資料結構
網路
關係資料庫管理系統
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理
化學
生物
數學
英語
經濟學
心理學
社會學
時尚研究
法律研究什麼是多型病毒?(如何建立、檢測和預防)
多型病毒
病毒是一種程式或有害程式碼,它在計算機之間傳播並對系統造成損害。它透過複製自身並將其附加到軟體檔案來傳播。病毒僅僅是繁殖、顯示訊息,而其他病毒可能會將一段危險程式碼傳輸到能夠破壞應用程式、刪除檔案、格式化硬碟驅動器並破壞重要資訊的程式中。
顧名思義,計算系統中的多型程式碼是一種使用多型引擎進行修改同時保持舊演算法不變的程式碼。也就是說,程式碼在執行時會不斷地修改自身。但是,程式碼的目的並沒有改變。由於程式碼不斷變化,因此在多次攻擊後會變得有點複雜,從而使未來的攻擊者更難以應對。“變形”病毒或威脅會生成有害程式碼,該程式碼無限期地重複自身並改變其屬性以躲避和欺騙計算機的防禦,最終破壞系統。
多型程式碼是如何建立的?
除了多型程式碼之外,多型程式碼還使用變異引擎。變異引擎從一次感染到下一次感染,都會生成一個隨機選擇的解碼例程並調整多型程式碼的檔名。
病毒會尋找新的程式來感染,並將自身副本及其變異引擎新增到新程式中。這使得多型病毒能夠傳播並破壞系統,而不會被任何使用常規特徵碼檢測技術的防病毒軟體識別和阻止。
多型程式碼的工作原理
當防病毒軟體檢測到病毒時,它會阻止該病毒,並且任何其他具有相同特徵的惡意程式碼也會被自動禁止。但是,在多型程式碼的情況下,即使特徵碼或解密過程隨著每次變異而改變,病毒的核心功能仍然保持不變。
當特徵碼和解密例程發生變化時,依賴於傳統基於特徵碼檢測的防病毒軟體無法檢測和阻止有害程式碼。因此,病毒會複製自身和變異引擎。
然後啟用變異引擎,並構建一種與原始解密過程無關的新解密方法。然後,病毒在將新的解碼例程、加密的病毒和變異引擎附加到新程式之前,會對其自身和變異引擎進行加密。
如何檢測多型程式碼?
多型病毒可以輕鬆地欺騙依賴於基於特徵碼檢測的傳統防病毒軟體。但是,新興的安全解決方案使用機器學習和行為檢測來識別系統中任何意外活動,可以檢測到這些感染。
您可以採取一些措施來改進檢測並防止多型惡意軟體滲透到您的系統中:
基於行為的檢測 - 此方法不僅檢查病毒的程式碼,還檢查其行為,這有助於檢測表現出類似行為的病毒。使用機器學習和基於行為的檢測方法,而不是傳統的基於特徵碼的檢測方法。
啟發式掃描 - 此方法不尋求與危險的精確匹配,而是尋找不同威脅共享的元件 - 這有助於檢測新的病毒變體。
安裝多層安全,例如防火牆、防病毒和反惡意軟體軟體。
有效的密碼管理程式要求個人定期更新其密碼。
預防多型程式碼的措施
以下是一些您可以採取的預防措施,以防止多型程式碼的傳播:
維護軟體更新。雖然多型惡意軟體可能會改變其形式,但目標通常是相同的。大多數軟體供應商都會維護安全升級以防禦這些目標,因此及時瞭解客戶端和伺服器系統上的任何更新至關重要。
不要點選任何可疑連結或附件。電子郵件仍然是欺詐者使用的主要入口途徑。因此,這是一個阻止多型感染的絕佳機會。除了採用電子郵件安全解決方案外,還要指示員工避免成為網路釣魚攻擊的受害者,並避免點選任何可疑連結,即使這些連結來自已知的電子郵件帳戶。
密碼更新。由於常用密碼和其他資料列表經常在暗網上交易,因此定期要求員工更新其密碼有助於防止攻擊。
備份您的資料。這一點再怎麼強調也不為過:頻繁備份您的資料。資料備份可以幫助使用者避免勒索軟體威脅。
使用啟發式和行為檢測。透過使用瞭解已知多型惡意軟體策略的安全軟體,可以避免病毒感染。例如,啟發式方法將避免類似病毒的活動,例如加密關鍵資料。基於行為的檢測可能會根據意外的訪問請求警告使用者以前未知的多型風險。
2K+ 閱讀量
