一个windows下的ddos样本. 加载器 程序运行之后会在临时目录释放出一个256_res.tmp的文件 之后将该文件移动至system32目录下,以rasmedia.dll命名. 删除原文件. 加载开始释放的dll文件,并调用该dll导出的install函数.…

前段时间收到locky样本,分析之后遂做一个分析. 样本如下所示,一般locky勒索的先决条件是一个js的脚本,脚本经过了复杂的混淆,主要用于下载该样本文件并运行,. 解密 样本本身进行了保护,通过ida打开之后只有少量几个函数,如下图所示为样本的入口地址,代码进行了重度的混淆加密.…

catalogue . TF-IDF . 基于空间向量的余弦算法 . 最长公共子序列 . 最小编辑距离算法 . similar_text . local sensitive hash 局部非敏感哈希 . SSDEEP Hash . K-means聚类算法 . 二分K-means算法 1. TF-IDF Relevant Link: http://qianxunniao.iteye.com/blog/1831780 2. 基于空间向量的余弦算法 将分词后的词频作为向量分量,将每个文件转化为一个向量…

最近接手的一个样本,样本中使用了大量的xor加密,由于本身样本不全,无法运行(好吧我最稀饭的动态调试没了,样本很有意思,以后有时间做票大的分析),这个时候就只好拜托idapython大法了(当然用idc也一样),期间遇到几个问题,遂记录一番. 样本加密的字符如下,很简单,push压栈之后,反复调用sub_1000204D解密. 此时,要写脚本的话,我们希望这个脚本能够足够通用,通常样本中的加密都是由一个函数实现,函数本身实现解密,传入的参数通常是解密字符,和key两个参数(当然肯定也有其他的模式…

逆向分析 之后我们通过ida对该样本进行更深入的分析样本的main函数中,一开始会调用函数dec_conf对样本中的大量加密的字符串进行解密,如下图所示.…

样本行为 该样本为国庆期间接到的一个应急,发现为今年比较流行的xorddos,遂分析一番. 运行之后,查看进程,可以发现可疑进程ydxrooqtno,以及ppkzkneour. 多次运行发现除了ydxrooqtno之外,其余进程的id,名称一直在改变.…

参考: 独占鳌头的Illumina仪器(二代测序篇) HiSeq2000测序原理.流程与仪器 NGS文库制备的方法比较[心得点评] 各种测序文库构建方式 样本:就是待测的DNA.RNA或蛋白序列,样本来源单一的就是单样本,样本来源于多处就是多样本,一般我们测序用的样本都是单样本,但有时候有特殊需求,我们会把一些样本混合在一起测序,也就是多样本测序. 文库:二代三代读长都是有限的,为此我们必须将全长的序列打断成小片段的文库才能进行测序.总的来说,在NGS分析之前,制备RNA或DNA的主要步骤包括:…

上一年也就是这个时候微软根据自己的人脸识别API推出了一个识别照片中人脸年龄和性别的网站--http://how-old.net,小伙伴们各种玩耍,一年后的今天突发"奇想"地想测试一下这个网站的识别情况.正好手里有3万多份标识有身份证信息.性别及照片拍摄时间的证件照(别问我从哪儿弄的,这玩意儿你懂的).今天就写了个脚本来测试一下.测试识别的目标有两个: 性别 年龄 提交数据获得识别结果 寻找接口 首先,查看一下how-old.net的提交接口. 用Chrome查看一下网络请求的情况 查…

自相关函数/自相关曲线ACF   AR(1)模型的ACF: 模型为: 当其满足平稳的必要条件|a1|<1时(所以说,自相关系数是在平稳条件下求得的):          y(t)和y(t-s)的方差是有限常数,y(t)和y(t-s)的协方差伽马s                   除以伽马0,可求得ACF如下:                  由于{rhoi}其在平稳条件|a1|<1下求得,所以平稳    0<a1<1则自相关系数是直接收敛到0    -1<a1<0…

准备工作: https://www.csie.ntu.edu.tw/~cjlin/libsvm/,下载LIBSVM:(LIBSVM工具相较于MATLAB自带的工具:1).支持多分类及回归(‘-s 0’ ,‘-s 1' -> 多分类'-s 3':'-s 4' -> 回归:'-s 2' -> one-class SVM),matlab自带的仅支持二分类,且不支持回归2).支持核函数种类多样(linear;polynomial;RBF(radial basis function);sigmoi…