подписи, основанная против поведения на основе обнаружения вредоносных программ

Question

Я понимаю разницу между ними следующим образом:

• В первом «подпись на основе» код вредоносной программы будет исследовано, чтобы извлечь какое-то подпись, которая идентифицирует вредоносные программы с аналогичным кодом .. подпись, таким образом, может быть двоичная последовательность или хэш .. и т.д.
• в обнаружения вредоносных программ на основе поведения фактический исполняемый будет работать, чтобы исследовать его поведение вместо того, чтобы его код, а затем несколько методов могут быть нами эд таких как статистические, машинное обучение и т.д. ..

Единственное, что сделать не уверены в этих определениях является то, что я читал в некоторых работах as this one, что «динамический анализ» может использоваться наряду с фирменными-системами тоже! есть ли какой-нибудь пример для этого .. будет искать конкретные изменения реестра ", например. добавление исполняемого файла к автозапуску "будет считаться сигнатурной системой обнаружения или системой обнаружения на основе поведения? an example is this, в какой категории его можно классифицировать?

Answer 1

Подпись представляет собой набор информации, который служит доказательством идентичности данного объекта.

Неважно, является ли это содержанием файла или его поведением.

Например, тот факт, что данный образец загружает двоичный файл из заданного URL-адреса, изменяет некоторые ключи реестра Windows и запускает процесс с заданным именем, может использоваться как поведенческая подпись для обнаружения вредоносного ПО из данного семейства.

Кроме того, вы можете извлекать артефакты во время выполнения выборки, которые могут легко действовать как вход для традиционных механизмов сканирования. Например, вы можете сбросить память и отсканировать ее в поисках определенных строк, которые идентифицируют вредоносный процесс. Та же техника может применяться с захватом сетевой передачи или с диском.