av_der检测机制
静态特征检测
签名是恶意软件中唯⼀标识签名的字节数或字符串数。还可以指定其他条件,例如变量名称和导⼊的函 数。安全解决⽅案扫描程序后,会尝试将其与已知规则列表进⾏匹配。这些规则必须预先构建并推送到 安全解决⽅案中。 YARA特征查杀 YARA 是安全供应商⽤来构建检测规则的⼀种⼯具。例如,如果 shellcode 包含以 开头 FC 48 83 E4 F0 E8 C0 00 00 00 41 51 41 50 52 51 的字节序列,则可⽤于检测有效负载是否是 Msfvenom 的 x64 exec 有效负载。可以对⽂件中的字符串使⽤相同的检测机制。
Hashing Detection 哈希检测
哈希检测是静态/签名检测的⼀个⼦集。这是⼀种⾮常简单的检测技术,也是安全解决⽅案检测恶意软件 的最快、最简单的⽅法。这种⽅法是通过简单地在数据库中保存有关已知恶意软件的哈希值(例如 MD5、SHA256)来完成的。恶意软件的⽂件哈希值将与安全解决⽅案的哈希数据库进⾏⽐较,以查看 是否存在正匹配项。 逃避哈希检测⾮常简单,尽管仅靠它本身可能还不够。通过更改⽂件中的⾄少 1 个字节,⽂件哈希将更 改任何哈希算法,因此⽂件将具有可能唯⼀的⽂件哈希。
Heuristic Detection 启发式检测
由于对恶意⽂件进⾏微⼩更改即可轻松规避签名检测⽅法,因此引⼊了启发式检测来发现可以在现有恶 意软件的未知、新版本和修改版本中找到的可疑特征。根据安全解决⽅案的不同,启发式模型可以由以 下⼀项或两项组成:
- 静态启发式分析 - 涉及反编译可疑程序,并将代码⽚段与已知且位于启发式数据库中的已知恶意软 件进⾏⽐较。如果源代码的特定百分⽐与启发式数据库中的任何内容匹配,则会标记该程序。
- 动态启发式分析 - 将程序放置在虚拟环境或沙箱中,然后由安全解决⽅案分析任何可疑⾏为。
动态启发式分析(沙盒检测)
沙盒检测通过在沙盒环境中执⾏⽂件来动态分析⽂件的⾏为。在执⾏⽂件时,安全解决⽅案将查找可疑 操作或被归类为恶意的操作。例如,分配内存不⼀定是恶意⾏为,但分配内存、连接到互联⽹以获取 shellcode、将 shellcode 写⼊内存并按该顺序执⾏被视为恶意⾏为。 恶意软件开发⼈员将嵌⼊反沙盒技术来检测沙盒环境。如果恶意软件确认它是在沙盒中执⾏的,那么它 会执⾏良性代码,否则,它会执⾏恶意代码。
基于⾏为的检测
恶意软件运⾏后,安全解决⽅案将继续查找正在运⾏的进程所提交的可疑⾏为。安全解决⽅案将查找可 疑指标,例如加载 DLL、调⽤某个 Windows API 和连接到 Internet。⼀旦检测到可疑⾏为,安全解决⽅ 案将对正在运⾏的进程进⾏内存扫描。如果进程被确定为恶意进程,则该进程将终⽌。 某些操作可能会⽴即终⽌进程,⽽⽆需执⾏内存中扫描。例如,如果恶意软件执⾏进程注⼊并 notepad.exe 连接到互联⽹,这可能会导致进程⽴即终⽌,因为这很可能是恶意活动。 避免基于⾏为的检测的最佳⽅法是使进程表现得尽可能良性(例如,避免产⽣cmd.exe⼦进程)。此 外,内存加密可以规避内存中扫描
API Hooking API 挂钩
API 挂钩是安全解决⽅案(主要是 EDR)使⽤的⼀种技术,⽤于实时监控进程或代码执⾏中的恶意⾏ 为。API 钩⼦的⼯作原理是拦截常⽤的 API,然后实时分析这些 API 的参数。这是⼀种强⼤的检测⽅ 式,因为它允许安全解决⽅案在反混淆或解密后查看传递给 API 的内容。这种检测被认为是实时检测和 基于⾏为的检测的组合。
IAT Checking IAT检查
PE 结构中讨论的组件之⼀是导⼊地址表或 IAT。为了简要总结 IAT 的功能,它包含在运⾏时在 PE 中使 ⽤的函数名称。它还包含导出这些函数的库 (DLL)。此信息对于安全解决⽅案很有价值,因为它知道 可执⾏⽂件正在使⽤哪些 WinAPI。 例如,勒索软件⽤于加密⽂件,因此它可能会使⽤加密和⽂件管理功能。当安全解决⽅案看到包含这些 类型的函数(例如 CreateFileA/W, SetFilePointer, Read/WriteFile, CryptCreateHash, CryptHashData, CryptGetHashParam )的 IAT 时,要么标记程序,要么对其进⾏额外的审查。 下图显示了⽤于检查⼆进制⽂件的 IAT dumpbin.exe 的⼯具。