能力值:
![]()
(RANK:410 )
|
-
-
26 楼
很想了解下“行为分析法”。正想学习了解这个。
|
能力值:
![]()
(RANK:1060 )
|
-
-
27 楼
所谓的行为分析,实质叫做钩子。
|
能力值:
( LV11,RANK:188 )
|
-
-
28 楼
LS回答的绝而无双
|
能力值:
![]()
(RANK:570 )
|
-
-
29 楼
1 模式匹配(非算法)。。。例如你要感染文件,要打开文件,读文件,然后写文件。
CreateFile
ReadFile
WriteFile
Closehandle
对于传统感染型病毒,你可能还会多了一个枚举文件的信息~~~当然,对于ANTI这种方法的病毒,你就没这么好运气了。用全局钩子HOOK CreateFile的。你得到的就剩下:
ReadFile
WriteFile
当然,这样所谓的行为分析还不如“关键点防御”(请原谅我提出这样一个名词),即只在关键位置挂个钩子。例如感染型病毒,WriteFile写PE文件就拦截。
2 行为串匹配~~~~~~~~各种各样的匹配算法都可以用~~~~~说出来都很简单,也是可以很容易想到的~~~~~~~~
就是一直记录行为,然后以某种方式,和已有的,有问题的行为串匹配。和1的区别在于连一些看似无关的信息也记录下来。例如很多正常程序使用的API,恶意代码是根本不会用的。事实上这个东西的意义在于降低误报。
3 模式识别(算法),这个东西事实上是一个大学科。你可以在网上书城搜索到很多关于这方面的书。别人出书的东西,我就不说了~~~反正就是数学模型。贝叶斯、隐马尔科夫、神经网络一类的
不过说到底还是钩子,被绕过了,其他都是扯谈~~~所以那种针对病毒识别算法的攻击其实不多~~~有空还是好好研究钩子,钩子都没挂好,学算法意义不大。
当然你想去BAIDU GOOGLE就另当别论了
至于兴趣。。。。我几个月前也很有兴趣。还买了几本数学。一直放那里,我只能祝福你比我更有激情
|
能力值:
( LV2,RANK:10 )
|
-
-
30 楼
不管软件怎么加壳,总会被人脱壳然后反汇编,不到必要的必要关键时候,前沿的新技术我一般不会放出去
提前预防是好事,但也得知道怎么留底
|
能力值:
![]()
(RANK:410 )
|
-
-
31 楼
多谢楼上几位兄弟。
|
能力值:
![]()
(RANK:570 )
|
-
-
32 楼
只要功能在客户端的东西,我就认为是毫无意义的
挡得住菜鸟,挡得住商人,挡不住无聊人
一个无聊人没事找东西破解,公开了技术细节,商人和菜鸟都得益
我将那种没技术的“黑客”定义为商人,将那种仰慕“黑客”不学习,到处要代码要工具的人定义为菜鸟
本来所有技术用在服务端才是上策,这样技术才能积累,人力成本才能降下来。可是有决策权的却陷入了不断抛出客户端产品的怪圈。
或许这就是搞搜索引擎的公司,一般很高薪。其他公司低薪,也很民工的原因。
|
能力值:
( LV2,RANK:10 )
|
-
-
33 楼
请问一下,你说的这个“行为分析法”和目前的启发式扫描有什么区别?
|
|
|
|
