学习笔记-第十四章 恶意代码分析实战

这篇学习笔记深入分析了三个恶意代码样本,重点讨论了它们的网络特征和信令。恶意代码利用网络库进行通信,通过编码隐藏信息,并在不同阶段表现出不同的目的,如获取系统信息、创建后门和下载文件。分析者应关注URL编码、用户代理、信令模式和动态配置,以提高检测的有效性。
摘要由CSDN通过智能技术生成

第十四章 恶意代码的网络特征

1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全
设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对
网络的访问。

入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的
入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服
务枚举与分析,非标准协议的使用,以及安装恶意代码的通信信令等等。

	<1>在原始环境中观察恶意代码。 恶意代码分析第一步不应该是实验环境中运行恶意代码,
	也不是解剖恶意代码分析它的反汇编代码。而应该是首先查看已经获取的关于恶意代码的
	所有数据。恶意代码分析师经常得到一个没有任何上下文的恶意代码样本(或者是可疑的可
	执行文件),但在大多数情况下,你看可以获取恶意的更多数据。开始恶意代码网络行为分
	析的最好方法是挖掘恶意代码已经生成的日志。
	
	<2>恶意行为的总计
	
	<3>操作安全性。 当你调查过程中采取某些行动时,会告诉恶意代码编写者你已经识别了
	恶意代码,甚至可能会向攻击者泄露你的个人信息。
	
2.安全地调查在线攻击者 最安全的选择是完全不使用互联网去调查攻击,但这往往是不切实
际的。如果你使用互联网,则应该使用间接的方法,来逃避攻击者潜在的关注。

	<1>间接性策略。 提供匿名的服务或者机制。
	<2>获取IP地址和域名信息
	<3>基于内容的网络应对措施
		<3.1>使用snort进行入侵检测
		<3.2>深入观察
	<4>结合动态和静态分析技术
		<4.1>过度分析的危险。 如果恶意代码分析的目标是开发有效的网络特征,那么就不需
		要理解代码的每个模块。
		<4.2>在众目睽睽下隐藏。 免杀是攻击者操纵后门的主要目标之一,因为一旦恶意代码被
		检测出,攻击者不仅会失去对现有受害机器的访问,而且增加了未来被发现的风险。
		<4.3>理解周边代码。 网络行为有俩种类型:发送数据和接受数据,分析发送出去的数据通
		常比较容易,因为无论恶意代码何时运行,他都会产生便于分析的样本,
		<4.4>寻找网络操作代码
		<4.5>了解网络内容的来源
		<4.6>硬编码数据vs临时数据
		<4.7>确定和利用编码步骤
		<4.8>创建特征
		<4.9>分析解析例程
		<4.10>这奴棣多个元素 针对不同的元素,创建出不同的网络特征
	<5>了解攻击者的意图
		- 专注属于俩端之间的协议元素
		- 专注于已知的任何协议元素作为密钥的部分
		- 确定流量中不太明显的协议元素

Lab14-1

分析恶意代码文件Lab14-01.exe。这个程序对你的系统无害。
R语言实战笔记第九章介绍了方差分析的内容。方差分析是一种用于比较两个或多个组之间差异的统计方法。在R语言中,可以使用lm函数进行方差分析的回归拟合。lm函数的基本用法是: myfit <- lm(I(Y^(a))~x I(x^2) I(log(x)) var ... [-1],data=dataframe 其中,Y代表因变量,x代表自变量,a代表指数,var代表其他可能对模型有影响的变量。lm函数可以拟合回归模型并提供相关分析结果。 在方差分析中,还需要进行数据诊断,以确保模型的可靠性。其中几个重要的诊断包括异常观测值、离群点和高杠杆值点。异常观测值对于回归分析来说非常重要,可以通过Q-Q图和outlierTest函数来检测。离群点在Q-Q图中表示落在置信区间之外的点,需要删除后重新拟合并再次进行显著性检验。高杠杆值点是指在自变量因子空间中的离群点,可以通过帽子统计量来识别。一般来说,帽子统计量高于均值的2到3倍即可标记为高杠杆值点。 此外,方差分析还需要关注正态性。可以使用car包的qqplot函数绘制Q-Q图,并通过线的位置来判断数据是否服从正态分布。落在置信区间内为优,落在置信区间之外为异常点,需要进行处理。还可以通过绘制学生化残差的直方图和密度图来评估正态性。 综上所述,R语言实战第九章介绍了方差分析及其相关的数据诊断方法,包括异常观测值、离群点、高杠杆值点和正态性检验。这些方法可以用于分析数据的可靠性和模型的适应性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [R语言实战笔记--第八章 OLS回归分析](https://blog.csdn.net/gdyflxw/article/details/53870535)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值