我阅读了Palo Alto Wildfire产品。那里说:
WildFire,可通过在虚拟环境中运行可执行文件并观察其行为来识别可执行文件中的恶意行为
我不知道如何以编程方式分析这种恶意软件行为。
[更新] 我的困惑是防火墙如何通过将实时流量置于虚拟环境中并执行它来分析实时流量!说如果有人正在利用 pdf 漏洞。防火墙如何以编程方式对其进行分析?
我阅读了Palo Alto Wildfire产品。那里说:
WildFire,可通过在虚拟环境中运行可执行文件并观察其行为来识别可执行文件中的恶意行为
我不知道如何以编程方式分析这种恶意软件行为。
[更新] 我的困惑是防火墙如何通过将实时流量置于虚拟环境中并执行它来分析实时流量!说如果有人正在利用 pdf 漏洞。防火墙如何以编程方式对其进行分析?
该公司可能不会告诉你他们是如何做到的,但一个天真的猜测是他们如何使用防火墙首先将文件发送到虚拟机,对其进行测试,然后将其发送给最终用户。所以防火墙本身很可能不会以编程方式分析任何东西。
更新
要了解此类产品,您需要首先识别恶意软件和其他类似软件的行为。通常它们声称是其他东西,并且在执行时开始执行与类似应用程序的标准行为不匹配的任务。
现代防火墙产品具有跟踪由下载的可执行文件执行的活动的代码。
例如,您的防火墙检测到一个应用程序的会话,该应用程序在您的系统上复制了一个声称是媒体播放器的可执行文件。他们试图检测完整的 L7,即识别正在使用的应用程序以及它复制的文件。然后他们在测试机器上运行收到的文件。
防火墙还监视虚拟机的异常行为。例如接收到的播放器试图自己复制大量文件,或者从磁盘读取其他信息等,或者开始写入机器的文件系统,或者开始打开套接字将数据发送回某个地方。预计这些都不会由该类型的标准程序完成。这个级别的产品有一个通用的编程框架,它定义了对接收到的应用程序类型列表有效的操作类型。如果他们执行超出该列表的行为,则称为可疑。
这些细节在入侵检测(IDS/IPS)领域。
总而言之,这里的关键不仅仅是剖析实时流量。而且在会话完成后,监视下载程序执行的活动。
最后,一旦已识别的应用程序被标记为恶意应用程序,就会使用手动和自动机制来识别此类流量。这就是签名、连接模式、有效负载长度和其他因素到位的地方。Snort 是定义此类规则的一个示例工具,还有许多其他工具。
一旦你建立了一个标准,比如这个媒体播放器看起来是恶意软件,在 90% 的情况下实际上都有模式 y,它们会立即开始阻止该特定会话的流量