几个月前,写了这个“二进制文件静态快速分析工具”,框架已经搭建完成,一直在添砖加瓦之中,加入了一些功能,让一键式成为静态分析的“傻瓜式”自动化操作,还是给大家一睹为快吧。
“目前按照可扩充式进行搭建,一直以来都有将python纳入其中的想法,但考虑到python的库非常讨厌,在不同人的机器上部署程度不同,安装下载吧有时出现下载不下来的情况,处理起来受环境因素影响较大,所以迟迟没有动手将python加入其中。这也制约了这个工具的构建程度。”,这是当时写下的一段设想,到目前为止,依然没有形成一个成熟的想法,因为python实在是太麻烦了,对环境的依赖太大,还是没能想到一个好的方法。
现在这块的做法我认为有两类,“一是公司应该是做成沙箱的样式,底层直接各种Hook、监控网络行为、注册表之类的吧;二是基于二进制恶意样本的深度学习(这个非常感兴趣),将正负样本按1:1的比例转换为图像。将训练好的图像分类模型作为迁移学习的输入,在GPU集群中进行训练。我们同时训练了标准模型和压缩模型,对应不同的客户需求(有无 GPU 环境)。基于二进制文件的深度学习无需沙箱环境,深度学习模型记住的是病毒二进制文件中的有效特征,而不是特征码,所以具有更好的通用性。在实际测试中,即使一个月不更新模型,对新衍生的病毒样本也有较高的识别能力。”
我的理念是,将这个静态分析工具做成Docker,可以吗?