Čo súvisí s počtom PLT IP?

PLT (Tabuľka prepojenia postupu) IP (ukazovateľ inštrukcií) Count súvisí s počtom jedinečných funkcií nazývaných program . Konkrétnejšie je to opatrenie používané v bezpečnostnej analýze, najmä v kontexte detekcie škodlivého softvéru a binárnej analýzy.

Zakaždým, keď program volá funkciu zo zdieľanej knižnice (napríklad v adresári systému Linux System), hovor zvyčajne prechádza PLT. Register IP poukazuje na inštrukciu, ktorá sa v súčasnosti vykonáva. Preto sledovanie jedinečných ukazovateľov inštrukcií (IPS), ktoré odkazujú na PLT, poskytuje indikátor rozmanitosti a počtu funkcií, ktoré program využíva.

Vysoký počet IP PLT by mohol naznačovať:

* Použitie mnohých knižníc: Legitímny program využívajúci širokú škálu funkcií bude mať prirodzene vyšší počet IP PLT.

* Zúčastnené techniky: Autori škodlivého softvéru môžu používať veľa funkcií v snahe vyhnúť sa detekcii.

* polymorfizmus: Malvér môže dynamicky načítať a používať rôzne funkcie, čo vedie k kolísajúcemu počtu IP PLT.

Naopak, nízky počet PLT IP by mohol naznačovať:

* Limited Funkčnosť: Jednoduchý program môže používať iba niekoľko funkcií.

* zacielený útok: Malware sa môže zamerať iba na niekoľko špecifických funkcií systému, aby sa minimalizovala jeho stopa.

Je dôležité si uvedomiť, že samotný počet IP PLT nie je definitívnym ukazovateľom škodlivej aktivity. Je to iba jedna informácia použitá v spojení s inými technikami dynamickej a statickej analýzy na posúdenie správania a potenciálnej hrozby programu.

• Predchádzajúca strana: Ako uprednostňujete adresu IP? 
• Ďalšia strana: Čo vy, ak niekto nelegálne používa vašu adresu?