35、基于符号执行和图核的恶意软件分析

最新推荐文章于 2025-09-23 10:40:49 发布
最新推荐文章于 2025-09-23 10:40:49 发布
阅读量42 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 探索NordSec 2022:安全IT系统的前沿 文章标签: 符号执行 图核 恶意软件分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/assembly8low/article/details/149615116

基于符号执行和图核的恶意软件分析

在当今数字化时代,恶意软件的威胁日益严重,如何高效准确地分析和分类恶意软件成为了安全领域的重要课题。本文将介绍一种基于符号执行和图核的恶意软件分析方法,通过构建系统调用依赖图(SCDG),利用机器学习算法进行分类,为恶意软件的检测和分类提供了新的思路。

1. 整体流程概述

首先,使用Python符号执行框架执行文件,提取每个二进制文件的SCDG。然后,利用这些SCDG训练机器学习算法,包括基于Gspan和图核的分类器。最后,使用训练好的分类器对新的恶意软件进行分类。

2. 调用提取

SCDG的构建基于符号执行,它可以在不具体化变量值和动态执行代码的情况下,探索二进制文件的所有可能执行路径。在代码探索过程中,会构建符号变量的约束并跟踪系统调用,由可满足性模理论(SMT)检查器验证符号约束的可满足性和执行路径的有效性。

然而,符号执行存在状态空间爆炸的问题,只能在合理时间内探索有限的符号路径。因此,路径选择策略对机器学习过程有重要影响。本文提出了自定义广度优先搜索策略(CBFS-Strategy)和自定义深度优先搜索策略(CDFS-Strategy)。

  • CBFS-Strategy :算法从可用状态集中选取L个状态放入待探索状态列表R中,然后遍历其他状态。如果找到一个状态能通向代码的未探索部分或执行路径更短,则将其加入R并移除优先级较低的状态。 
# CBFS exploration
def CBFS_exploration(S, L):
订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
34、基于符号执行恶意软件分析
assembly8low的博客
07-15 37
本文介绍了一种基于符号执行恶意软件分析方法。随着恶意软件数量的激增,传统的静态与动态分析方法已难以应对复杂的威胁。为此,研究者提出利用符号执行技术结合系统调用依赖(SCDG)方法进行自动化恶意软件分类。文章详细阐述了比较技术,包括同构、Gspan算法及Weisfeiler-Lehman的应用。实验结果表明,该方法在分类准确率面对对抗性样本时均优于现有方法。此外,作者开发了一个基于开源工具链的实现方案,展示了其在恶意软件分析中的高效性与鲁棒性。
35恶意软件分析:C2服务器模拟器与家族关系聚类
whisky的博客
08-28 35
本文探讨了恶意软件分析中的两个关键方向:C2服务器模拟器的半自动化生成与恶意软件家族关系的聚类分析。在C2模拟器方面,综述了基于DECAF、VINE、ANGRS2E等技术的符号执行方法,揭示了其在辅助构建响应模拟器中的应用及面临的路径爆炸、手动干预等局限。针对历史样本的硬件锁定或加密限制问题,提出了相应的代码修改策略以实现高保真运行。在聚类分析方面,采用K-means算法结合字节n-gram频率特征,对包含20个家族的大规模数据集进行探索,发现同类型恶意软件(如Password Stealer)具有显著聚
恶意软件分析大合集
Sumarua的博客
05-09 1042
这个列表记录着那些令人称赞的恶意软件分析工具资源。受到 awesome-python awesome-php 的启迪。
恶意软件家族分类 单模型方案总结
热门推荐
herosunly的博客
02-25 8万+
1. 方案一 1.1 数据探索 1.1.1 ASM文件探索 1.1.2 PE文件探索 1.2 数据降维-AutoEncoder 1.3 关键词抽取 1.4 模型构建 1.5 总结 2. 方案二 2.1 特征工程 2.1.1 单特征提取 2.1.1.1 Ember特征 2.1.1.2 TF-IDF特征 2.1.1.3 Asm2Vec特征 2.1.2 特征融合 2.1.3 特征融合 2.1.4 特征选择 2.2 模型构建 2.2.1 加权软投票 2.2.1.1 权重计算 2.1.1.2 软投票 2.2.2 多模
基于卷积神经的Android恶意软件检测
09-23 1127
本文研究基于卷积神经网络的Android恶意软件检测方法。针对Android系统开放性导致的安全威胁,提出将恶意软件二进制文件转换为灰度像,利用ResNet18模型进行检测。研究内容包括:1) 从UNB等网站收集612个恶意样本57个正常样本;2) 创新性地将二进制文件转换为224×224像素的灰度像;3) 采用ResNet18构建检测模型,通过100次迭代训练达到88%准确率;4) 开发基于PyQt5的检测系统,实现文件选择、转换、检测功能。实验结果表明,该方法能有效识别恶意软件,为Android安
恶意软件分析资料大合集
我在全球村
05-31 3020
在研究malware移除的过程中,发现了下面的一些病毒软件分析资料,整理收藏过来,分享给需要的人。 这个列表记录了非常多的恶意软件分析工具资源。可以根据需要点击链接进入了解详情。 恶意软件集合 匿名代理 蜜罐 恶意软件样本库 开源威胁情报 工具 其他资源 检测与分类 在线扫描与沙盒 域名分析 浏览器恶意软件 文档 Shellcode 文件提取 去混...
6、恶意软件:从建模到实际检测
t1u2v的博客
04-24 48
本文详细探讨了恶意软件的定义、影响及检测挑战,并介绍了多种检测方法,包括基于签名、行为分析、机器学习、沙箱环境动态分析等技术。文章还通过实际案例说明了如何应对勒索软件APT攻击等复杂威胁,最后总结了各种方法的优缺点,强调了综合运用多种技术的重要性。
JavaScript 到命令控制 (C2) 服务器恶意软件分析
技术超强的网络安全平台
05-08 1054
不断发展的网络威胁形势见证了复杂的恶意软件攻击活动激增,这些活动利用多阶段执行、混淆隐蔽通信渠道来逃避检测。本研究报告研究了一个高度混淆的攻击链,该攻击链始于一个 JavaScript 文件,该文件从开源服务中检索编码命令以执行 PowerShell 脚本。然后,该脚本从 IP 地址 URL 缩短器下载 JPG 文本文件,这两个 IP 地址 URL 缩短器都通过先进的隐写技术隐藏恶意的 MZ DOS 可执行文件。
恶意软件家族分类 模型集成方案总结
herosunly的博客
01-25 3万+
1. 方案一 1.1 数据分析 1.1.1 样本家族数量分布 1.1.2 壳分析 1.1.3 分析总结 1.2 特征处理 1.2.1 特征选择 1.2.2 恶意软件灰度特征 1.2.3 字节直方特征 1.2.4 字节直方特征代码 1.2.5 熵直方特征 1.2.5.1 熵直方特征详细讲解与代码 1.2.6 字符串序列特征 1.2.7 opcode序列特征 1.3 模型融合 1.3.1 stacking集成 1.3.2 模型融合 1.4 参考文献 2. 方案二 2.1 赛题分析 2.2 数据探索 .
基于符号执行恶意软件分析
### 基于符号执行恶意软件分析恶意软件分析领域,利用符号执行技术进行分类是一种创新且有效的方法。下面将详细介绍相关技术实验结果。 #### 1. 整体流程概述 使用Python符号执行框架执行文件...
粒子群优化与遗传算法的混合体应用于流车间调度.zip
12-01
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业毕业设计。
Pytorch基于LSTM-KAN、BiLSTM-KAN、GRU-KAN、TCN-KAN、Transformer-KAN(各种KAN修改一行代码搞定)的共享单车租赁预测研究(数据可换)Python
最新发布
12-01
【Pytorch】基于LSTM-KAN、BiLSTM-KAN、GRU-KAN、TCN-KAN、Transformer-KAN(各种KAN修改一行代码搞定)的共享单车租赁预测研究(数据可换)Python
【无线传感器】使用 MATLAB XBee连续监控温度传感器无线网络研究(Matlab代码实现)
12-01
【无线传感器】使用 MATLAB XBee连续监控温度传感器无线网络研究(Matlab代码实现)内容概要:本文围绕使用MATLABXBee技术实现温度传感器无线网络的连续监控展开研究,介绍了如何构建无线传感网络系统,并利用MATLAB进行数据采集、处理与可视化分析。系统通过XBee模块实现传感器节点间的无线通信,实时传输温度数据至主机,MATLAB负责接收并处理数据,实现对环境温度的动态监测。文中详细阐述了硬件连接、通信协议配置、数据解析及软件编程实现过程,并提供了完整的MATLAB代码示例,便于读者复现应用。该方案具有良好的扩展性实用性,适用于远程环境监测场景。; 适合人群:具备一定MATLAB编程基础无线通信基础知识的高校学生、科研人员及工程技术人员,尤其适合从事物联网、传感器网络相关项目开发的初学者与中级开发者。; 使用场景及目标:①实现基于XBee的无线温度传感网络搭建;②掌握MATLAB与无线模块的数据通信方法;③完成实时数据采集、处理与可视化;④为环境监测、工业测控等实际应用场景提供技术参考。; 阅读建议:建议读者结合文中提供的MATLAB代码与硬件连接进行实践操作,先从简单的点对点通信入手,逐步扩展到多节点网络,同时可进一步探索数据滤波、异常检测、远程报警等功能的集成。
ASP.NET Core 深度学习 .NET 9 课程资料.rar
12-01
ASP.NET Core 深度学习 .NET 9 课程资料.rar
边缘计算基于芯片选型与模型优化的AI部署技术:面向低功耗高帧率场景的实战方法与系统设计
12-01
内容概要:本文系统讲解了边缘AI模型部署与优化的完整流程,涵盖心挑战(算力、功耗、实时性、资源限制)与设计原则,详细对比主流边缘AI芯片平台(如ESP32-S3、RK3588、Jetson系列、Coral等)的性能参数与适用场景,并以RK3588部署YOLOv8为例,演示从PyTorch模型导出、ONNX转换、RKNN量化到Tengine推理的全流程。文章重点介绍多维度优化策略,包括模型轻量化(结构选择、输入尺寸调整)、量化(INT8/FP16)、剪枝与蒸馏、算子融合、批处理、硬件加速预处理及DVFS动态调频等,显著提升帧率并降低功耗。通过三个实战案例验证优化效果,最后提供常见问题解决方案与未来技术趋势。; 适合人群:具备一定AI模型开发经验的工程师,尤其是从事边缘计算、嵌入式AI、计算机视觉应用研发的技术人员,工作年限建议1-5年;熟悉Python、C++及深度学习框架(如PyTorch、TensorFlow)者更佳。; 使用场景及目标:①在资源受限的边缘设备上高效部署AI模型;②实现高帧率与低功耗的双重优化目标;③掌握从芯片选型、模型转换到系统级调优的全链路能力;④解决实际部署中的精度损失、内存溢出、NPU利用率低等问题。; 阅读建议:建议结合文中提供的代码实例与工具链(如RKNN Toolkit、Tengine、TensorRT)动手实践,重点关注量化校准、模型压缩与硬件协同优化环节,同时参考选型表格匹配具体应用场景,并利用功耗监测工具进行闭环调优。
(58页PPT)数字乡村初步解决方案.pptx
12-01
(58页PPT)数字乡村初步解决方案.pptx
ia611.pdf
12-01
ia611
佳能清除5B00错误 清零软件G1800 G2800 G3800 G4800 IP8780 IP7280 IX6880 IX6780 MG3580 MG3680 TS5080 TS608
12-01
(清零流程:进维修模式—打开软件清零) 一、清零操作 第一步:打印机进入维修模式(查看维模式进法)。 第二步:废墨计数器:一般选【主要】 ,如报错002请选择【全】或【其它选项】。清零须用USB线把打印机接上电脑,进入维修模式放上纸,再点【清零】操作,提示【恭喜您!成功啦!】重开打印机清零完成。 报错提示: 1. 如报错006 001 005说明没进到维修模式。 2. 报错009说明硬件有问题,可点【读取】查看错误代码, 正常关闭打印机排除硬件问题再操作。 3. 报错002说明有废墨计数器未选对或软件不支持该型号。 4. 打印机有其它硬件问题时,点了【清零】后软件变灰不提示成功,过一分钟直接关打印机重开即可。 二、维修模式的进法(不同机型进法不同,认真阅读再操作) [G1800 G2800 G3800 G4800 IP8780 IP7280 IX6880 IX6780 MG3580 MG3680 TS5080 TS6080 TS6020......]维修模式方法如下: 1.先关闭电源 打印机放纸 2.按下【停止】键,再按【电源】 键。(两键都不松开) 3.当电源灯点亮时,不松【电源】键,只松【停止】键 4.连按5次【停止】键,两键同时松开。 5.电源灯长亮,进入成功。(有时两个灯) [G1810 G2810 G3810 G4810 G5080 G6080 G8080 GM2020 GM4080 TS3380 TS3480 TSS708 TS5120 TS5320 TS5180 TS6120 TS6180 TS6280 TS6220 TS6380 TS6320 TR4580 TR4520 TR7520] 维修模式方法如下: 1.先关闭打印机电源,机子里放纸,按下【电源】键不放手。 2.当电源灯亮时,不松【电源】键,连按5次【停止】键,两键同时松开。 3.电源灯长亮
考虑不确定性的含集群电动汽车并网型微电网随机优化调度研究(Matlab代码实现)
12-01
考虑不确定性的含集群电动汽车并网型微电网随机优化调度研究(Matlab代码实现)内容概要:本文围绕含集群电动汽车的并网型微电网随机优化调度展开研究,重点考虑光伏发电、负荷需求及电动汽车充电行为的多重不确定性。通过构建基于Matlab的随机优化模型,采用场景生成与削减技术处理不确定性因素,并结合优化算法实现微电网内多能源协调调度,旨在降低系统运行成本、提高可再生能源消纳能力与电网稳定性。研究涵盖了系统建模、不确定性处理、优化求解及仿真分析全过程,展示了完整的微电网调度解决方案。; 适合人群:具备一定电力系统基础知识Matlab编程能力的研究生、科研人员及从事新能源系统优化的工程技术人员。; 使用场景及目标:①用于教学与科研中理解微电网能量管理系统的构建与优化方法;②为含高比例可再生能源电动汽车接入的微电网提供调度策略设计与仿真验证的技术参考;③支撑相关课题的论文撰写与项目开发。; 阅读建议:建议结合文中Matlab代码进行实践操作,重点关注不确定性建模与优化求解部分,可进一步扩展至多目标优化或鲁棒优化方向进行深入研究。
基于ANGR的Triton恶意软件符号执行分析
“Triton-Symbolic”项目聚焦于利用符号执行技术对名为Triton的恶意软件进行深入分析,结合了先进的二进制分析工具ANGR,实现了对恶意行为的动态仿真与逻辑推理。该项目的心在于将现实世界中的I/O接口与程序仿真...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值