目录 分析工具 方法概述 二进制灰度图 字节(熵)直方图 字符串信息 ELF结构信息 源码分析与OPcode FCG references: 分析工具 readelf elfparser ninja GDB IDAPro Strings python库:pyelftools.lief 方法概述 数据/特征 算法模型 优点 缺点 二进制文件 byte-ngram [7].malConv [8] 不需要解析格式 序列超长,malconv卷积复杂度高 二进制文件 图像处理[1] 不需要解析格式 文件大…

目录 写在前面 1 基于API调用的统计特征 2 API序列特征 3 API调用图 4 基于行为的特征 references: 写在前面 对恶意程序动态检测方法做了概述, 关于方法1和2可以参考阿里云恶意程序检测大赛: 方法3后面补充 方法4参考文末给出的文献: 1 基于API调用的统计特征 统计特征(23个): 文件相关(3) 进程相关(4) 线程(5) api调用(11) 文件操作次数文件pid跨度文件运行时间跨度 文件产生进程数进程出现次数比统计值(最大值.均值.标准差) 文件产生线程数线…

今天再次想启动Java代码静态检测工具的利用问题,主要再次尝试用了PMD,发现不少代码编码规范问题和好的代码建议,并学到不少自己之前没有注意到的Java方便的基础知识,感觉很不错,把相关明白的好的规则回忆总结下,再以后编码过程中要把随时利用代码静态检查工具,用好代码静态检查工具养成习惯.今天用到的PMD检查规则如下: If表达式必须使用{},无论有多少语句 While循环必须使用{},无论有多少语句 IfElse表达式必须使用{}  For循环语句必须使用{} 如果方法返回boolean,那么注…

Malware detection 目录 可执行文件简介 检测方法概述 资源及参考文献 可执行文件简介 ELF(Executable Linkable Format) linux下的可执行文件格式,按照ELF格式编写的文件包括:.so..a等 PE(Portable Executable) windows下的可执行文件格式,按照PE格式编写的文件包括: .dll..lib..exe等 参考文献[3]中对ELF的各个字段作了详细介绍 Linux和Windows可执行文件分类: ELF文件类型 说明…

2018-2019-2 20165205<网络对抗技术>Exp4 恶意代码分析 实验要求 监控你自己系统的运行状态,看有没有可疑的程序在运行. 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sysinternals,systracer套件. 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质. 基础问题 1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想…

20145304 Exp4 恶意代码分析 实验后回答问题 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. 监控连网记录,查看有没有可疑的信息,可使用Windows计划任务或schtasks来监控系统 监控驱动加载.线程注入等,可使用Sysmon工具,在事件查看器查看. 捕获数据包,分析其内容,看是否有不正常的连接,可开启wireshark. 注册表,运行程序等,可使用systracer拍摄快照,进行…

Mathematics Malware Detected Tools 重要:由于缺少测试数据,部分结论可能不正确.更多更准确的结论,还需要进行大量实验. 概述 mmdt(Mathematics Malware Detected Tools)是一款基于数学方法的最简单的类"机器学习"工具.该工具通过数学方法对目标对象进行处理,生成相应的标准"指纹",通过对指纹的处理,实现"机器学习"中的"分类"."聚类"方法…

前言 周一一早网管收到来自阿里云的一堆警告,发现我们维护的一个网站下有数十个被挂马的文件.网管直接关了vsftpd,然后把警告导出邮件给我们. 取出部分大致如下: 服务器IP/名称 木马文件路径 更新时间 木马类型 状态(全部) *.*.*.* /path/*144.gif 2017/8/7 5:53 Webshell 待处理 *.*.*.* /path/*132.jpg 2017/8/7 5:23 Webshell 待处理 *.*.*.* /path/*156.txt 2017/8/7 5:2…

静态检查: 静态测试包括代码检查.静态结构分析.代码质量度量等.它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行.代码检查代码检查包括代码走查.桌面检查.代码审查等,主要检查代码和设计的一致性, 代码对标准的遵循.可读性,代码的逻辑表达的正确性,代码结构的合理性等方面:可以发现违背程序编写标准的问题,程序中不安全.不明确和模糊的部分,找出程序中不可移植部分.违背程序编程风格的问题,包括变量检查.命名和类型审查.程序逻辑审查.程序语法检查和程序结构检查等内容.”.看了一系列的…

利用ML&AI判定未知恶意程序 导语:0x01.前言 在上一篇ML&AI如何在云态势感知产品中落地中介绍了,为什么我们要预测未知恶意程序,传统的安全产品已经无法满足现有的安全态势.那么我们要使用新的技术手段武装我们的安全产品,通过大数据的手段更好的解决未知恶意程序 0x01.前言 在上一篇ML&AI如何在云态势感知产品中落地中介绍了,为什么我们要预测未知恶意程序,传统的安全产品已经无法满足现有的安全态势.那么我们要使用新的技术手段武装我们的安全产品,通过大数据的手段更好的解决未知恶…