[讨论]深度学习是不是也能用作逆向?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]深度学习是不是也能用作逆向?

2020-11-8 10:54 4542

[讨论]深度学习是不是也能用作逆向?

hpphpp

2020-11-8 10:54

4542

最近在学习深度学习,感觉深度学习的提取特征,进行分析和推测是不是也可以应用于逆向.

深度学习比如你给一堆二进制代码, 然后给一堆相对应的源码,经过深度学习模型训练之后,能从中找到最合适的模式进行概率猜测, 就像图像识别一样, 很有可能猜到99%可能的源码是什么.

训练的大量样本可以用大量的开源软件代码进行编译训练,最后实现大于90%的代码还原

甚至可以训练各个版本VMP混淆后的代码,也能还原到原始代码.

大家觉得这个想法可能吗?

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

最后于 2020-11-9 09:38 被hpphpp编辑，原因：

收藏・2

免费・0

打赏

最新回复 (22)
gxkyrftx 雪币： 791 活跃值： (404) 能力值： ( LV4，RANK：51 ) 在线值：发帖 6 回帖 47 粉丝 2 关注私信	gxkyrftx 2020-11-8 12:02 2 楼 0 顶会上有一些论文
低调putchar 雪币： 2674 活跃值： (2304) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 141 粉丝 37 关注私信	低调putchar 1 2020-11-8 12:33 3 楼 0 逆向机器人!
thisisroot 雪币： 687 活跃值： (320) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	thisisroot 2020-11-8 12:56 4 楼 0 3年前有幸参加过RHG，当时就是通过算法和AI进行漏洞挖掘。
默NJ 雪币： 2129 活跃值： (4201) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 2 关注私信	默NJ 2020-11-8 15:47 5 楼 0 大有可为!
舒默哦雪币： 2956 活跃值： (4826) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 148 粉丝 59 关注私信	舒默哦 1 2020-11-8 15:53 6 楼 0 我觉得AI还原vmp是大材小用吧
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 304 粉丝 10 关注私信	mb_foyotena 2020-11-8 16:24 7 楼 0 深度学习没那么玄学，简单来说就是函数拟合。vmp混淆前后的映射关系除了功能等价，并不具备其它特征，不像图像有周围像素关系可以用GAN来还原马赛克。
pureGavin 雪币： 12176 活跃值： (15640) 能力值： ( LV12，RANK：240 ) 在线值：发帖 66 回帖 1357 粉丝 203 关注私信	pureGavin 2 2020-11-8 20:20 8 楼 0 thisisroot 3年前有幸参加过RHG，当时就是通过算法和AI进行漏洞挖掘。你这个AI漏洞挖掘，我老师也提起过，不过他认为目前无法实现精品漏洞挖掘
黄小付雪币： 90 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	黄小付 2020-11-8 22:36 9 楼 0 我在想如果能做一个网上智能ai逆向分析系统，会不会狂捞一笔，我觉得汇编转源码的工程不是没有可能实现的，不过这种技术太缺了，不会有人去反着搞的
pureGavin 雪币： 12176 活跃值： (15640) 能力值： ( LV12，RANK：240 ) 在线值：发帖 66 回帖 1357 粉丝 203 关注私信	pureGavin 2 2020-11-8 22:51 10 楼 0 黄小付我在想如果能做一个网上智能ai逆向分析系统，会不会狂捞一笔，我觉得汇编转源码的工程不是没有可能实现的，不过这种技术太缺了，不会有人去反着搞的不知道你说的汇编转源码是什么意思，IDA和ghidra都能实现伪代码，而且还原度也很高，另外ghidra是开源且免费的最后于 2020-11-8 22:51 被pureGavin编辑，原因：
黄小付雪币： 90 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	黄小付 2020-11-8 22:58 11 楼 0 pureGavin 黄小付我在想如果能做一个网上智能ai逆向分析系统，会不会狂捞一笔，我觉得汇编转源码的工程不是没有可能实现的，不过这种技术太缺了，不会有人去反着搞的不知道你说 ... 我说的是比较高级的，可以说只要是二进制的文件都可以，不管加不加密
库尔雪币： 1243 活跃值： (1815) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 189 粉丝 3 关注私信	库尔 2020-11-8 23:00 12 楼 0 如果能用if判断完成的vmp还原项目，就不需要深度学习这种耗时的玩意。目前楼上说的一样。除了功能等价，并不具备其它特征，深度学习的局部特征抓取的优势就发挥不出来。当前并不清楚哪些VMP还原方面上深度学习更优的选择。
SSH山水画雪币： 1455 活跃值： (14624) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 326 粉丝 366 关注私信	SSH山水画 3 2020-11-9 08:44 13 楼 0 个人觉得不太现实，正向开发代码逻辑就那么多，完全可以用在深度学习上，逆向这东西一个人一个思路，从没有固定的套路，要不然为啥正向程序员6个月就能独立开发系统了，逆向工作者就必须要吃经验，要是单纯提取特征码啥的，感觉也用不到深度学习了
hpphpp 雪币： 226 活跃值： (1314) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 125 粉丝 2 关注私信	hpphpp 2020-11-9 09:31 14 楼 0 深度学习比如你给一堆二进制代码, 然后给一堆相对应的源码,经过深度学习模型训练之后,能从中找到最合适的模式进行概率猜测, 就像图像识别一样, 很有可能猜到99%可能的源码是什么.
Swrite 雪币： 2 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	Swrite 2020-11-9 09:46 15 楼 0 你说的是这个？https://paper.seebug.org/1389/
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 304 粉丝 10 关注私信	mb_foyotena 2020-11-9 09:47 16 楼 0 hpphpp 深度学习比如你给一堆二进制代码, 然后给一堆相对应的源码,经过深度学习模型训练之后,能从中找到最合适的模式进行概率猜测, 就像图像识别一样, 很有可能猜到99%可能的源码是什么. 并不能完美还原，源码和二进制存在多映射关系，人工尚且无法做到。此外，想训练模型得依靠大量的样本输入，最终泛化效果取决于你样本是否足够全面，不是你想的那么简单
Swrite 雪币： 2 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	Swrite 2020-11-9 09:51 17 楼 0 NeurIPS-2020 论文解读：基于跨模态检索的二进制代码-源代码匹配作者：腾讯科恩实验室原文链接：https://mp.weixin.qq.com/s/fvnvh25VaHgproPvVT6LDg
wuxiwudi 雪币： 920 活跃值： (1620) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 173 粉丝 5 关注私信	wuxiwudi 2020-11-9 10:17 18 楼 0 之前打算搞一个相似的项目,利用深度学习对恶意样本进行家族归类,其实能做的东西还是不少的
库尔雪币： 1243 活跃值： (1815) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 189 粉丝 3 关注私信	库尔 2020-11-9 10:54 19 楼 0 mb_foyotena 并不能完美还原，源码和二进制存在多映射关系，人工尚且无法做到。此外，想训练模型得依靠大量的样本输入，最终泛化效果取决于你样本是否足够全面，不是你想的那么简单是否尝试像VTIL这种中间语言翻译缩小训练范围。
TopGreen 雪币： 1928 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 50 粉丝 0 关注私信	TopGreen 2020-11-9 11:31 20 楼 0 wuxiwudi 之前打算搞一个相似的项目,利用深度学习对恶意样本进行家族归类,其实能做的东西还是不少的这个跟yara类的规则差不多了
wuxiwudi 雪币： 920 活跃值： (1620) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 173 粉丝 5 关注私信	wuxiwudi 2020-11-9 12:47 21 楼 0 TopGreen 这个跟yara类的规则差不多了后面有点像,相当于提取一个已知样本族谱特征,对未知样本进行扫描,判断威胁程度,这样对一些使用模块化或者公共库编译的样本有概率直接检出,不过对新样本就无能为力了,核心其实就是这个族谱特征提取的过程
thisisroot 雪币： 687 活跃值： (320) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	thisisroot 2020-11-9 14:30 22 楼 0 比赛的时候，3秒攻下第一道题，这是人类无法达到的速度。优势就是速度快，成本低（省下海量的人工成本）。当有大量样本的时候，AI可以过滤一遍。要深入挖掘的时候，再人工参与。
hpphpp 雪币： 226 活跃值： (1314) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 125 粉丝 2 关注私信	hpphpp 2020-11-11 23:25 23 楼 0 Swrite NeurIPS-2020 论文解读：基于跨模态检索的二进制代码-源代码匹配作者：腾讯科恩实验室原文链接：https://mp.weixin.qq.com/s/fvnvh25VaHgproP ... 长见识了,原来已经有人实现了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

hpphpp

发帖

125

回帖

RANK

关注

私信

他的文章

影视软件有ollvm？ java层能找到native函数,但是native层内存dump找不到函数

[讨论]深度学习是不是也能用作逆向?

[求助]IAT 修复失败，大神帮忙指导一下【已经解决，修复重定位信息即可】

[求助]vmp 3.3.1 的反调试【搞定，换了新电脑，换了x64dbg突然就能过去了】

[建议]希望增加窗口置顶功能

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
gxkyrftx 雪币： 791 活跃值： (404) 能力值： ( LV4，RANK：51 ) 在线值：发帖 6 回帖 47 粉丝 2 关注私信	gxkyrftx 2020-11-8 12:02 2 楼 0 顶会上有一些论文
低调putchar 雪币： 2674 活跃值： (2304) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 141 粉丝 37 关注私信	低调putchar 1 2020-11-8 12:33 3 楼 0 逆向机器人!
thisisroot 雪币： 687 活跃值： (320) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	thisisroot 2020-11-8 12:56 4 楼 0 3年前有幸参加过RHG，当时就是通过算法和AI进行漏洞挖掘。
默NJ 雪币： 2129 活跃值： (4201) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 2 关注私信	默NJ 2020-11-8 15:47 5 楼 0 大有可为!
舒默哦雪币： 2956 活跃值： (4826) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 148 粉丝 59 关注私信	舒默哦 1 2020-11-8 15:53 6 楼 0 我觉得AI还原vmp是大材小用吧
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 304 粉丝 10 关注私信	mb_foyotena 2020-11-8 16:24 7 楼 0 深度学习没那么玄学，简单来说就是函数拟合。vmp混淆前后的映射关系除了功能等价，并不具备其它特征，不像图像有周围像素关系可以用GAN来还原马赛克。
pureGavin 雪币： 12176 活跃值： (15640) 能力值： ( LV12，RANK：240 ) 在线值：发帖 66 回帖 1357 粉丝 203 关注私信	pureGavin 2 2020-11-8 20:20 8 楼 0 thisisroot 3年前有幸参加过RHG，当时就是通过算法和AI进行漏洞挖掘。你这个AI漏洞挖掘，我老师也提起过，不过他认为目前无法实现精品漏洞挖掘
黄小付雪币： 90 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	黄小付 2020-11-8 22:36 9 楼 0 我在想如果能做一个网上智能ai逆向分析系统，会不会狂捞一笔，我觉得汇编转源码的工程不是没有可能实现的，不过这种技术太缺了，不会有人去反着搞的
pureGavin 雪币： 12176 活跃值： (15640) 能力值： ( LV12，RANK：240 ) 在线值：发帖 66 回帖 1357 粉丝 203 关注私信	pureGavin 2 2020-11-8 22:51 10 楼 0 黄小付我在想如果能做一个网上智能ai逆向分析系统，会不会狂捞一笔，我觉得汇编转源码的工程不是没有可能实现的，不过这种技术太缺了，不会有人去反着搞的不知道你说的汇编转源码是什么意思，IDA和ghidra都能实现伪代码，而且还原度也很高，另外ghidra是开源且免费的最后于 2020-11-8 22:51 被pureGavin编辑，原因：
黄小付雪币： 90 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	黄小付 2020-11-8 22:58 11 楼 0 pureGavin 黄小付我在想如果能做一个网上智能ai逆向分析系统，会不会狂捞一笔，我觉得汇编转源码的工程不是没有可能实现的，不过这种技术太缺了，不会有人去反着搞的不知道你说 ... 我说的是比较高级的，可以说只要是二进制的文件都可以，不管加不加密
库尔雪币： 1243 活跃值： (1815) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 189 粉丝 3 关注私信	库尔 2020-11-8 23:00 12 楼 0 如果能用if判断完成的vmp还原项目，就不需要深度学习这种耗时的玩意。目前楼上说的一样。除了功能等价，并不具备其它特征，深度学习的局部特征抓取的优势就发挥不出来。当前并不清楚哪些VMP还原方面上深度学习更优的选择。
SSH山水画雪币： 1455 活跃值： (14624) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 326 粉丝 366 关注私信	SSH山水画 3 2020-11-9 08:44 13 楼 0 个人觉得不太现实，正向开发代码逻辑就那么多，完全可以用在深度学习上，逆向这东西一个人一个思路，从没有固定的套路，要不然为啥正向程序员6个月就能独立开发系统了，逆向工作者就必须要吃经验，要是单纯提取特征码啥的，感觉也用不到深度学习了
hpphpp 雪币： 226 活跃值： (1314) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 125 粉丝 2 关注私信	hpphpp 2020-11-9 09:31 14 楼 0 深度学习比如你给一堆二进制代码, 然后给一堆相对应的源码,经过深度学习模型训练之后,能从中找到最合适的模式进行概率猜测, 就像图像识别一样, 很有可能猜到99%可能的源码是什么.
Swrite 雪币： 2 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	Swrite 2020-11-9 09:46 15 楼 0 你说的是这个？https://paper.seebug.org/1389/
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 304 粉丝 10 关注私信	mb_foyotena 2020-11-9 09:47 16 楼 0 hpphpp 深度学习比如你给一堆二进制代码, 然后给一堆相对应的源码,经过深度学习模型训练之后,能从中找到最合适的模式进行概率猜测, 就像图像识别一样, 很有可能猜到99%可能的源码是什么. 并不能完美还原，源码和二进制存在多映射关系，人工尚且无法做到。此外，想训练模型得依靠大量的样本输入，最终泛化效果取决于你样本是否足够全面，不是你想的那么简单
Swrite 雪币： 2 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	Swrite 2020-11-9 09:51 17 楼 0 NeurIPS-2020 论文解读：基于跨模态检索的二进制代码-源代码匹配作者：腾讯科恩实验室原文链接：https://mp.weixin.qq.com/s/fvnvh25VaHgproPvVT6LDg
wuxiwudi 雪币： 920 活跃值： (1620) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 173 粉丝 5 关注私信	wuxiwudi 2020-11-9 10:17 18 楼 0 之前打算搞一个相似的项目,利用深度学习对恶意样本进行家族归类,其实能做的东西还是不少的
库尔雪币： 1243 活跃值： (1815) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 189 粉丝 3 关注私信	库尔 2020-11-9 10:54 19 楼 0 mb_foyotena 并不能完美还原，源码和二进制存在多映射关系，人工尚且无法做到。此外，想训练模型得依靠大量的样本输入，最终泛化效果取决于你样本是否足够全面，不是你想的那么简单是否尝试像VTIL这种中间语言翻译缩小训练范围。
TopGreen 雪币： 1928 活跃值： (392) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 50 粉丝 0 关注私信	TopGreen 2020-11-9 11:31 20 楼 0 wuxiwudi 之前打算搞一个相似的项目,利用深度学习对恶意样本进行家族归类,其实能做的东西还是不少的这个跟yara类的规则差不多了
wuxiwudi 雪币： 920 活跃值： (1620) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 173 粉丝 5 关注私信	wuxiwudi 2020-11-9 12:47 21 楼 0 TopGreen 这个跟yara类的规则差不多了后面有点像,相当于提取一个已知样本族谱特征,对未知样本进行扫描,判断威胁程度,这样对一些使用模块化或者公共库编译的样本有概率直接检出,不过对新样本就无能为力了,核心其实就是这个族谱特征提取的过程
thisisroot 雪币： 687 活跃值： (320) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 53 粉丝 0 关注私信	thisisroot 2020-11-9 14:30 22 楼 0 比赛的时候，3秒攻下第一道题，这是人类无法达到的速度。优势就是速度快，成本低（省下海量的人工成本）。当有大量样本的时候，AI可以过滤一遍。要深入挖掘的时候，再人工参与。
hpphpp 雪币： 226 活跃值： (1314) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 125 粉丝 2 关注私信	hpphpp 2020-11-11 23:25 23 楼 0 Swrite NeurIPS-2020 论文解读：基于跨模态检索的二进制代码-源代码匹配作者：腾讯科恩实验室原文链接：https://mp.weixin.qq.com/s/fvnvh25VaHgproP ... 长见识了,原来已经有人实现了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复