マルウェア検出(グーグルのセーフブラウジングなど)技術がどのように機能するか知りたいのですが?グーグルは私の目的を助けません。私はそのようなことをするcuckooboxと呼ばれるものを見つけました。
Webサイトのマルウェア検出は正確にどのように機能しますか?そのためのアルゴリズムは何でしょうか?グーグルセーフブラウジングなどが使用するアルゴリズムは何ですか?
利用可能なPythonスクリプトはありますか?
4349 次
2 に答える
6
これは興味深い問題であり、複数のソリューションを使用するのが最適です。
Googleはおそらく悪意のあるドメインのリストを保持しています。ドメインにアクセスしてください-ユーザーの操作なしで.exeを提供しようとしましたか?コンテンツはぎこちないように見えますか?そして他のそのような数量詞。-悪意のあるものとしてマークします。別のドメインにアクセスします。リスト内の悪意のあるドメインにリダイレクトされましたか?信頼できないものとしてマークします。次に、機械学習/回帰分析を適用して、信頼性を高め、誤検知を減らすことができます。さらに進んで、一部のドメインをライトスキャンし、他のドメインをディープスキャンすることができます(ディープスキャンは、より多くのリソースを必要とするカッコウのようなものを使用する可能性があるため)。ドメイン名は賢明な言葉であり、whois情報と一致していますか?それとも、それはぎこちないですか?
別のアプローチは、Webブラウザと一般的なプラグインの脆弱性に関する既知のエクスプロイト(名前とコード署名)のリストを保持し、Webサイトがあなたが知っているエクスプロイトを提供しようとするかどうかを確認することです。既知のエクスプロイトのリストを生成するには、CVEまたは別の開いているデータベースをスキャンしてエクスプロイトをフェッチし、それらからハッシュを作成するなど、すべてのがらくたをキャッチするわけではありませんが、ほとんどをキャッチします。
于 2012-02-20T13:01:22.190 に答える
3
基本的に、ブラウザが行うことは、問題のURL/ドメインについて既知のマルウェアサイトのGoogleの巨大なデータベースにクエリを実行することです。
Googleがそのデータベースを構築する方法は別の話です。彼らはおそらく、さまざまな研究者やウイルス対策製品と協力して、既知の脅威を検出します。それとは別に、おそらく「疑わしい」URLまたはドキュメントコンテンツ(Flash、PDF、Javaまたはブラウザのエクスプロイトトリガー、シェルコード、ROPチェーン、ヒープスプレースクリプトなど)を自動的に検出します。結局のところ、彼らはすでに索引付けのためにすべての内容を調べる必要があるので、比較的複雑な分析を簡単に実行できます。また、メールサービスを介してスパムやフィッシングメールが指すURLも知っています。彼らがおそらく行わないのは、サンドボックスなどを使用した手動のマルウェア分析です。これは、セキュリティ/ウイルス対策会社の仕事です。
したがって、全体として、これは非常に複雑な作業です。いいえ、その仕事をする単一のPythonスクリプトはありません(ただし、これに本当に興味がある場合は、実際には多くの小さなヘルパースクリプトと、Rubyなどの動的言語で記述されたより複雑なフレームワークがあります。またはPython)。あなたが始めるために見ることができるいくつかのプロジェクト(そしてそれは実際には他のタスクにも非常に役立つのに十分一般的です):
- Immunity Debugger / Visual Dux:マルウェアのリバースエンジニアリング用。
- VirtualBox:隔離された環境でマルウェアを実行するため。
- Metasm:アセンブリ操作用
- Wireshark:マルウェアによって引き起こされたネットワークトラフィックを監視するため。
- ..。
于 2012-02-20T12:57:57.633 に答える