基于签名的和基于行为的恶意软件检测

Question

我理解两者的不同之处如下：

• 在第一个“基于签名的”中，将检查恶意软件的代码，以提取某种用类似代码标识恶意软件的签名。因此，签名可以是二进制序列或散列。等。
• 在基于行为的恶意软件检测中，将运行实际的可执行文件来检查其行为而不是其代码，然后可以使用多种技术，如统计、机器学习等。等。

对这些定义不确定的一点是，我在一些论文中读到了就像这个，即“动态分析”也可以与基于签名的系统一起使用！有没有这样的例子..。搜索特定的注册表更改“例如向自动运行中添加可执行文件”将被视为基于签名的检测系统还是基于行为的检测系统？一个例子是：，它可以被分类在哪一类？

Answer 1

签名是一组信息，作为特定实体身份的证明。

无论是文件的内容还是文件的行为，都不重要。

例如，给定的示例从给定的URL下载二进制文件，更改某些Windows注册表项并启动具有给定名称的进程，这一事实可能被用作行为签名，以检测来自给定家族的恶意软件。

此外，您可以在执行样本时提取工件，这可以很容易地作为传统扫描引擎的输入。例如，您可以转储内存并扫描它，查找某些字符串，这些字符串标识恶意进程。同样的技术可以应用于网络传输捕获或磁盘。