签名基于VS基于行为的恶意软件检测

Question

我明白两者之间的区别如下：

• 在第一恶意软件的“基于签名的”代码将是 检查提取某种识别与 类似代码的恶意软件签名..签名因此可以是一个二进制序列或哈希 ..等等
• 在基于行为的恶意软件检测实际的可执行 将运行以检查它的行为，而不是它的代码然后 多种技术可以成为我们编如统计，机器学习等..

的一两件事，使不确定这些定义是，我在一些文件as this one读了“动态分析”可以有太多的基于签名的系统一起使用！有没有任何例子..将搜索特定的注册表变化'例如将一个可执行文件添加到自动运行'将被视为基于签名的检测系统或基于行为的检测系统呢？ an example is this在哪个类别可以分类？

Answer 1

签名是一组信息，用作给定实体的身份证明。

无论是文件的内容还是其行为都无所谓。

例如，给定示例从给定URL下载二进制文件，更改某些Windows注册表项并启动具有给定名称的进程这一事实可能被用作行为签名来检测来自给定系列的恶意软件。

此外，您可以在样本执行过程中提取可以轻松充当传统扫描引擎输入的工件。例如，您可以转储内存并对其进行扫描以查找识别恶意进程的特定字符串。网络传输捕获或磁盘可以应用相同的技术。