Κάθε φορά που ένα πρόγραμμα καλεί μια συνάρτηση από μια κοινή βιβλιοθήκη (όπως αυτά του καταλόγου `/lib` ενός συστήματος Linux), η κλήση συνήθως περνάει από το PLT. Ο καταχωρητής IP δείχνει τις οδηγίες που εκτελούνται επί του παρόντος. Επομένως, η παρακολούθηση των μοναδικών δεικτών εντολών (IPS) που αναφέρονται στο PLT παρέχει έναν δείκτη της ποικιλίας και του αριθμού των λειτουργιών που χρησιμοποιεί το πρόγραμμα.
Ένας υψηλός αριθμός IP PLT μπορεί να προτείνει:
* Χρήση πολλών βιβλιοθηκών: Ένα νόμιμο πρόγραμμα που χρησιμοποιεί ένα ευρύ φάσμα λειτουργιών θα έχει φυσικά υψηλότερο αριθμό IP PLT.
* Τεχνικές obfuscation: Οι συγγραφείς κακόβουλου λογισμικού μπορούν να χρησιμοποιήσουν πολλές λειτουργίες σε μια προσπάθεια να αποφύγουν την ανίχνευση.
* Πολυμορφισμός: Το κακόβουλο λογισμικό μπορεί να φορτώσει δυναμικά και να χρησιμοποιεί διαφορετικές λειτουργίες, οδηγώντας σε μια κυμαινόμενη μέτρηση PLT IP.
Αντίστροφα, θα μπορούσε να προτείνει ένας χαμηλός αριθμός PLT IP:
* Περιορισμένη λειτουργικότητα: Ένα απλό πρόγραμμα μπορεί να χρησιμοποιήσει μόνο μερικές λειτουργίες.
* Στόχευση επίθεσης: Το κακόβουλο λογισμικό μπορεί να επικεντρωθεί μόνο σε μερικές συγκεκριμένες λειτουργίες του συστήματος για να ελαχιστοποιήσει το αποτύπωμα του.
Είναι σημαντικό να σημειωθεί ότι ο αριθμός PLT IP μόνο δεν είναι ένας οριστικός δείκτης κακόβουλης δραστηριότητας. Είναι μόνο ένα κομμάτι πληροφοριών που χρησιμοποιούνται σε συνδυασμό με άλλες δυναμικές και στατικές τεχνικές ανάλυσης για να αξιολογήσουν τη συμπεριφορά και την πιθανή απειλή ενός προγράμματος.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα