围城

20200809 -引言DGA算法是一种生成域名的算法：以时间或者一些特定字符串作为种子，然后利用一定的算法（例如加密算法），来生成随机域名的方式。恶意软件的制作者通过这种方式来迷惑安全工作者，传统的恶意软件利用硬编码的方式将CC域名保存在程序中，安全工作者可以对这部分域名进行封堵实现截断通信的过程。在DGA算法的帮助下，恶意程序会发出大量DNS请求（包含DGA生成的域名），而制作者利用同样的算法和同样的种子生成同样的列表，从中挑选任意个在DNS厂商进行注册，以此躲避封堵。而针对DGA的研究，可以有

20200805 -引言最近使用IDA pro分析了一个去头的ELF样本（datacon比赛），它是一个僵尸网络的样本。本身对自己的逆向能力也不是很强，基本上就是捋清楚了程序的逻辑，对照着mirai的源码，得到了一些理解。不过这中间也遇见了很多问题。问题1. 反汇编/编译的源码可信吗这个问题发生在，我将反编译出来的函数源码直接复制到了C语言的源码中，然后进行了编译，但是始终这个结果就是不对。那么这也就是说，反编译出来的源码的功能并不一定是正确的？虽然运行没有问题，但是却出不来相应的结果。这里很纳闷

2020/05/30 -昨天的时候，简单学习了跟语言模型相关的内容。其实主要的内容都是word2vec的内容；本质上我想找的内容是，能够给我建立一个模糊的说法。我是使用这个模型，能带来的好处是什么。但是感觉上来说，完全就是从反向的角度来说明。使用了这个模型，然后告诉你这个模型的好处。对于语言模型来说，我简单看了一下，这里来简单总结一下，不涉及具体原理。首先就是最开始的one-hot模型，假设...

2020/05/20 -看了一些网站的内容，发现主要存在四种方式。xor加壳base64编码rot13(arm的一个指令）[1][2]分别是简答介绍了这集中方式。[3]是一个实验室的工具，可以取出一些混淆的字符串，但是只支持pe格式；在原理方便他也介绍了，就是查找存在的xor过程的函数，然后解密。不过，我在想，其实我也能在ida中定位这个函数的位置，但是这种东西是怎么自动化呢？...

2020/07/04 -最开始的时候，我搜索的关键词是恶意软件的据类，就是可以类似单词的词义一样可以在二维图片上显示；然后搜到了这个文章[1]（文章已经转化为pdf），通过图数据库来展示恶意软件之间的关系。他使用的图数据库是neo4j，然后利用某些工具将生成的二进制的属性按照数据库的语法规则都导入到数据库中进行展示。但是，他进行个体划分的时候，让我眼前一亮。因为之前的时候我也做过相关的工作，当...

2020/06/09 -引言关于本部分二进制安全相关的东西，一开始我没有准备看论文，主要是想找一些相关的工具来实现自己的目的。起初，我是希望寻找一个工具能够对比二进制文件的相似度，通过搜索之后，定位到了ssdeep这个工具，对这个工具进行了实践，能够得到一些相应的结果。但在这个过程中发现了一个博客复现了大致是17/18年左右一篇顶会（代码相似度）的论文（后面具体介绍），在阅读了这篇论文之后，萌...

2020/06/03 -其实一开始的时候，我是想看看，他们都是使用什么特征来进行比较。。。今天下午就想找一些相关的相似度比较的文章，看看有没有相关的实践，然后发现谷歌出来的大量结果都是论文，我是想找一些实际的代码。不过，通过调整关键词到medium上，发现了有人使用了ssdeep来进行比较。首先是工具的安装，然后通过自己编写的几个c源码，编译之后进行比较。他的结果说明，能够有相似度出来...

2020/06/14我有点明白泛化过程的含义了。当时也在阿里的那个文章中看到过，就是说，现在很多机器学习的泛化能力差在网络安全方面。泛化能力，我的理解就是，如果是想模型硬性的记住一些东西，那他就没有泛化能力。但是如果你能够有一些泛化能力，他就能发现这个空间中的某个子区域，他就是可疑的。也就是不单单局限于自己训练数据的某个点了。但是这个时候，特征的语义信息就出来了，你很多东西并不是带有...

2020/05/29 -针对自己研究的过程，来说明几个问题。当时的时候，也没有思考那么多，就按照他网页中给出的步骤，就直接直接实践了， 效果也还算不错；不过这里的话，我突然感觉有些不对劲。其实一直都是不对劲的状态。它使用的方法呢，是将这个php文件按照文本一样的内容进行处理，然后利用n-gram进行特征化，其实这里的时候，我就有些不明白了，这种形式，当然哈，最后的工作的确是效果还行，但是实际...

2020/05/19 -之前在那本《数据科学：恶意软件分析》中看到过。就是说，利用里面的字段什么的，来进行相似度比较，使用了杰西卡系数来判断。不过，我反过来想了想，这些二进制文件真的可以在编译后保持吗？同样，这些相似度比较的方式还有别的吗？这个其实就是跟系统调用序列一样。我刚才冒出来一个想法，就是说那种按照块来对恶意软件进行对比相似的方式。不知道这种是不是有人做过。感觉其实更像是图的方...

https://github.com/ocatak/malware_api_classhttps://github.com/shramos/Awesome-Cybersecurity-Datasets#malwarehttps://github.com/traceflight/Android-Malware-Datasetshttps://github.com/endgameinc/embe...

https://medium.com/@QuoLab/prioritization-and-propagation-of-malware-sample-analysis-84a3bcd1e6f这篇文章是这么一个流程，引出问题：如果对每个二进制进行分析，那么在分析人手比较少的时候，这种会造成资源负担；同时，如果采用先来先分析或者随机选择的方法，这种方式也会造成重复分析的过程。那么也就是说，我们...

2020/06/16 -今天在阅读《海量数据挖掘》的过程中，看到了这个TF.IDF的内容。书中提到，一般来说，当我们看到例如“奔跑”，“某球”的单词（出现次数很多），就会觉得这篇文章属于一种球类的文章。。。我感觉我没弄懂他到底想说什么。其实TF.IDF就是说，有些时候有些单词可能出现次数低，但他就是决定某个文章是某类的因素。这让我想到了这个问题：那恶意软件中怎么来推广。好像推广不过来（从指...

2020/06/02 -引言在Bing搜索关键词"malware"和"machine learning"，发现了这本白皮书《Machine Learning Methods for Malware Detection》。个人阅读完之后，感觉干货十足，满满的诚意。从整体的内容上，加上具体的核心技术，都非常值得深入阅读。这里记录一下这部分内容，从他提出的观点，使用的技术，进行简要的记录。个人...

https://blog.trendmicro.com/trendlabs-security-intelligence/a-machine-learning-model-to-detect-malware-variants/这个是一个博客中的信息。我感觉他的这个好像很牛逼，每个类别只用一个样本就可以。对抗自动编码器。不知道是啥玩意。而且，他说的是，通过代码执行序列来获取在代码混淆情况下的不变...

2020/05/20 -昨天下载了多个硕士或者博士的论文来查看恶意软件分类的进展。看完并整理之后，给我的感觉就是，他们也是在研究机器学习方法。当然，之前的那种性质依然存在，国外的论文都是强调研究的结果。这里给我的感觉就是，机器学习依然是最大的赢家。什么都在用，你看这里恶意软件分类也在使用。但是，我想说的就是，其实更因该理解的是，恶意软件分析的关键问题是什么，不要沉浸在这个机器学习里面，...