解决方案
我认为现在大多数病毒扫描程序都使用 沙箱技术 检查“不良”行为。因此,多态性病毒也会被检测到。
当然,病毒创建者也知道这些检测技术,并且可以在实际有效负载之前使用一堆随机、无害的代码执行轻松绕过。
其他提示
检测所有已知的多态/变态坏代码是不可能的。白名单验证是唯一可证明的技术。这并不总是可能的,特别是如果您的基础设施/计算机维护得不好的话。这就是为什么基于签名、启发式、仿真的检测仍然有价值的一个很好的理由。
不隶属于 StackOverflow
解决方案
我认为现在大多数病毒扫描程序都使用 沙箱技术 检查“不良”行为。因此,多态性病毒也会被检测到。
当然,病毒创建者也知道这些检测技术,并且可以在实际有效负载之前使用一堆随机、无害的代码执行轻松绕过。
其他提示
检测所有已知的多态/变态坏代码是不可能的。白名单验证是唯一可证明的技术。这并不总是可能的,特别是如果您的基础设施/计算机维护得不好的话。这就是为什么基于签名、启发式、仿真的检测仍然有价值的一个很好的理由。