AVは静的なバイナリで行うのと同じ署名ベースの検出方法をエミュレーションで使用するというのは正しいですか?
多くのマルウェアはパックまたは暗号化することができ、AVはその実行をエミュレートして、アンパックまたは復号化できるようにします。一度実行すると、AVは静的バイナリで使用するのと同じハッシュまたはパターンマッチングの手法を単に使用しているのか、それともまったく異なる手法を使用しているのか?
情報開示:マルウェア対策ベンダーで働いています。
答えは「悪意のあるコンテンツに依存する」です。
悪意のあるコンテンツがobfuscatedまたはencryptedである場合、それ以外の場合は暗号化されていない場合に検出されるコンテンツと同じです-難読化/暗号化の後に静的分析ルールが適用されますレイヤーが削除されます。この場合のストリッピングには、独自のデコーダー、エミュレーター、またはその他のものが含まれます。したがって、この場合の答えは「はい」になります。
ただし、悪意のあるコンテンツがポリモーフィック/メタモルフィックである場合、単純な悪意のあるコンテンツに分解することはできません。アンパック/復号化するものはありません。この場合、エミュレーターまたは同様のエンジンを使用して、マルウェアが正確に何をしているかを調べ、ここで異なる検出ルールのセットを適用します。したがって、この場合の答えは「いいえ」になります。