[我研究]Anubis/TEMU/Layered Architecutre for Detecting Malicous Behavior中对Qemu扩展的比较

最新推荐文章于 2020-02-28 00:49:00 发布
最新推荐文章于 2020-02-28 00:49:00 发布
阅读量151 收藏 1
点赞数
原文链接:http://www.cnblogs.com/wanzhiyuan/archive/2011/08/13/2137285.html
版权

总结

主要都做了两项扩展:OS-awareness和taint analysis


A Layered Architecture for Detecting Malicious Behaviors

在Qemu上做了两项扩展:

1、Guest-OS awareness (不同的操作系统上的系统调用是不同的,需要知道是什么system call,什么进程调用的,对应的参数的buffer结构是怎么样的)

2、Taint Analysis (感觉是这个实验室以前的开发工作)

[25]Garfinkel, T., Rosenblum, M.:A Virtual Machine Introspection Based Architecture for Intrusion Detection. In NDSS 2003


Anubis - 主要的扩展应该都在Worker(VM) Image里面,可是没有说清楚 - TODO

Anubis相关的项目:
SGNET,WOMBAT(malware analysis这一块用了Anubis)

Ulrich Bayer - 与Ikarus Software合作的TTAnalyze(硕士论文),Anubis的前身,硕士论文
2006至今在TU Vienna读PhD
Ikarus公司发布了一个Anubis的商业版本,有trial version

9个人在开发

Architecture - 一共有五个主要部分
1、Web/DB Server
2、Malware Sample Storage
3、Report Storage
4、Vitim Server
5、Worker(VM) Images(做所有的分析工作)

TEMU

与Qemu同级别的emulator有:Valgrime、DynamicRIO和PIN,不过它们只能提供一个user-mode process,可是很多attack是由多个线程来实现的。

Architecture:
1. OS-awareness semantic extractor (Qemu只提供hardware-level的view,软件级别的view,特别是OS-level的语义需要被extract出来)
2. dynamic taint analysis (推理特定的数据如何依赖于数据源,以及数据如何在系统中传递)
3. 提供一些API - programming interface

API functions:
1. Query and set the value of a memory cell or a CPU register.
2. Query and set the taint information of memory or registers.
3. Register a hook to a function at its entry and exit, and remove a hook. TEMU
plugins can use this interface to monitor both user and kernel functions.
4. Query OS-level semantics information, such as the current process, module, and
thread.
5. Save and load the emulated system state. This interface helps to switch between different
machine states for more efficient analysis. For example, this interface makes
multiple path exploration more efficient, because we can save a state for a specific
branch point and explore one path, and then load this state to explore the other path
without restarting the program execution.

plugins related to trigger-based behavior:
– MineSweeper [10]: a plugin that identifies and uncovers trigger-based behaviors in
malware by performing online symbolic execution.
– BitScope: a more generic plugin that make use of symbolic execution to perform
in-depth analysis of malware.

Code amount:
The TEMU core consists of about 37,000 lines of code. TEMU plugins consist of about
134,000 lines of code.

转载于:https://www.cnblogs.com/wanzhiyuan/archive/2011/08/13/2137285.html

weixin_30338481
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于GNSS的抚顺西露天矿北边坡变形监测方法研究
05-12
以抚顺西露天矿北边坡沉降变形监测分析为目标,在探讨了GNSS用于边坡变形监测的方法优势及特点的基础上,对变形监测设计方案,尤其是对监测点的布设、监测数据的采集、数据处理方法、监测结果的分析进行了深入研究。根据三年的变形监测成果分析,给出了抚顺西露天矿北边坡变形范围、沉陷变形速率、以及GNSS变形监测的优势和应注意的问题,对GNSS在露天矿边坡监测的广泛应用具有指导意义。
temu的使用
myw_katrina的博客
12-19 5323
temu对进程的分析是建立在虚拟机上的。temu工具依赖于qemuqemu是模拟处理器,安装temuqemu就已经安装好了。 使用temu时,首先要制作一个映像,然后通过temu启动该映像进入虚拟机。需要注意的是,如果你在实际ubuntu操作系统上安装qemu模拟器,需要在bios开启Virtualization功能。如果是在vmware的虚拟机安装qemu模拟器,则需要修改虚拟机设置,如下
qemutemu的镜像配置和管理
Jiao319的专栏
06-20 2104
QEMU是一款仿真器,TEMU是基于QEMU开发的一个动态二进制分析平台,TEMUQEMU的命令基本相同。QEMU虽然没有VMWare功能强大,但是也可以实现相应的功能,比如快照。TEMU的开机速度非常慢,所以为了加快学习的进度,最好创建一个开机快照。       QEMU可以使用qemu-img创建映像的副本,命令如下: qemu-img create -f qcow2 -b centos
160、gnuplot+LINGO+maple电子书-2020.06.28.rar
06-28
160、gnuplot+LINGO+maple电子书-2020.06.28.rar
GNSS 数据质量检核软件anubis.zip
04-10
参考文献:'基于G-Nut_Anubis的GNSS数据质量检核可视化分析'、Anubis在GNSS数据质量可视化分析的应用、'Anubis的GNSS数据质量检核可视化表达与分析 绘图软件:Chart-Gnuplot-0.23、plot_Anubis 虽然来自公开渠道,...
Anubis数据质量软件配置说明
04-04
Anubis数据质量软件配置详解》 Anubis是一款专用于数据质量监控与管理的软件,它在数据处理和分析领域扮演着至关重要的角色。本文将详细讲解Anubis 2.3.0版本的配置过程,帮助用户更好地理解和运用这款工具。 ...
Anubis在GNSS数据质量可视化分析的应用
04-21
本文介绍了一款名为Anubis的多星多频GNSS数据质量检查软件,并在Linux环境下利用shell脚本对Anubis进行了功能扩展,可自动对批量数据进行质量检查并生成可视化视图,提高了Anubis的便利性、易用性。
run_anubis_批处理_多天多站
06-07
标题的"run_anubis_批处理_多天多站"表明这是一个针对Anubis软件进行批处理优化的工具,能够处理多天多站的数据,相比之前需要手动修改配置文件的方式,大大提高了工作效率。Anubis是一款广泛用于GNSS(全球导航...
基于anubis的GNSS数据质量分析经验总结.pptx
09-03
**基于Anubis的GNSS数据质量分析经验总结** Anubis是一款强大的开源软件,专门用于全球导航卫星系统(GNSS)数据的质量分析。由捷克的国家大地测量局和地形与地图制图研究所开发,它支持多种操作系统,如Windows、...
BitBlaze(四) - 动态分析组件TEMU
数据库
05-02 466
4 TEMU:动态分析组件 这一部分主要介绍TEMU,BItBlaze平台的动态分析组件,描述其提取操作系统级语义的组件,执行系统全局的动态污点分析,以及它的插件和实现。 4.1 TEMU概述 TEMU是一个基于全系统仿真器QEMU开发的全系统的动态二进制分析平台。在这个仿真器上运行一个完整的系统(包括操作系统和应用程序),并对相关二进制代码的执行进行细粒度的观察。TEMU是基于一下考量而采...
Temu 安装小结
不做平凡的菜鸟
09-06 2363
因为学习需要,所以安装了著名的二进制分析工具
北斗分析 (众神之战--阿努比斯)
qq_42111624的博客
02-28 5679
文章目录众神之战--阿努比斯anubis介绍G-NUT/ANUBIS众神之战北斗归位北斗地面站数据介绍数据准备数据处理绘图处理致谢 众神之战–阿努比斯 – G-NUT/ANUBIS 对北斗地面站数据的分析 anubis介绍       “阿努比斯(古希腊语:Ἄνουβις)是埃及神话一位与木乃伊制作与死后生活有关的胡狼头神。阿努比斯其实是个古希腊语的名字...
Bitblaze环境搭建之TEMU/Tracecap的编译和安装
JochenZou的专栏
04-24 3641
ubuntu12.04下TEMU的安装 The following script shows the steps for building and installing TEMU and the other software it depends on: (This is also found as docs/install-temu-release.sh in the TEMU
如何自学游戏引擎的开发
mmqqyyqqyyq的博客
11-06 6311
如何自学游戏引擎的开发
毕业设计,基于SpringBoot+Vue+MySQL开发的纺织品企业财务管理系统,源码+数据库+毕业论文+视频演示
08-21
毕业设计,基于SpringBoot+Vue+MySQL开发的纺织品企业财务管理系统,源码+数据库+毕业论文+视频演示 在如今社会上,关于信息上面的处理,没有任何一个企业或者个人会忽视,如何让信息急速传递,并且归档储存查询,采用之前的纸张记录模式已经不符合当前使用要求了。所以,对纺织品企业财务信息管理的提升,也为了对纺织品企业财务信息进行更好的维护,纺织品企业财务管理系统的出现就变得水到渠成不可缺少。通过对纺织品企业财务管理系统的开发,不仅仅可以学以致用,让学到的知识变成成果出现,也强化了知识记忆,扩大了知识储备,是提升自我的一种很好的方法。通过具体的开发,对整个软件开发的过程熟练掌握,不论是前期的设计,还是后续的编码测试,都有了很深刻的认知。 纺织品企业财务管理系统通过MySQL数据库与Spring Boot框架进行开发,纺织品企业财务管理系统能够实现对财务人员,员工,收费信息,支出信息,薪资信息,留言信息,报销信息等信息的管理。 通过纺织品企业财务管理系统对相关信息的处理,让信息处理变的更加的系统,更加的规范,这是一个必然的结果。已经处理好的信息,不管是用来查找,还是分析,在效率上都会成倍的提高,让计算机变得更加符合生产需要,变成人们不可缺少的一种信息处理工具,实现了绿色办公,节省社会资源,为环境保护也做了力所能及的贡献。 关键字:纺织品企业财务管理系统,薪资信息,报销信息;SpringBoot
[毕业设计]Java基于RSA算法的文件加密系统设计与实现(源代码+论文).zip
最新发布
08-21
[毕业设计]Java基于RSA算法的文件加密系统设计与实现(源代码+论文)
g-nut/anubis 下载
12-06
g-nut/anubis是一款基于P2P网络的文件分享软件,它能够帮助用户在互联网上下载和共享文件。通过g-nut/anubis,用户可以轻松地搜索、下载以及上传各种类型的文件,例如音乐、视频、文档等。它提供了一个方便的平台,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值