恶意软件通过隐藏来释放自己

一个逃离犯罪现场的人自然会引起应急人员的兴趣。 如果犬行发现有人躲在附近的垃圾箱，警察肯定会想回答一些问题。 英特尔研究人员Rodrigo Branco（如左图所示，与Neil Rubenking在一起）和Gabriel Negreira Barbosa都采用了相同的思想来检测恶意软件。 在2014年Black Hat大会上，他们提出了一个令人印象深刻的案例，即基于恶意软件逃避检测的技术来检测恶意软件。

实际上，两人之前曾在Black Hat上介绍过此技术。 布兰科说：“我们的期望是视音频行业将使用我们的想法（经过流行数字验证）来显着提高恶意软件的预防范围。” “但是什么都没有改变。与此同时，我们改进了检测算法，修复了错误，并将研究范围扩大到超过1200万个样本。”

布兰科说：“我们确实为英特尔工作，但我们进行安全验证和硬件安全研究。” “我们感谢与英特尔安全人员进行的所有精彩讨论。但是，本演示文稿中的任何错误或坏笑话完全是我们的错。”

检测检测逃避

典型的反恶意软件产品结合使用基于签名的已知恶意软件检测，启发式恶意软件变体检测和基于行为的未知检测。 好的家伙寻找已知的恶意软件和恶意行为，而坏家伙则试图掩饰自己并避免被发现。 Branco和Barbosa的技术着眼于这些规避技术。 这次，他们添加了50个新的“非防御性特征”，并分析了1200万个样本。

为了避免检测，恶意软件可能包含用于检测其是否在虚拟机中运行的代码，如果这样做，则避免运行。 它可能包含旨在使调试或反汇编变得困难的代码。 或者可能只是以某种方式对其进行编码，以掩盖其实际功能。 这些可能是研究人员追踪的最容易理解的规避技术。

研究结果和患病率数据库可免费提供给其他恶意软件研究人员。 “底层的恶意软件样本数据库具有开放的体系结构，使研究人员不仅可以查看分析结果，还可以开发和插入新的分析功能，” Branco解释说。 实际上，想要以新方式分析数据的研究人员可以向Branco或Barbosa发送电子邮件并要求进行新分析，或者只是索要原始数据。 分析大约需要10天，而之后解析数据需要另外3天，因此它们不会立即得到解决。

其他公司是否会利用这种分析来改善恶意软件检测？ 还是他们会因为他们认为它来自英特尔以及英特尔子公司McAfee的支持而大吃一惊？ 我认为他们应该认真看一下。