1.背景
病毒分析的過程中,對(duì)于機(jī)器上捕獲到的病毒顷啼,想要知道是否有病毒的變種還遺留在受害主機(jī)上荐虐,這些變種是否過了免殺茶敏。在沙箱網(wǎng)站deepviz上,提供了相似病毒搜索的功能缚俏。我已經(jīng)下載了一些病毒樣本惊搏,利用cuckoo開源沙箱建立了病毒數(shù)據(jù)庫, 將樣本轉(zhuǎn)換為數(shù)據(jù)忧换。因此也想搞一個(gè)病毒相似度搜索恬惯。
之前閱讀《數(shù)學(xué)之美》,里面有如何構(gòu)建一個(gè)簡單的搜索引擎亚茬。病毒搜索也可以按照相同的思路去做酪耳。選取病毒中的一些內(nèi)容作為關(guān)鍵詞,將這些關(guān)鍵詞排序,存在則標(biāo)記為1碗暗,不存在則標(biāo)記為0颈将。 最后對(duì)比兩個(gè)樣本標(biāo)記的比特位計(jì)算相似度。
2. 選取特征
cuckoo中的樣本掃描結(jié)果中有很多病毒描述數(shù)據(jù)言疗,比如訪問了網(wǎng)站晴圾,文件創(chuàng)建,注冊(cè)表創(chuàng)建等噪奄,但是這些數(shù)據(jù)都不好量化死姚。 而動(dòng)態(tài)調(diào)用的API能夠很好的反應(yīng)病毒的行為,并且易于量化勤篮。
不停的增加樣本數(shù)量都毒,提取API進(jìn)行統(tǒng)計(jì),最后常用的API穩(wěn)定在280左右碰缔。
3. 計(jì)算樣本描述向量
比如API排序?yàn)?br>
<pre>
GetUserNameExW
RtlCompressBuffer
NtOpenSection
GetVolumePathNameW
GetForegroundWindow
RtlDecompressFragment
</pre>
樣本1中出現(xiàn)API GetUserNameExW账劲,GetVolumePathNameW 則描述向量為100100
樣本2中出現(xiàn)API RtlCompressBuffer,GetVolumePathNameW 描述向量為010100
4. 計(jì)算相似度
如上樣本1金抡,樣本2的相似度計(jì)算如下
- 將兩個(gè)值進(jìn)行異或: bxor = 100100 xor 010100 = 110000
- 將兩個(gè)值按位或: bor = 100100 or 010100 = 110100
- 計(jì)算bxor中出現(xiàn)1的個(gè)數(shù) nxor = 2
- 計(jì)算bor中出現(xiàn)1的個(gè)數(shù) nor = 3
- 計(jì)算相似度 = 1-xnxor/nor = 33.33%
即計(jì)算兩個(gè)樣本api出現(xiàn)的總個(gè)數(shù)(去重)瀑焦,然后計(jì)算不同API的個(gè)數(shù)。計(jì)算不同api占比竟终。
5. 逐個(gè)對(duì)比蝠猬,排序取出前幾個(gè)
結(jié)果類似如下
<pre>
(u'6b446db3949e46bd72774b28cf258287', 1.0)
(u'2faba1514a830a7b69acd0b7faed33e2', 1.0)
(u'9ffced7a445a7417994040cc071ece83', 1.0)
(u'5c87fb7c80335b6e21b8f47d7a6f3709', 1.0)
(u'0beb86a027950cbacf7bc41e2c03fd34', 1.0)
(u'ed67681da5338620c30ed2a38c5f4746', 0.9811320754716981)
(u'ee712781d9badcb958a9b745214a196b', 0.9811320754716981)
</pre>
