数据结构
网络
关系数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理
化学
生物
数学
英语
经济学
心理学
社会学
时尚研究
法律研究什么是多态病毒?(如何创建、检测和预防)
多态病毒
病毒是一种程序或有害代码,它在计算机之间传播并对系统造成损害。它通过复制自身并将其附加到软件文件来传播。病毒仅仅是繁殖、显示消息,而其他病毒可能会将一段危险代码传输到能够破坏应用程序、删除文件、格式化硬盘驱动器并破坏重要信息的程序中。
顾名思义,计算系统中的多态代码是一种使用多态引擎进行修改同时保持旧算法不变的代码。也就是说,代码在运行时会不断地修改自身。但是,代码的目的并没有改变。由于代码不断变化,因此在多次攻击后会变得有点复杂,从而使未来的攻击者更难以应对。“变形”病毒或威胁会生成有害代码,该代码无限期地重复自身并改变其属性以躲避和欺骗计算机的防御,最终破坏系统。
多态代码是如何创建的?
除了多态代码之外,多态代码还使用变异引擎。变异引擎从一次感染到下一次感染,都会生成一个随机选择的解码例程并调整多态代码的文件名。
病毒会寻找新的程序来感染,并将自身副本及其变异引擎添加到新程序中。这使得多态病毒能够传播并破坏系统,而不会被任何使用常规特征码检测技术的防病毒软件识别和阻止。
多态代码的工作原理
当防病毒软件检测到病毒时,它会阻止该病毒,并且任何其他具有相同特征的恶意代码也会被自动禁止。但是,在多态代码的情况下,即使特征码或解密过程随着每次变异而改变,病毒的核心功能仍然保持不变。
当特征码和解密例程发生变化时,依赖于传统基于特征码检测的防病毒软件无法检测和阻止有害代码。因此,病毒会复制自身和变异引擎。
然后激活变异引擎,并构建一种与原始解密过程无关的新解密方法。然后,病毒在将新的解码例程、加密的病毒和变异引擎附加到新程序之前,会对其自身和变异引擎进行加密。
如何检测多态代码?
多态病毒可以轻松地欺骗依赖于基于特征码检测的传统防病毒软件。但是,新兴的安全解决方案使用机器学习和行为检测来识别系统中任何意外活动,可以检测到这些感染。
您可以采取一些措施来改进检测并防止多态恶意软件渗透到您的系统中:
基于行为的检测 - 此方法不仅检查病毒的代码,还检查其行为,这有助于检测表现出类似行为的病毒。使用机器学习和基于行为的检测方法,而不是传统的基于特征码的检测方法。
启发式扫描 - 此方法不寻求与危险的精确匹配,而是寻找不同威胁共享的组件 - 这有助于检测新的病毒变体。
安装多层安全,例如防火墙、防病毒和反恶意软件软件。
有效的密码管理程序要求个人定期更新其密码。
预防多态代码的措施
以下是一些您可以采取的预防措施,以防止多态代码的传播:
维护软件更新。虽然多态恶意软件可能会改变其形式,但目标通常是相同的。大多数软件供应商都会维护安全升级以防御这些目标,因此及时了解客户端和服务器系统上的任何更新至关重要。
不要点击任何可疑链接或附件。电子邮件仍然是欺诈者使用的主要入口途径。因此,这是一个阻止多态感染的绝佳机会。除了采用电子邮件安全解决方案外,还要指示员工避免成为网络钓鱼攻击的受害者,并避免点击任何可疑链接,即使这些链接来自已知的电子邮件帐户。
密码更新。由于常用密码和其他数据列表经常在暗网上交易,因此定期要求员工更新其密码有助于防止攻击。
备份您的数据。这一点再怎么强调也不为过:频繁备份您的数据。数据备份可以帮助用户避免勒索软件威胁。
使用启发式和行为检测。通过使用了解已知多态恶意软件策略的安全软件,可以避免病毒感染。例如,启发式方法将避免类似病毒的活动,例如加密关键数据。基于行为的检测可能会根据意外的访问请求警告用户以前未知的多态风险。
2K+ 阅读量
