恶意软件代码命名分析
- 格式:pdf
- 大小:259.39 KB
- 文档页数:2
卡巴斯基防病毒产品检测到的所有对象都按照以下系统命名:
[前缀:] [.Variant]
前缀标识检测对象的子系统:前缀“HEUR:”用于表示启发式分析器检测到的对象,前缀“PDM:”用于表示主动防御模块检测到的对象。前缀不是全名的必要部分,也可能不存在。
行为指定被检测对象的行为:对于病毒和蠕虫,根据所使用的传播方法选择行为。对于木马和恶意工具,根据恶意负载的类型选择行为。对于可疑的封隔器,行为是根据封隔器的行为方式来选择的。对于Adware、Riskware和Pornware,根据被检测对象的功能选择行为。
平台是执行程序代码的环境:这可以指软件和硬件。对于可以在多个平台上运行的检测对象,平台被定义为“Multi”。“Virus.Multi。Etapux是多平台恶意程序的一个例子。这个程序会感染Windows和Linux操作系统的可执行文件。在撰写本文时,有两个平台支持启发式分析器:Win32和Script(用于各种脚本的通用平台)。有一个用于主动防御模块的平台:Win32。
名称是被检测对象的官方名称:它定义了被检测对象的族。术语族是指一组共享同一来源(作者、源代码)、操作原则或有效负载的检测对象。例如,恶意程序在木马。win32。起始页族更改Internet浏览器的起始页。
变体是被检测对象的修改:变体可以用数字或字母表示,从'开始。“:”。“-”。z ', '。aa‘-’。zz '等等。
该变体不是全名的强制部分,也可能不存在。