8. Dynamisch Funktionsaufrufe
Sequenzen von
Funktionsaufrufen
Mit bekannter Bibliothek
Malware
vergleichen
= aufbauen
Editierdistanz
9. Dynamisch Funktionsaufrufe
Vorteile Nachteile
Einfach zu realisieren Programme müssen ausgeführt werden
Überwachung erfolgt prozessübergreifend Anfällig für Täuschungsversuche
10. Dynamisch Systemänderungen
Systemveränderungen Mit bekannter
Programm Ausführen
protokollieren Malware vergleichen
11. Dynamisch Systemänderungen
Datei C:windowsfoo.exe
wurde geschrieben
Server an Port 80
angemeldet
Veränderungen
protokollieren =
Lädt Datei von IRC Server
runter
…
12. Dynamisch Systemänderungen
Sequenzen von
Systemänderungen
Mit bekannter
Malware
vergleichen
= Bibliothek aufbauen
Editierdistanz
13. Dynamisch Systemänderungen
Vorteile Nachteile
Einfach zu realisieren Programme müssen ausgeführt werden
Überwachung erfolgt prozessübergreifend
Weniger anfällig für Täuschungsversuche
14. Statisch n-Gramme
Mit bekannter
Programm n-Gramme
Malware
disassemblieren berechnen
vergleichen
17. Statisch n-Gramme
Vorteile Nachteile
Einfach und schnell In der Praxis nur für kleine n möglich
Berücksichtigt gesamte Datei Anfällig gegenüber Compileränderungen
Robust gegenüber Codebewegungen Kann sehr leicht getäuscht werden
18. Statisch Bloom Filter
Mit bekannter
Programm Bloom Filter
Malware
disassemblieren berechnen
vergleichen
21. Statisch Bloom Filter
Vorteile Nachteile
Skaliert wunderbar Entwicklung der Hashfunktion sehr
schwierig
Hashfunktion ist anfällig für kleine
Änderungen
22. Statisch Strukturell
Mit bekannter
Programm Flussgraphen
Malware
disassemblieren berechnen
vergleichen
25. Statisch Strukturell
Vorteile Nachteile
Berücksichtigt das komplette Programm Vollständiges Disassembly wird benötigt
Robust gegenüber Änderungen Zu langsam für Endnutzergeräte