随笔分类 - 二进制安全
摘要:前不久看到了几个二进制文件可视化的项目,做了一些了解,通过可视化可以看出加壳或者加密文件,在纹理结构上和正常文件还是有较大区别。 而且可视化对文件格式不敏感,任何文件都可以查看其可视化结果。 二进制文件可视化 可视化数据源可分为以下两类: 二进制文件可视化 二进制熵可视化 对绘图的方式有几种方法:
阅读全文
摘要:功能很全面的开源反汇编框架,可以结合python使用。 Install git clone https://github.com/radareorg/radare2 radare2/sys/install.sh 官方文档: https://github.com/radareorg/radare2 命
阅读全文
摘要:EMBER https://github.com/elastic/ember\ paper: https://arxiv.org/abs/1804.04637 特征 9个特征组,可以分为两大部分 文件结构无关特征 字节直方图 字节熵直方图 可打印字符串统计 {'numstrings': 3967,
阅读全文
摘要:一些可视化binary文件的程序 binvis.io 看起来是这个样子,使用希尔伯特曲线画出来的 博客地址 https://corte.si/posts/visualisation/entropy/index.html 开源的github应该可以在这里找到: https://github.com/c
阅读全文
摘要:ELF初识 ELF的全称是Executable and Linking Format,这个名字相当关键,包含了ELF所需要支持的两个功能——执行和链接。不管是ELF,还是Windows的PE,抑或是MacOS的Mach-O,其根本目的都是为了能让处理器正确执行我们所编写的代码。 ELF Header
阅读全文
摘要:分析工具 readelf elfparser ninja GDB IDAPro Strings python库:pyelftools、lief 方法概述 数据/特征 算法模型 优点 缺点 二进制文件 byte-ngram [7]、malConv [8][9] 不需要解析格式 序列超长,malconv
阅读全文
摘要:写在前面 对恶意程序动态检测方法做了概述, 关于方法1和2可以参考阿里云恶意程序检测大赛; 方法3后面补充 方法4参考文末给出的文献; 1 基于API调用的统计特征 统计特征(23个): 文件相关(3) 进程相关(4) 线程(5) api调用(11) 文件操作次数文件pid跨度文件运行时间跨度 文件
阅读全文
摘要:Malware detection 可执行文件简介 ELF(Executable Linkable Format) linux下的可执行文件格式,按照ELF格式编写的文件包括:.so、.a等 PE(Portable Executable) windows下的可执行文件格式,按照PE格式编写的文件包括
阅读全文