Cada vez que un programa llama a una función desde una biblioteca compartida (como las del directorio `/lib` de un sistema Linux), la llamada generalmente pasa por el PLT. El registro de IP apunta a la instrucción que se está ejecutando actualmente. Por lo tanto, el seguimiento de los punteros de instrucción únicos (IPS) que hacen referencia al PLT proporciona un indicador de la variedad y el número de funciones que utiliza el programa.
Un recuento de IP de alto PLT podría sugerir:
* Uso de muchas bibliotecas: Un programa legítimo que utiliza una amplia gama de funcionalidades, naturalmente, tendrá un mayor recuento de IP PLT.
* Técnicas de ofuscación: Los autores de malware pueden usar muchas funciones en un intento de evadir la detección.
* polimorfismo: El malware puede cargar dinámicamente y usar diferentes funciones, lo que lleva a un recuento de IP PLT fluctuante.
Por el contrario, un recuento de IP de PLT bajo podría sugerir:
* Funcionalidad limitada: Un programa simple solo puede usar algunas funciones.
* Ataque dirigido: El malware podría centrarse solo en unas pocas funciones específicas del sistema para minimizar su huella.
Es importante tener en cuenta que el recuento de IP PLT solo no es un indicador definitivo de actividad maliciosa. Es solo una información utilizada junto con otras técnicas de análisis dinámico y estático para evaluar el comportamiento y la amenaza potencial de un programa.