多态恶意软件

多态恶意软件使用加密/加壳层和一个会自身变化的小型解密器,因此每个文件副本对基于签名的杀软看起来都不同,而解密后的载荷却完全一致。这种方式可挫败基于哈希和精确字节序列的检测。多态引擎常加入指令乱序、垃圾代码注入和不同寄存器选择。与变形(metamorphic)恶意软件不同,真正的载荷并未被改写,只是外层包装在变化。有效防御依赖行为检测、脱壳后的内存扫描、针对解密字符串的 YARA 规则、EDR/XDR,以及基于动态特征(而非仅文件字节)训练的机器学习分类器。