我理解两者之间的区别如下:
对这些定义不确定的一件事是,我在一些论文as this one中读到了动态分析'也可以与基于签名的系统一起使用!是否有任何例子...将搜索特定的注册表更改,例如。将可执行文件添加到自动运行'将被视为基于签名的检测系统或基于行为的检测系统呢? an example is this哪个类别可以归类?
答案 0 :(得分:0)
签名是一组信息,用作给定实体的身份证明。
无论是文件的内容还是其行为都没关系。
例如,给定样本从给定URL下载二进制文件,更改某些Windows注册表项并启动具有给定名称的进程的事实可能被用作检测来自给定系列的恶意软件的行为签名。
此外,您可以在示例执行期间提取工件,这些工件可以轻松地充当传统扫描引擎的输入。例如,您可以转储内存并扫描它,查找识别恶意进程的某些字符串。网络传输捕获或磁盘可以应用相同的技术。