Nick Lewis(CISSP，GCWN))是一名信息安全分析師。他主要負(fù)責(zé)風(fēng)險管理項目，并支持該項目的技術(shù)PCI法規(guī)遵從計劃。2002年，Nick獲得密歇根州立大學(xué)的電信理學(xué)碩士學(xué)位;2005年，又獲得Norwich大學(xué)的信息安全保障理學(xué)碩士學(xué)位。在他09年加入目前的組織之前，Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學(xué)院初級兒科教學(xué)醫(yī)院，以及Internet2和密歇根州立大學(xué)工作。

[[137021]]

Detekt工具識別惡意軟件有多厲害?是否有其他與此類似的免費(fèi)工具可以用在企業(yè)中?

Nick Lewis：對于反惡意軟件供應(yīng)商而言，檢測國家資助的惡意軟件或商業(yè)監(jiān)控軟件(例如Back Orifice、Dameware或其他遠(yuǎn)程管理木馬程序)非常困難。由于新的國家資助的惡意軟件的意圖不符合惡意軟件預(yù)定目標(biāo)的最佳利益，而是符合國家贊助者的利益，如果反惡意軟件供應(yīng)商添加檢測功能來阻止這些國家支持的惡意軟件，這可能讓反惡意軟件供應(yīng)商被列在該國家的不友好名單中。遠(yuǎn)程管理木馬Back Orifice在當(dāng)時不太難對付，因為那些合法使用它的人知道如何讓該軟件運(yùn)行，因此反惡意軟件供應(yīng)商可以阻止非法Back Orifice使用，而不會像國家資助的攻擊者那么難以對付。

免費(fèi)Detekt工具可以由企業(yè)用來發(fā)現(xiàn)最新版本的DarkComet、FinFisher、njRAT和Gh0st RAT惡意軟件。該工具由Claudio Guarnjeri與Amnesty International、Digitale Gesellschaft、Privacy International和電子前沿基金會共同開發(fā)，以幫助人權(quán)活動家、記者等可能被國家資助的攻擊者瞄準(zhǔn)的人，或使用無法阻止國家支持的惡意軟件的商業(yè)反惡意軟件工具的人。然而，重要的是要注意，Detekt不能檢測商業(yè)工具可以檢測到的所有不同惡意軟件變體，它只是用來幫助發(fā)現(xiàn)商業(yè)工具無法識別的惡意軟件。

Detekt通過結(jié)合使用Yara、Volatility和Winpmem工具來掃描潛在目標(biāo)系統(tǒng)的內(nèi)存中監(jiān)控惡意軟件的蹤跡來發(fā)現(xiàn)惡意軟件。然后Detekt收集的日志可以由專家來審查。

企業(yè)可以使用類似的方法來發(fā)現(xiàn)和分析未知惡意軟件。思科AMP或FireEye MIR Endpoint Forensics等端點(diǎn)安全工具可以在企業(yè)實現(xiàn)這種類型的分析，但大多數(shù)標(biāo)準(zhǔn)反惡意軟件工具沒有。