点击蓝字 关注我们
前言
上个学期,学习了一下病毒分析,看到看雪课程里面有一篇关于利用机器学习分析病毒的,之前也思考过通过导入表的win api利用逻辑回归进行自动化判断,这里跟着看雪的姜老师学习一下模式识别。
正文
很多木马病毒,都是通过相似的手法或者相同的病毒种类魔改进行使用的,所以找到相似的特征就可以应对魔改过后的木马病毒。因此可以对病毒进行按家族分类,利用已分析出来的病毒,进行特征提取,当发现相似度高于多少的时候,就可以判断是同一家族的病毒。当然利用这种方法的病毒分析需要依赖庞大的数据库。
这里调用一下看雪姜老师的图片,如下。
这里面是通过将目标恶意程序文件以二进制的形式转化为灰度图像文件,之后是通过依据图像的相似性比较算法,来判断是否为类似病毒。如果想达到自动归类,就可以利用机器学习的聚类算法进行归纳。
这里查看课程给出的样本文件转换成的图片,通过肉眼判断是具有相似性。
之后通过图像的相似性比较,来判断是否为同一种类,想真正的自动化,就需要利用庞大的病毒库加以聚类算法来实现。
原文始发于微信公众号(Th0r安全):从模式识别看自动化病毒分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论