[分析引擎开发笔记]写PE行为

2013-12-30 Nie.Meining Life

有时候API监控与样本行为可以有多对一的关系,例如从写文件行为中分化出写PE文件的行为:

kfbjpe.png

虽然从技术上来讲,写PE文件也是一个写文件行为,但是在结果呈现上抽象成另一种行为会带来意想不到的效果,毕竟用户看到写PE文件行为时基本可以判定样本感染或释放了PE文件,属于典型的敏感行为。

类似的“虚拟”行为还有很多,能直接提高系统的用户体验,这就是经常了解用户需求的重要性

发表评论:

Powered by emlog