识别未知数据是二进制代码文件【不通过反汇编引擎】

（大蒜7.0 数据类型探测简介）

23年7月9日傍晚，大蒜7.0发布啦。对，就是那个用了25000多行代码，却只有888KB(压缩后不足300KB)的大蒜7.0。

7.0的亮点，是上了一款数据类型分析引擎。内部代号为K3。这个引擎可以分析一段对人来说是乱码的数据，到底是什么数据？比如是图形图像？是二进制代码？还是个啥？

这个功能好像和漏洞挖掘关系不大，当然市场不够明朗，是否有用也不太确定。因此暂时就搭配轻量级的啦。如果真的有用，欢迎反馈，我们会继续做大做强的啦。

好了，下面我们以一个例子来演示他是做啥的。

准备文件：

首先我先上一段二进制数据，这是一段二进制代码，如果你拖入反汇编软件中，可以看到汇编指令。我们把这类数据保存到文件中。

图片1

分析：

第一步：正常分析，打开大蒜，载入样本，点击分析。

第二步：打开K3引擎。【菜单-基因工具-K3分析模块】选择【1分析】即可。

（单基因分析如果勾选，则对样本分析后的DNA自动选择匹配一个需要分析的基因并分析,不选择为分析全部样本)。

不勾选分析标杆样本，则所有的样本都会读入，存放在一个buffer进行分析，如果选择，则只分析标杆样本）。

图片2

分析完毕，识别为二进制代码类数据。

预测

除了分析，还有一个生成预测数据的功能。

分析已有的文件的特征，并按照特征进行预测。生成更多的数据。

点击生成数据既可以生成，点击保存预测文件即可对文件进行保存。

图片3

总结：

时间有限，模型较为简单。能否继续更新，就看市场反馈了。

如果你们认为这个功能好，这个功能有用，就告诉我，我会持续更新。

【注意：大蒜内部绝对为0特征添加，不像市场上哪些“科技和狠活”，所以他没有添加包括X86反汇编引擎的任何反汇编引擎，却可以识别任何一种二进制代码，除此以外也可以识别压缩包，非压缩类多媒体数据，压缩类多媒体数据，文档类等各种类型的数据】

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课