1.3. Các kỹ thuật phát hiện mã độc
1.3.2.1. Kỹ thuật Behavior Monitors/Blockers
Một behavior blocker là một kỹ thuật chống mã độc giám sát các hành vi thực thi của một chương trình trong thời gian thực, theo dõi các hành động, các khối lệnh khả nghi của nó, nếu những hành động này được tìm thấy behavior blocker có thể ngăn chặn những hành động khả nghi thành công và chấm dứt các tiến trình của một chương trình hay là có thể hỏi người dùng cho cho các hành động phù hợp để xử lý. Một behavior blocker thì tìm kiếm điều gì? Về cơ bản một behavior blocker xem xét một chương trình thuộc vào các hành vi được xem xét là bị chặn hay là các hành vi thông thường. Chúng có thể là những hành vi liên quan đến tập tin như mở, sửa đổi hay xóa, hay những thao tác fomat ổ đĩa phân vùng, thay đổi registry, kết nối mạng…Một hành vi thông thường được mô hình hóa trong 3 cách được miêu tả như sau:
a. Một hành động được cho phép điều này được gọi là một phát hiện positive b. Một hành động không được cho phép điều này được gọi là một phát hiện
negative
c. Một cách kết hợp cả 2 giống như kỹ thuật static heuristics bao gồm có boosters và stoppers.
Một điều tương tự được rút ra từ các hệ thống miễn dịch trong tự nhiên, các behavior blocker cố gắng để nhận thức chính nó từ những thứ không phải là nó, hay là các hành vi bình thường từ những hành vi bất bình thường. Cách tư duy này là cái mà hệ thống miễn dịch cần làm để phân biệt các tế bào bình thường xâm nhập từ bên ngoài.
Tuy nhiên điều này cần phải được xem xét cẩn thận vì đôi khi các hành vi bất thường không có nghĩa chắc rằng nó là một hành vi thuộc về mã độc.
Hình 1.6 so sánh 2 kỹ thuật phân tích tĩnh và động [10]
Kỹ thuật behavior blocker có thể tìm kiếm những dấu hiệu theo phương pháp phân tích động mà những biểu hiện là một hành vi thuộc về mã độc. Ví dụ nhìn vào cách hoạt động vào/ra được thêm vào của một mã độc cũng thể hiện các dấu hiệu của nó.
Các dấu hiệu đôi khi là chuỗi các hành vi như hình minh họa ở trên là chuỗi các hành vi liên quan đến các thao tác xử lý tập tin với độ dài là 3. Dựa vào các dấu hiệu này chúng ta hoàn toàn có thể tìm ra được những bất thường trong các hành vi của một mã độc.