恶意代码代码特征提取

最新推荐文章于 2024-09-04 00:00:37 发布
最新推荐文章于 2024-09-04 00:00:37 发布
阅读量2.1k 收藏 8
点赞数 1
文章标签: python javascript ViewUI
原文链接:http://www.cnblogs.com/17bdw/p/10181207.html
版权

文件特征提取

1、利用哈希值作为病毒特征

2、选取病毒内部的特征字符串

3、选取病毒内部的特色代码

4、双重校验和

网络特征

1、具体的下载URL或者访问的URL

2、IP地址

3、网络域名

注册表信息提取

1、启动项

2、写死的某个开关值

内存特征提取

某个特定的页、读写权限、代码块大小

只要理解MEMORY_BASIC_INFORMATION这个架构中的RegionSize作用就知道怎么提取内存特征了

代码如下:

// 遍历内存.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include "pch.h"
#include <iostream>
#include <windows.h>
#include <TCHAR.H>
BOOL ShowProcMemInfo(DWORD dwPID);
int _tmain(int argc, char* argv[])
{
    ShowProcMemInfo(GetCurrentProcessId());
    return 0;
}
// 显示一个进程的内存状态 dwPID为进程ID
BOOL ShowProcMemInfo(DWORD dwPID)
{
    HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION,
        FALSE,
        dwPID);
    if (hProcess == NULL)
        return FALSE;
    MEMORY_BASIC_INFORMATION mbi;
    PBYTE pAddress = NULL;
    TCHAR szInfo[200] = _T("BaseAddr Size Type State Protect \n");
    _tprintf(szInfo);
    while (TRUE)
    {
        if (VirtualQueryEx(hProcess, pAddress, &mbi, sizeof(mbi)) != sizeof(mbi))
        {
            break;
        }
        if ((mbi.AllocationBase != mbi.BaseAddress) && (mbi.State != MEM_FREE))
        {
            _stprintf(szInfo, _T(" %08X %8dK "),
                mbi.BaseAddress,
                mbi.RegionSize >> 10);
        }
        else
        {
            _stprintf(szInfo, _T("%08X %8dK "),
                mbi.BaseAddress,
                mbi.RegionSize >> 10);
        }
        LPCTSTR pStr = _T("");
        switch (mbi.Type)
        {
            case MEM_IMAGE: pStr = _T("MEM_IMAGE "); break;
            case MEM_MAPPED: pStr = _T("MEM_MAPPED "); break;
            case MEM_PRIVATE: pStr = _T("MEM_PRIVATE"); break;
            default: pStr = _T("-----------"); break;
        }
        _tcscat(szInfo, pStr);
        _tcscat(szInfo, _T(" "));
        switch (mbi.State)
        {
            case MEM_COMMIT: pStr = _T("MEM_COMMIT "); break;
            case MEM_RESERVE: pStr = _T("MEM_RESERVE"); break;
            case MEM_FREE: pStr = _T("MEM_FREE "); break;
            default: pStr = _T("-----------"); break;
        }
        _tcscat(szInfo, pStr);
        _tcscat(szInfo, _T(" "));
        switch (mbi.AllocationProtect)
        {
            case PAGE_READONLY: pStr = _T("PAGE_READONLY "); break;
            case PAGE_READWRITE: pStr = _T("PAGE_READWRITE "); break;
            case PAGE_WRITECOPY: pStr = _T("PAGE_WRITECOPY "); break;
            case PAGE_EXECUTE: pStr = _T("PAGE_EXECUTE "); break;
            case PAGE_EXECUTE_READ: pStr = _T("PAGE_EXECUTE_READ "); break;
            case PAGE_EXECUTE_READWRITE: pStr = _T("PAGE_EXECUTE_READWRITE"); break;
            case PAGE_EXECUTE_WRITECOPY: pStr = _T("PAGE_EXECUTE_WRITECOPY"); break;
            case PAGE_GUARD: pStr = _T("PAGE_GUARD "); break;
            case PAGE_NOACCESS: pStr = _T("PAGE_NOACCESS "); break;
            case PAGE_NOCACHE: pStr = _T("PAGE_NOCACHE "); break;
        default: pStr = _T("----------------------"); break;
        }
        _tcscat(szInfo, pStr);
        _tcscat(szInfo, _T("\n"));
        _tprintf(szInfo);
        pAddress = ((PBYTE)mbi.BaseAddress + mbi.RegionSize);
    }
    CloseHandle(hProcess);
    return TRUE;
}

参考

聊聊怎样才算是好的病毒特征
https://www.52pojie.cn/thread-611410-1-1.html

转载于:https://www.cnblogs.com/17bdw/p/10181207.html

weixin_30563917
关注
恶意代码特征的定义和提取.docx
05-17
恶意代码特征的定义和提取.docx
基于语义的恶意代码行为特征提取及检测方法
06-05
基于语义的恶意代码行为特征提取及检测方法,内容丰富,值得学习。
25种代码坏味道+特征
最新发布
weixin_43987390的博客
09-04 1590
重复代码就是。一个函数方法几百行甚至上千行。一个类做太多事情,维护了太多功能,可读性变差,性能也会下降。方法参数数量过多。对程序进行维护时,当你实现某个小功能时,你需要在很多不同的类做出小修改。
恶意代码特征
九层台
01-09 1786
0x01加壳 判断方法: 1.节区名字 2.熵  加过壳的可执行文件有的节区为空熵等于0,可能所有数据全在一个一个节区里(大于0-7) 0x02行为 探查行为 FindFirstFile() FindNextFile()获取特定目录中所有文件列表 Process32First() Process32Next()获取当前系统中运行的进程列表  函数存在于kernel32.dll 攻击行为 1.进...
【论文笔记】李盟, et al. "一种恶意代码特征选取和建模方法." 计算机应用与软件 08(2015):272-277.
雨化于画
03-11 970
前言 论文笔记。 论文笔记 出处及年份 《计算机应用与软件 Computer Applications and SoftwareVol.》第32卷第8期2015年8月 论文标题 一种恶意代码特征选取和建模方法 论文作者及工作单位 李盟、贾晓启、王蕊、林东岱 ( 中国科学院信息工程研究所信息安全国家重点实验室 北京 100093) ( 中国科学院大学 北京 100049) ...
恶意代码的分析及防治
qq_15156019的博客
05-17 1803
恶意代码的分析及防治
基于Python开发的特征表达增强的恶意代码家族分类方法,内含完整源代码,数据集,数据预处理,特征提取,家族分类,可视界面
02-05
基于特征表达增强的恶意代码家族分类方法,首先反编译恶意代码源程序得到 .bytes文件和 .asm文件,然后通过N-Gram算法提取 .asm文件的文本特征,将两类文件转换成灰度图像,通过灰度共生矩阵和灰度直方图提取纹理...
恶意代码检测现状_恶意代码检测的现状和未来展望_
10-02
1. 深度学习与自动化:未来,深度学习将进一步提升恶意代码检测的智能化水平,实现自动化的特征提取和模式识别。 2. 联动防御:加强不同安全设备和系统的协同工作,形成全局视角的恶意代码防御网络。 3. 预防为主...
多种特征提取方法代码
08-03
sift、lbp、hist、color、hog等特征提取方法
EEG代码实践:数据集特征提取方法一览(以SEED为例)
SashiMoore的博客
09-29 3759
学习内容一览:本文主要针对上海交通大学的SJTU(SEED)数据集,在前文的基础上进行特征提取,旨在之后通过更加标准的流程实现分类。
十三种图像特征提取代码合集(吐血整理)
07-04
内含13种图像特征提取代码:01_Histogram、02_GLCM、03_Color、04_ShapeContext、05_SIFT、06_HOG、07_LBP、08_Gabor、09_SURF、10_Harris、11_FAST、12_BRIEF、13_ORB
计算机病毒特征码提取及分析
11-08
计算机病毒的查杀技术一般都用到特征码匹配技术,此文档是这方面的知识
恶意代码---N-gram特征
haomei999的博客
05-01 2113
1)N-Gram特征的创建:设定滑动窗口长度(字节片段长度N),对恶意代码内容按字节特征大小进行滑动,每一个字节片段称为gram;统计gram出现的频度,设定阈值进行归一化。 2)恶意代码特征提取方法:n-gram字节、抽象语义、PE文件格式信息、动态行为信息等。 3)最初是由Jeremy等人提出通过提取文件n-gram字节特征实现恶意代码的检测------Learning to Detect Malicious Executables in the Wild[C]。 ** 一 Jeremy方法 ** 思想
如何通过分析恶意软件样本,提取攻击者的数字指纹和攻击工具的特征?
图幻未来的博客
02-20 308
网络攻击手段不断演进,使得网络安全防御面临巨大挑战.为了有效应对各种类型的网络安全威胁,及时识别并阻止未知或变种恶意软件的入侵是至关重要的.本文将介绍一种基于恶意软件的分析方法:通过对恶意程序进行分析、提取其代码中的关键部分(即所谓的**"数字指纹")**以及利用已知攻击手法来推测可能的攻击来源与目的的过程.以下我们将分两部分展开讨论这个问题:第一部分是对恶意软件进行分类和分析;第二部分是探讨如何从中获取有效的攻击者和行为信息.
恶意代码分析实战 11 恶意代码的网络特征
农夫果园好好喝的博客
01-25 1196
使用WireShark进行动态分析。使用另外的机器进行分析对比可知,User-Agent不是硬编码。请求的URL值得注意。回答:使用了URLDownloadToCacheFileA函数,该函数使用了COM接口,当恶意代码使用COM接口时,HTTP请求中的大部分内容都来自Windows内部,无法有效地使用网络特征进行针对性的检测。可以通过该函数去寻找是什么构造了URL。通过交叉引用,我们发现了这样的一个函数。
恶意代码防范技术原理-恶意代码概述
我的个人博客
09-06 5811
恶意代码是一种违背目标系统安全策略的程序代码,会造成目标系统信息泄露、资源滥用,破坏系统的完整性及可用性。它能够经过存储介质或网络进行传播,从一台计算机系统传到另外一台计算机系统,未经授权认证访问或破坏计算机系统包括计算机病毒( Computer Virus)、 蠕虫(Worms)、特洛伊木马(Trojan Horse)、逻辑炸弹( Logic Bombs)、 细菌(Bacteria)、恶意脚本(Malicious Scripts)和恶意ActiveX控件、间谍软件(Spyware)等。
6.4 恶意代码
weixin_43263566的博客
08-16 797
6.4 恶意代码
恶意代码检测
qq_42646885的博客
12-15 4452
恶意代码定义 恶意代码也称为恶意软件,是对各种敌对和入侵软件的概括性术语。包括各种形式的计算机病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件以及其他的恶意软件。 恶意代码的种类 计算机病毒:指寄居在计算机系统中,在一定条件下被执行会破坏系统、程序的功能和数据,影响系统其他程序和自我复制。 蠕虫:也算是一种病毒,它具有自我复制能力并通过计算和网络的负载,消耗有限资源。 特洛伊木马:也...
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
热门推荐
杨秀璋的专栏
09-15 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。本篇文章,作者将分享两篇论文,机器学习是如何运用到恶意代码攻击中的,并谈谈自己的理解,后续深入研究尝试分享相关实验,目前还是小白一只。基础性文章,希望对初学者有帮助,大神请飘过,谢谢各位看官!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值