我读到Palo Alto Wildfire产品。那里说:
WildFire, which provides the ability to identify malicious behaviors in executable files by running them in a virtual environment and observing their behaviors
我不知道如何以编程方式分析此恶意软件行为。
[更新] 我的困惑是防火墙如何通过将其放入虚拟环境中并执行来分析实时流量!说一下是否有人在利用 pdf 漏洞。防火墙如何以编程方式分析这一点?
最佳答案
要了解此类产品,您需要首先识别恶意软件和其他类似软件的行为。通常,它们声称是其他东西,并且在执行时开始执行与类似应用程序的标准行为不匹配的任务。
现代防火墙产品具有跟踪下载的可执行文件执行的事件的代码。
例如,您的防火墙检测到一个应用程序的 session ,该应用程序在您的系统上复制一个声称是媒体播放器的可执行文件。他们尝试检测完整的 L7,即识别正在使用哪个应用程序以及它复制了哪个文件。然后他们在测试机器上运行收到的文件。
防火墙还监视虚拟机的异常行为。例如接收到的播放器尝试自行复制大量文件,或从磁盘等读取其他信息,或开始写入机器的文件系统,或开始打开套接字以将数据发送回某个地方。所有这些都不会由该类型的标准程序来完成。此级别的产品具有通用的编程框架,它定义了对收到的应用程序类型列表有效的操作类型。如果他们的行为超出了该列表,则被视为可疑。
这些细节属于入侵检测 (IDS/IPS) 领域。
总结一下,这里的关键不仅仅是剖析实时流量。而且在 session 完成后,还可以监视下载的程序执行的事件。
最后,一旦识别出的应用程序被标记为恶意,就会使用手动和自动机制来识别此类流量。这就是签名、连接模式、有效负载长度和其他因素发挥作用的地方。 Snort 是定义此类规则的示例工具,还有许多其他工具。
一旦您建立了标准,例如该媒体播放器看起来是恶意软件,实际上在 90% 的情况下具有模式 y,它们就会立即开始阻止该特定 session 的流量
关于c - 如何通过防火墙沙箱和分析流量,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12701986/