из заданного семейства.

Кроме того, вы можете извлекать артефакты во время выполнения примера, которые могут легко использоваться в качестве входных данных для традиционных механизмов сканирования. Например, вы можете выгрузить память и просканировать ее в поисках определенных строк, которые идентифицируют вредоносный процесс. Тот же метод может быть применен для захвата передачи по сети или диска.