如何编写恶意软件检测软件？

Question

我需要什么资源才能完全理解这是如何工作的？我在网上查了一下，但我得到的只是软件解决方案，而不是软件实际检测它们的方式。

我希望能够检测到我电脑中的恶意软件。假设我的电脑中有一个特洛伊木马。我将如何编写一个程序来检测它？

我是信息安全初学者。

在此先感谢。

Answer 1

大多数端点安全产品都有： - 按需扫描组件。 - 一个实时扫描组件。 - 在“发布”之前挂钩到OS的其他区域以检查数据。例如。网络层出现网络威胁。 - 检测引擎 - 包含文件提取器 - 可更新的检测数据。 - 运行时扫描元素。

有许多图层和组件需要一起工作才能增强保护。

以下是一些需要由安全产品覆盖的方案。

• 磁盘上的恶意文件 - 静态扫描 - 按需。也许你有的例子。 命令行/按需扫描程序将根据请求扫描的内容枚举每个目录和文件。该过程将读取文件并将数据流传递给检测引擎。根据配置的扫描设置和排除，将检查文件。引擎可以理解/解压文件来检查类型。大部分都有一个文件类型检测组件。它可以看到这个文件的前几个字节 - https://linux.die.net/man/5/magic。非常基本，但它为您提供了一个想法，即在执行更多分类之前如何分类文件类型。它可以像在不同偏移量下的一些文件校验和一样简单。

在你的例子中的木马文件。假设你是自己的病毒实验室，也许你之前已经看过这个文件，分析它是一个书面检测，因为你知道它是恶意的。也许你可以只检查文件的一部分，并将这些数据发布给你的产品。所以你有virusdata.dat，其中你可能有一个校验和和一个名字。例如。 123456789，Troj-1 然后，您将有一个扫描进程，它在启动时加载您的病毒数据文件并打开文件进行扫描。扫描仪根据实验室情况对文件进行校验，并与数据文件进行匹配。您显示名称，因为它被标记。这实际上是最基本的例子，并不是那种实用的方法，希望它能达到某种目的。当然，你会看到误报的问题。

产品的其他方面包括：

• 一种方法写一个恶意文件到磁盘 - 实时的。 为了实时“查看”文件访问并进入该堆栈，您需要一个文件系统过滤器驱动程序。例如在Windows上的文件系统迷你过滤器：https://msdn.microsoft.com/en-us/windows/hardware/drivers/ifs/file-system-minifilter-drivers。这将保证您在读取/写入之前访问文件。然后，您可以在文件被流程写入或读取之前扫描该文件，以便让您有机会拒绝访问和警报。请注意，在这种情况下，您会阻止，直到您决定是允许还是阻止访问。正是由于这个原因，访问安全产品可能会减慢文件I/O。他们通常有一些驱动程序可以传递工作的扫描线程。如果所有的线程正在忙于扫描，那么你有一个问题。在捆绑扫描引擎/ CPU /内存等之前，您需要处理诸如拉链炸弹之类的东西并进行救援......

• 浏览器正在下载恶意文件。
  您可以在按访问扫描程序上进行回复，以防止浏览器进程碰到磁盘，但浏览器可以在点击文件系统之前呈现脚本。因此，您可能需要创建一个组件来在Web浏览器之前拦截流量。这里有几种可能性。你是否针对特定的浏览器使用插件，或者你是否使用本地代理进程拦截流量。选项包括使用分层服务提供商（LSP）或WFP（https://msdn.microsoft.com/en-us/windows/hardware/drivers/network/windows-filtering-platform-callout-drivers2）挂接网络层。在这里，您可以将流量重定向到流入或流出流程代理，以检查流量。除非您打算再次打开管道，否则SSL流量会造成问题。

• 然后有运行时保护，您不检测带签名的文件，但应用规则检查行为。例如，为其自身创建启动注册表位置的进程可能被视为可疑。可能不足以阻止文件本身，但如果文件没有有效签名，则位置是用户的临时位置。它由AutoIt创建，没有文件版本。所有这些属性都可以决定是否应该运行这些属性，这些属性构成了安全供应商的专有数据，并且一直在不断完善。也许你开始将应用程序检测为可疑，并向用户发出警告，以便他们授权他们。

这是一个巨大的主题，触及如此多的图层。希望这是你想到的那种东西。

Answer 2

其中，Peter Szor的“计算机病毒研究与防御艺术”绝对是“必读”。