点击蓝字 关注我们
前言
上个学期,学习了一下病毒分析,看到看雪课程里面有一篇关于利用机器学习分析病毒的,之前也思考过通过导入表的win api利用逻辑回归进行自动化判断,这里跟着看雪的姜老师学习一下模式识别。
正文
很多木马病毒,都是通过相似的手法或者相同的病毒种类魔改进行使用的,所以找到相似的特征就可以应对魔改过后的木马病毒。因此可以对病毒进行按家族分类,利用已分析出来的病毒,进行特征提取,当发现相似度高于多少的时候,就可以判断是同一家族的病毒。当然利用这种方法的病毒分析需要依赖庞大的数据库。
这里调用一下看雪姜老师的图片,如下。
这里面是通过将目标恶意程序文件以二进制的形式转化为灰度图像文件,之后是通过依据图像的相似性比较算法,来判断是否为类似病毒。如果想达到自动归类,就可以利用机器学习的聚类算法进行归纳。
这里查看课程给出的样本文件转换成的图片,通过肉眼判断是具有相似性。
之后通过图像的相似性比较,来判断是否为同一种类,想真正的自动化,就需要利用庞大的病毒库加以聚类算法来实现。
原文始发于微信公众号(Th0r安全):从模式识别看自动化病毒分析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论