我一直在研究恶意软件检测。我的目标是构建一个恶意软件检测器。正如我研究的那样,有两种通用方法可供检测。基于异常和签名的。基于签名我得到它扫描哈希它很简单。但是当谈到我的黑名单中的哈希是如何识别其恶意的时候?所以我研究了很多材料并得到了调用图形技术。但无法弄清楚它是如何工作的以及它是如何检测的。有人可以帮助我吗?我真的很感激任何帮助
答案 0 :(得分:0)
我建议您在静态分析旁边使用动态分析来提高检测率。使用静态分析你需要逆向工程,对于一些具有复杂加密/修补/ ...方法的恶意软件,要获得签名是非常困难的,除此之外,现在恶意软件开发人员创建了许多基于较旧的(morphy),你需要创建一个新的签名。签名分析的一个弱点是需要经常更新恶意软件检测器,否则旧数据库检测器无法检测到新的恶意软件。尝试研究动态分析,它有点容易,因为你可以创建几个被检测到的案例,该文件可以被称为恶意。看看布谷鸟沙箱。