PLT (procedurlänktabell) IP (instruktionspekare) räknas är relaterat till
Antalet unika funktioner som kallas av ett program . Mer specifikt är det ett mått som används i säkerhetsanalys, särskilt i samband med skadlig detektion och binär analys.
Varje gång ett program kallar en funktion från ett delat bibliotek (som de i ett Linux -systemets katalog "/lib") går samtalet vanligtvis genom PLT. IP -registeret pekar på instruktionen som för närvarande körs. Därför ger spårning av de unika instruktionspekarna (IPS) som hänvisar till PLT en indikator på sorten och antalet funktioner som programmet använder.
Ett högt PLT -IP -räkning kan föreslå:
* Användning av många bibliotek: Ett legitimt program som använder ett brett spektrum av funktionaliteter kommer naturligtvis att ha ett högre PLT -IP -räkning.
* Obfuscation Techniques: Malware -författare kan använda många funktioner i ett försök att undvika upptäckt.
* polymorfism: Malware kan dynamiskt ladda och använda olika funktioner, vilket leder till ett fluktuerande PLT IP -antal.
Omvänt kan ett lågt PLT -IP -räkning föreslå:
* Begränsad funktionalitet: Ett enkelt program kanske bara använder några funktioner.
* Målinriktad attack: Malware kan bara fokusera på ett fåtal specifika systemfunktioner för att minimera dess fotavtryck.
Det är viktigt att notera att PLT IP -räkning ensam inte är en definitiv indikator på skadlig aktivitet. Det är bara en bit information som används i samband med andra dynamiska och statiska analystekniker för att bedöma beteendet och det potentiella hotet för ett program.
