23、恶意软件操作码分布研究与人类因素在网络安全中的影响

恶意软件操作码分布研究与人类因素在网络安全中的影响

恶意软件操作码分布研究

在网络安全研究中，分析恶意软件和良性软件的操作码分布差异是一项重要工作。研究假设恶意软件和良性软件的操作码分布不同，这一假设聚焦明确，为测试提供了方向，且与现有数据相符。

研究方法构思

在提出假设后，需要确定研究方法。首先要列出所需的各项要素：
1. 需要用于检查的良性软件样本。
2. 需要恶意软件样本。
3. 虽然objdump可以查找操作码，但它容易将数据误视为代码，因此应考虑使用其他工具。
4. 如果研究要考虑不同类型的恶意软件，样本应涵盖这些类型，因为不同类型的恶意软件功能不同，操作码表现可能也不同。

实际研究方法

基于上述构思，实际研究方法如下：
1. 寻找除objdump之外的工具，用于查找PE可执行文件中的操作码。
2. 找到包含多种恶意软件类型的样本。
3. 参考之前的研究，按大小对Windows二进制文件进行分箱，然后进行分层抽样。
4. 为每个恶意软件和良性软件样本创建操作码分布。之前的探索性数据分析显示，前14个操作码效果良好，因此重复此操作。
5. 创建以下图表：
- 所有恶意软件中前14个操作码的分布。
- 所有良性软件中前14个操作码的分布。
- 每种类型恶意软件中前14个操作码的分布。

样本收集与工具选择

对于良性软件样本，使用安装了Service Pack 1的Windows 7基础版本。通过以下命令创建系统上PE可执行文件的列表：