簽名基於VS基於行爲的惡意軟件檢測

Question

我明白兩者之間的區別如下：

• 在第一惡意軟件的「基於簽名的」代碼將是 檢查提取某種識別與 類似代碼的惡意軟件簽名..簽名因此可以是一個二進制序列或哈希 ..等等
• 在基於行爲的惡意軟件檢測實際的可執行 將運行以檢查它的行爲，而不是它的代碼然後 多種技術可以成爲我們編如統計，機器學習等..

的一兩件事，使不確定這些定義是，我在一些文件as this one讀了「動態分析」可以有太多的基於簽名的系統一起使用！有沒有任何例子..將搜索特定的註冊表變化'例如將一個可執行文件添加到自動運行'將被視爲基於簽名的檢測系統或基於行爲的檢測系統呢？ an example is this在哪個類別可以分類？

Answer 1

簽名是一組信息，用作給定實體的身份證明。

無論是文件的內容還是其行爲都無所謂。

例如，給定示例從給定URL下載二進制文件，更改某些Windows註冊表項並啓動具有給定名稱的進程這一事實可能被用作行爲簽名來檢測來自給定系列的惡意軟件。

此外，您可以在樣本執行過程中提取可以輕鬆充當傳統掃描引擎輸入的工件。例如，您可以轉儲內存並對其進行掃描以查找識別惡意進程的特定字符串。網絡傳輸捕獲或磁盤可以應用相同的技術。