在所有错误的地方寻找恶意软件?

  • 时间:
  • 浏览:22
  • 来源:it300
在所有错误的地方寻找恶意软件?

防病毒产品以两种方式扫描恶意软件。他们寻找在已知为“邪恶”的程序中找到的位序列(但在“好”程序中不常见)。他们在沙箱中运行程序并查找已知的恶意操作。第一种方法只捕获已知的恶意软件实例,而第二种方法也可以捕获这些实例的变体。尽管如此,许多恶意软件代理仍然没有被发现......直到反病毒程序的规则更新为止。这是攻击者和捍卫者之间的持续战斗。

不是寻找已知的模式 - 无论是指令和数据模式,还是行动模式 - 如果我们能够做到这一点就不会很好寻找任何恶意的东西?

这听起来像是一个白日梦。不是我让我来告诉你为什么。但首先,让我们同意一些观点。

1)当您扫描恶意软件时,它可以做三件事而且只有三件事。它可以:

在RAM中激活,可能试图干扰检测算法。不在RAM中处于活动状态,而是将其存储在二级存储中(显然它不会干扰检测算法)。擦除自己。

2)任何想要在RAM中活动的程序 - 好的或邪恶的 - 别无选择,只能在RAM中占用一些空间。至少有一个字节,对吗?

现在假设我们有一个在内核模式下运行的检测算法,它可以交换RAM中的所有内容。除了自己以外的一切。当然,恶意软件可能会像往常一样干扰并保留在RAM中。但如果我们知道RAM有多大s,我们知道应该有多少空间。假设我们在所有这些假设的自由空间上写伪随机位。同样,恶意软件代理可能会拒绝被覆盖。它可以将那些随机位存储在其他位置......就像在二级存储中一样。

然后,让我们计算整个存储器内容的键控散列 - 我们的检测程序和所有随机位。以下是可能发生的情况:如果RAM中没有恶意软件,结果将如预期的那样。检查此情况的外部验证程序将告诉我们扫描的设备是干净的。或者RAM中可能存在恶意软件,校验和也是错误的。外部验证者会注意到这一点并得出结论,设备必须被感染。

第三,恶意软件可能会将读取请求转移到二级存储中的位置e它存储了意味着它占据的空间的随机位。这将导致正确的校验和...但也会延迟。这种延迟可以被外部验证者检测到,然后外部验证者会得出设备被感染的结论。

为什么要延迟,你问?因为二级存储比RAM慢。特别是如果读取和写入按照故意导致巨大延迟的方式进行排序,如果它们被转移到闪存,硬盘驱动器等等。

我们所需要的只是外部验证器的帮助,它知道RAM多少我们想要保护的设备,以及它的处理器有多快。以及在我们测量计算校验和的时间时避免延迟差异的方法。这个论点告诉我们一些有趣的事情。我们可以保证检测到恶意软件。这包括零日攻击和根工具包。我们甚至可以保证在安装检测程序之前检测到感染设备的恶意软件。想一想。

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01