Несколько способов,
- Обнаружение на основе сигнатур .
Хороший и обновленный антивирусный набор (да, я знаю, что «хороший» будет обсуждаться)
поможет отследить большинство вредоносных программ до того, как они начнут взаимодействовать с вашей системой. - Обнаружение аномалий .
Отслеживание исходящей связи от отдельных приложений
(это также делается большинством программного обеспечения AV / AS)
поможет выявить неожиданные «вызовы материнства» из приложений.
Обратите внимание, что я не имею в виду анализ общения. Я имею в виду попытки коммуникации быть приложениями, которые не должны этого делать (например, редактор приложений). Анализ общения (скажем, из приложения чата, которое вы скачали) также может быть выполнен, но это будет довольно сложная проблема.
Я приведу личный пример хорошего случая обнаружения вредоносных программ.
Один из стандартных наборов AV / AS на моей машине с Windows был активен, когда
я пытался открыть «образец» HTML-файла (с вредоносным скриптом) с одного из наших рабочих серверов.
Это было немедленно поймано набором.
Затем я попробовал Cygwin scp
извлечь тот же HTML-файл, который теперь переименован в TXT на сервере.
Набор не дал scp
землю на моем хост-диске. Он был удален, как только был получен.
Обнаружение было основано на недавно обновленных сигнатурах для новой «атаки на основе сценариев».