恶意软件命名规则
该部分为恶意代码检测课程的相关笔记
CARO规则
内容:每一种病毒名称最多由4个部分,各部分之间用 ‘.’分隔,每个部分使用[[A-Z,a-z,0-9,_$%&!‘\`$#-],非字母和数字允许被使用但是建议尽量避免,且尽量限制在20个字符以内等。
公式:\(Family \ Name.Group \ Name.Major \ Variant.Minor \ Variant[[:Modifier]\)
附加规则:
- 不用地点命名;
- 不用公司或商标命名;
- 如果已经有了名字就不再另起别名;
- 变种病毒是原病毒的子类。
补充:反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类型。
示例:精灵病毒(Cascade.1701.A),Happy 99蠕虫(Win32.Happy99.Worm),
微软命名方式
公式:类型:平台(语言)/家族(特征,作者).变种!附加信息
Symantec公司命名方式
前缀.名字.后缀
VGREP
VGrep是反病毒厂商的一种尝试,这种方法将已知的病毒名称通过某种方法关联起来,其目的是不管什么样的扫描软件都能按照可被识别的名称链进行扫描。
VGrep将病毒文件读入并用不同的扫描器进行扫描,扫描的结果和被识别出的信息放入数据库中。每一个扫描器的扫描结果与别的扫描结果相比较并将结果用作病毒名交叉引用表。VGrep的参与者赞同为每一种病毒起一个最通用的名字最为代表名字。拥有成千上万扫描器的大型企业集团要求杀毒软件供应商使用VGrep命名,这对于在世界范围内跟踪多个病毒的一致性很有帮助。
卡巴斯基命名规则
\([Prefix:]Behaviour.Platform.Name[.Variant]\)
Prefix:哪个卡巴斯基的子系统检测的病毒。
Behaviour:检测的对象是做什么的,即对象类型
Platform:代码运行环境,能是软件/硬件
Name:检测到的恶意软件/病毒官方名称
variant:变种类型
浙公网安备 33010602011771号