-
-
[讨论]标识恶意代码家族
-
发表于:
2012-2-16 09:35
9296
-
大家好:
最近新接触系统安全的东西,属于门外汉,和同学讨论一个问题,能否尝试用一个特征码来标识一类恶意代码,尽量包含静态特征和动态行为特征?(个人理解或者所指的“一类”是包括恶意代码变异或者伪装等等)
但是上网搜这方面的资料较少(或者我关键字不是很准确),大部分的内容都是恶意代码分类或者基因扫描等等,本人新人,对这些方面比较生疏,希望有这方面经验的朋友或者行家给些建议和指导,也想和更多的朋友讨论。
个人思考有三:
1、如何搭建分析环境,是在沙盒或者模拟器中吗?并且有开源的分析工具?而且怎么提高分析效率?
2、如何准确的提取一类的特征码?比如PE文件怎么去掉冗余的结构特征,初始怎么判断一部分代码是恶意的,或者说现如今有没有已经分好类的恶意代码?
3、如何将可疑代码归类?怎么判断可疑代码是属于哪一类恶意代码或者是正常的,上网搜索了一下恶意代码分类,有人提出通过LSH算法进行聚类,具有相似LSH哈希值的归为一类。
我表达能力有限并且是外行,可能有些地方很不准确,请勿见笑。希望能和大家进行讨论,做一个具有这方面功能的简单的分析器,望朋友们多给指导和建议,更希望能得到学习方面的一些经验分享,谢谢!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课