能力值:
( LV4,RANK:50 )
|
-
-
26 楼
[QUOTE=Isaiah;387411]统计这种
mov eax,[edi+0x34]
mov ecx,[ecx+0x34]
逻辑上雷同.这种要针对某代码片断统计才有意义[/QUOTE]
谢谢提示。
是有这种意思,但不局限于此。
估计会用带有虚拟执行的方式分析,所以可能希望提供一些基础的数据流层次的记录结果
是现在只是考虑提供一些基础的解释结果,便于此后的分析使用
但因为没有经验,所以不知道到底需要提供怎样的结果才能避免以后再大量修改代码
因为只是个人兴趣,所以没有太多精力维护代码,仅仅是一种学习,希望能尽量考虑周全。
|
能力值:
( LV9,RANK:330 )
|
-
-
27 楼
看了这句才大悟前面讲半天都讲了些什么~
随意一个程序难道指令种类和分布密度能体现出什么有价值的东西来吗? 倒是愿意一睹统计资料
不过理论或实际都不成熟的"智能"unpack以后其实是"低能"了, 但愿不会如此~吧~
|
能力值:
( LV4,RANK:50 )
|
-
-
28 楼
仅仅只是举例而已。我这并不是为了脱壳。
如果您认为不可能有结果,不用回复此帖即可。本贴仅仅为能从有同样想法和需要的兄弟那里的得些建议,而不是来收集冷水的
顺便说句不针对任何人的话:
虽然考虑可行性很重要,但恐怕并不是做学问的态度。
别人有人实现了,并不代表自己就能实现。自己做事过程中学到的东西才是自己的。
|
能力值:
( LV4,RANK:50 )
|
-
-
29 楼
有没有价值要看怎么用。
而且,那个例子仅仅说是“加权项目”,又没有说什么能“决定”什么。
不要断章取意
算了,避免此贴带来更多不快,希望版主锁掉吧
|
能力值:
![]()
(RANK:570 )
|
-
-
30 楼
LZ在搞数据挖掘?
月中人翻译的一篇高级二进制分析技术,将函数流程抽象成CFG图,结合函数签名,做图的相似性分析。
此外还有用压缩率(其实就是运用信息熵的概念)作可执行文件的聚类分析,不过那篇文献只尝试了无壳和加了UPX的研究。
目前网络安全方面,二进制某些统计学特征的应用,我知道的就只有识别特定协议的异常数据流。论坛FTP有本密码学入门的书,也有提到特定加密算法具有某种统计学特征,可以通过这种特征识别加密算法。
LZ搞的虚拟机?指令序列识别?不妨把指令序列归类,然后将频率信息作为输入,用ANN或者SVM处理
|
能力值:
![]()
(RANK:570 )
|
-
-
31 楼
再看了LZ的问题,有点明白了。
LZ的虚拟机用的是保证后面的静态数据分析,但是以虚拟机的效率,根本就不可能每个样本都跑,而且也得确定虚拟机的运行终点。
这样加权的意义就在于何时进入虚拟机,何时退出虚拟机了。
希望通过分析代码块的特征避开代码流程欺骗?
这种东西如果大家能给你实质的建议,那么你的东西做出来也没有意义。因为这意味着大家都能猜到你是怎么做的,然后破坏你的机制
用数据挖掘中的关联规则找异常代码块,用序列规则找异常流程。
|
能力值:
![]()
(RANK:1060 )
|
-
-
32 楼
楼主应该找很多样本,然后统计entropy
|
能力值:
( LV9,RANK:330 )
|
-
-
33 楼
"unpack"上忘加引号了, 此不作"脱壳"理解
当然还是支持楼主的, 没明确表达而已, 不必多思
|
能力值:
( LV4,RANK:50 )
|
-
-
34 楼
谢谢楼上各位的提示,特别感谢笨笨雄师兄
|
|
|
|
