问基于非签名的防恶意软件/反病毒程序、IDS和系统完整性扫描器示例

EN

所有传统的反病毒软件在被软件公司发现并添加到定义之后，都使用签名来检测已知的恶意软件。启发式定义允许修改后的件恶意软件仍然被检测到，但据我所知，它仍然仅限于某种类型的程序，而且很容易通过不同的个人重写恶意软件来克服这一点。

所以我要找的是以下类型的安全程序的例子。我意识到，我心中的某些想法可能并不存在！

• 使用已知良好文件数据库的文件完整性扫描器，或创建每个文件的列表，并提醒用户以前从未见过的可执行文件。反病毒公司可能有类似的东西，但我怀疑它是公开的。
• 基于特定操作系统和主板BIOS区域的数据库查找异常内存内容的内存扫描器。它还可以检查芯片组和IOMMU是否以不寻常的方式配置。
• Rootkit破坏程序，可以扫描内核中的异常钩子和正在运行的异常线程。
• 用于扫描内存中不寻常事物的驻留数据扫描器，例如加密数据，以及包含可执行二进制代码或异常加密通信量的网络通信量。它还可以与单独的网络监视计算机通信，以检查rootkit网络流量是否隐藏在监视计算机上并导致差异。
• 入侵检测系统，特别是基于异常的入侵检测系统，它监视网络流量进出网络或主机(运行在专用计算机上)。
• 任何主要的启发式威胁探测程序和任何你想要的，是沿着这些路线！

我知道vBulletin论坛软件有一个完整性检查器。不幸的是，这类恶意软件通常会在表单加载项的论坛中将自己添加到数据库中，这样就不会被完整性检查器扫描。Windows有一些rootkit扫描仪，但我不记得它们的名字，也不记得它们是否好。