基于序列比对的勒索病毒同源性分析 被引量：7

1

作者 龚琪 曹金璇 芦天亮 《计算机与现代化》 2018年第2期1-5,共5页

勒索病毒近年来数量呈爆发式增长,但其中真正的新型家族并不多,多数为已有家族变种。通过研究恶意代码行为特征,提出一种基于序列比对的同源性分析方法。使用沙箱提取勒索病毒动态行为特征,抽取API调用类别,并进行编码、去重,结合序列... 勒索病毒近年来数量呈爆发式增长,但其中真正的新型家族并不多,多数为已有家族变种。通过研究恶意代码行为特征,提出一种基于序列比对的同源性分析方法。使用沙箱提取勒索病毒动态行为特征,抽取API调用类别,并进行编码、去重,结合序列比对算法计算不同恶意代码之间的相似性,从而分析同源性。数据集选取6类勒索家族及其变种。实验结果表明该方法能较好地分析勒索病毒同源性,并能很好地区分正常软件和勒索病毒。 展开更多

关键词 勒索软件 动态检测 沙箱 api序列 序列比对

下载PDF 职称材料

基于混合特征的深度自编码器的恶意软件家族分类 被引量：7

2

作者 谭杨 刘嘉勇 张磊 《信息网络安全》 CSCD 北大核心 2020年第12期72-82,共11页

恶意代码作者通常会不断演化软件版本,形成恶意软件家族,现有的恶意软件家族分类方法,在特征选择的鲁棒性和分类算法的有效性、准确性方面还有待改进。为此,文章提出一种基于混合特征的深度自动编码的恶意软件分类方法。首先,通过提取... 恶意代码作者通常会不断演化软件版本,形成恶意软件家族,现有的恶意软件家族分类方法,在特征选择的鲁棒性和分类算法的有效性、准确性方面还有待改进。为此,文章提出一种基于混合特征的深度自动编码的恶意软件分类方法。首先,通过提取恶意样本的动态API序列特征和静态字节熵特征作为混合特征,可以获取恶意样本的全局结构;然后,利用深度自编码器对高维特征进行降维处理;最后,将获得的低维特征输入到极端梯度提升(eXtreme Gradient Boosting,XGBoost)算法分类器中,获得恶意软件的家族分类。实验结果表明,该方法可以正确、有效地区分不同恶意软件家族,分类的微平均AUC(Micro—average Area Under Curve)达到98.3%,宏平均AUC(Macro—average Area Under Curve)达到97.9%。 展开更多

关键词 深度自编码器 恶意代码 XGBoost api序列 字节熵

下载PDF 职称材料

面向行为多样期的挖矿恶意软件早期检测方法 被引量：2

3

作者 曹传博 郭春 +2 位作者 申国伟 崔允贺 平源 《电子学报》 EI CAS CSCD 北大核心 2023年第7期1850-1858,共9页

挖矿恶意软件是一种隐匿在受害主机中,在未经用户许可的情况下使用系统资源挖掘加密货币的恶意软件,其不仅影响计算机系统的正常运行也会危害系统安全.目前基于动态分析的挖矿恶意软件检测方法主要以挖矿恶意软件的工作量证明行为为检... 挖矿恶意软件是一种隐匿在受害主机中,在未经用户许可的情况下使用系统资源挖掘加密货币的恶意软件,其不仅影响计算机系统的正常运行也会危害系统安全.目前基于动态分析的挖矿恶意软件检测方法主要以挖矿恶意软件的工作量证明行为为检测对象,难以实现对此类软件的及时检测.针对上述问题,通过分析挖矿恶意软件的运行过程,发现挖矿恶意软件在建立网络连接前行为多样,由此提出“挖矿软件行为多样期(Behavioral Diversity Period of Cryptominer,BDP)”的概念并进一步提出面向行为多样期的挖矿恶意软件早期检测方法(Cryptomining Malware Early Detection Method in Behavioral Diversity Period,CEDMB). CEDMB使用n-gram模型和TF-IDF(Term Frequency-Inverse Document Frequency)算法从BDP内的API(Application Programming Interface)序列中提取特征以训练检测模型.实验结果显示,CEDMB使用随机森林算法时可以在软件开始运行后10 s内以96.55%的F1-score值判别其是良性软件还是挖矿恶意软件. 展开更多

关键词 挖矿恶意软件 动态分析 早期检测 随机森林 api序列

下载PDF 职称材料

基于行为特征的PowerShell恶意代码检测模型

4

作者 雷鑫焱 高见 王凯悦 《信息技术与信息化》 2024年第4期58-61,共4页

随着网络攻击技术的发展,PowerShell恶意代码被广泛应用于无文件攻击中。为了有效检测PowerShell恶意代码,提出一种基于行为特征的PowerShell恶意代码检测模型。首先,通过搭建CAPE沙箱运行分析PowerShell脚本提取API序列。随后,使用一... 随着网络攻击技术的发展,PowerShell恶意代码被广泛应用于无文件攻击中。为了有效检测PowerShell恶意代码,提出一种基于行为特征的PowerShell恶意代码检测模型。首先,通过搭建CAPE沙箱运行分析PowerShell脚本提取API序列。随后,使用一维卷积层提取获取API序列的短距离依赖关系,在应用Bi-LSTM获取API序列之间的时序依赖关系后,利用Transformer编码器捕获序列间的长距离依赖和全局关系。最后,使用全连接层实现恶意性检测。实验结果表明,模型能够有效检测PowerShell恶意代码。 展开更多

关键词 POWERSHELL 恶意代码检测 动态分析 api序列 深度学习

下载PDF 职称材料

SEMBeF:一种基于分片循环神经网络的敏感高效的恶意代码行为检测框架 被引量：4

5

作者 詹静 范雪 +1 位作者 刘一帆 张茜 《信息安全学报》 CSCD 2019年第6期67-79,共13页

词向量和循环神经网络(Recurrent Neural Network,RNN)能够识别语义和时序信息,在自然语言识别方面中取得了巨大成功。同时,代码运行时产生的API调用序列也反映了代码的真实意图,因此我们将之应用于恶意代码识别中,期望在取得较高正确... 词向量和循环神经网络(Recurrent Neural Network,RNN)能够识别语义和时序信息,在自然语言识别方面中取得了巨大成功。同时,代码运行时产生的API调用序列也反映了代码的真实意图,因此我们将之应用于恶意代码识别中,期望在取得较高正确率的同时减少人工提取和分析代码特征工作。然而仍然存在三个问题:1)不少恶意代码故意通过随机混合调用敏感API和非敏感API破坏正常的上下文,对这两种API同等对待可能产生漏报;2)为尽可能全面收集代码行为,代码运行期间产生的API序列长度较长,这将导致RNN学习时间过长;3)经典RNN常用的softmax分类函数泛化能力不强,准确率有待提高。为了解决上述问题,本文提出了一种基于分片RNN(Sliced Recurrent Neural Network,SRNN)的敏感高效的恶意代码行为检测架构SEMBeF。在SEMBeF中,我们提出了一种安全敏感API权重增强的敏感词向量算法,使得代码表示结果既包含上下文信息又包含安全敏感权重信息;我们还提出了一种SGRU-SVM网络结构,通过并行计算大幅降低了因代码API调用序列过长引起的训练时间过长的问题,提高了检测正确率;最后针对样本平衡和网络模型超参数选择问题进行了优化,进一步提高了检测正确率。本文还实现了SEMBeF验证系统,实验表明,与其他基于经典词向量和RNN的深度学习方法以及常用的机器学习方法相比,SEMBeF不仅检测正确率最高,训练效率也得到了显著提升。其中,检测正确率和训练时间分别为99.40%和210分钟,与传统RNN相比,正确率提高了0.48%,训练时间下降了96.6%。 展开更多

关键词 恶意代码行为检测 api序列 敏感词向量模型 分片循环神经网络(Sliced Recurrent Neural Network SRNN)

下载PDF 职称材料

基于Win32 API和SVM的未知病毒检测方法 被引量：4

6

作者 王晓燕 金聪 谈华永 《计算机工程与应用》 CSCD 北大核心 2011年第7期125-127,134,共4页

提出了一种Windows平台下检测未知病毒的新方法,该方法通过分析PE文件调用的Win32 API序列,用SVM来对划分后k长度的API短序列分类,并通过分析API函数及参数危险程度来提高SVM分类的精确度,从而实现对未知病毒的检测。实验结果表明,该方... 提出了一种Windows平台下检测未知病毒的新方法,该方法通过分析PE文件调用的Win32 API序列,用SVM来对划分后k长度的API短序列分类,并通过分析API函数及参数危险程度来提高SVM分类的精确度,从而实现对未知病毒的检测。实验结果表明,该方法实现的病毒检测系统比只用SVM的系统具有更好的检测效果。 展开更多

关键词 未知病毒 WIN32 api序列 支持向量机

下载PDF 职称材料

基于自相似特性的恶意代码动态分析技术 被引量：3

7

作者 李鹏 王汝传 《南京邮电大学学报（自然科学版）》 北大核心 2012年第3期86-90,共5页

在比较恶意代码的分析技术的基础上,将自相似特性技术引入恶意代码的动态分析中。跟踪同类型的恶意程序,采集API函数的调用序列,提取关键特征信息,得到时间调用序列,并进行归一化处理。通过重新标度权差分析算法、回归方差算法和Higuch... 在比较恶意代码的分析技术的基础上,将自相似特性技术引入恶意代码的动态分析中。跟踪同类型的恶意程序,采集API函数的调用序列,提取关键特征信息,得到时间调用序列,并进行归一化处理。通过重新标度权差分析算法、回归方差算法和Higuchi算法,分别计算程序的Hurst指数,匹配同种恶意程序的自相似性。将恶意程序与正常程序的API调用序列和Hurst指数进行对比实验表明,恶意程序调用API函数与正常程序存在差异,并且同一类型的恶意程序确实具有自相似性,从而能够动态检测出恶意程序。 展开更多

关键词 恶意代码 自相似性 api序列 HURST指数

下载PDF 职称材料

基于关联规则挖掘技术的病毒主动防御系统 被引量：2

8

作者 叶艳芳 叶东毅 《集美大学学报（自然科学版）》 CAS 2006年第2期106-111,共6页

提出了一种在W indows平台下检测变形病毒及未知病毒的新方法———以PE文件调用的W inAPI序列为特征,采用数据挖掘技术(OOA挖掘)来检测变形病毒及未知病毒.实验结果表明,本文所实现DMAV系统具有很好的鲁棒性和智能性,其中OOA规则生成... 提出了一种在W indows平台下检测变形病毒及未知病毒的新方法———以PE文件调用的W inAPI序列为特征,采用数据挖掘技术(OOA挖掘)来检测变形病毒及未知病毒.实验结果表明,本文所实现DMAV系统具有很好的鲁棒性和智能性,其中OOA规则生成器有效地解决了特征提取的优化问题. 展开更多

关键词 变形病毒 PE文件 WIN api序列 数据挖掘 OOA挖掘

下载PDF 职称材料

基于特征序列的恶意代码静态检测技术 被引量：1

9

作者 魏利卓 石春竹 +2 位作者 许凤凯 张慕榕 郝娇 《网络安全与数据治理》 2022年第10期56-64,共9页

近年来,基于机器学习方法的恶意代码检测方法存在着无法自动和高效地提取恶意代码的问题,有些还需要人工对特征进行提取,但是提取的特征没有深层地描述恶意代码行为,存在检测的准确率较低、效率低等缺点。通过对静态恶意代码进行分析,... 近年来,基于机器学习方法的恶意代码检测方法存在着无法自动和高效地提取恶意代码的问题,有些还需要人工对特征进行提取,但是提取的特征没有深层地描述恶意代码行为,存在检测的准确率较低、效率低等缺点。通过对静态恶意代码进行分析,从纹理特征和操作码特征入手,在提取纹理特征过程中,提出一种Simhash处理编译文件转换成灰度图像的方法,生成灰度图像后通过GIST算法和SIFT算法提取全局和局部图像纹理特征,并将全局和局部图像特征进行融合。 展开更多

关键词 恶意代码 深度学习 特征融合 api序列

下载PDF 职称材料

基于注意力机制的Java API序列推荐方法 被引量：2

10

作者 张睿峰 王鹏程 +1 位作者 吴鸣 徐云 《计算机系统应用》 2019年第9期209-214,共6页

软件开发者在软件代码中如何正确使用API和API序列(APIs),是一个需要学习的困难过程.于是面对不熟悉函数库或像Github那样包含大量APIs的代码仓库,需要一些推荐工具或系统辅助开发者的APIs使用.目前我们所知最好的方法DeepApi能较好理... 软件开发者在软件代码中如何正确使用API和API序列(APIs),是一个需要学习的困难过程.于是面对不熟悉函数库或像Github那样包含大量APIs的代码仓库,需要一些推荐工具或系统辅助开发者的APIs使用.目前我们所知最好的方法DeepApi能较好理解用户的查询语义,但基于RNN的模型存在问题:(1)没有考虑每个单词的权重;(2)将输入序列压缩为一个固定长度的向量,损失了较多有用信息;(3)句子过长会使关键信息丢失.为此,本文使用了一种基于注意力机制的模型,可以区分每个单词的重要程度并解决长查询输入所产生的长距离依赖问题.我们从Github上面爬取了649个Java开源项目,经过处理得到有114 364对注释-API序列的训练集.实验结果表明我们的方法比DeepApi方法对于BLUE指标在Top1、Top5、Top10上均能提升约20%以上. 展开更多

关键词 api序列 推荐 注意力机制 深度学习

下载PDF 职称材料

基于API序列和卷积神经网络的恶意代码检测 被引量：2

11

作者 王兴凤 黄琨茗 张文杰 《信息安全研究》 2020年第3期212-219,共8页

卷积神经网络(convolutional neural network,CNN)在诸多领域得到了广泛应用,Windows API序列在结构上存在前后依赖关系,仅仅使用卷积神经网络实现恶意代码检测将忽略词的上下文语义,因此使用了词向量模型来训练API序列,并且融合5个大... 卷积神经网络(convolutional neural network,CNN)在诸多领域得到了广泛应用,Windows API序列在结构上存在前后依赖关系,仅仅使用卷积神经网络实现恶意代码检测将忽略词的上下文语义,因此使用了词向量模型来训练API序列,并且融合5个大小不同的卷积核来弥补传统卷积网络丢失序列时序信息和语法信息的缺点.在Cuckoo沙箱中运行样本文件,提取动态API序列并进行去重处理,预训练得到词向量,输入到多核融合的CNN网络中训练恶意代码检测模型.最后使用测试集测试模型的有效性,测试集的正确率值达到了98.1%,结果表明所提出的方法能有效地检测恶意代码. 展开更多

关键词 恶意代码 api序列 词嵌入 多核融合 卷积神经网络

下载PDF 职称材料

面向Windows Native API调用的入侵防御模型

12

作者 刘卫国 罗站城 《计算机工程与应用》 CSCD 北大核心 2010年第33期108-111,共4页

为了提高基于Windows操作系统的入侵防御系统的检测效率、实时性和智能性,引入嵌入式汇编语言来简化对Win-dows Native API的监控,将数据集划分为一组基本相对独立的变长序列模式,利用粗糙集理论对每种长度的序列集进行简约,建立了较小... 为了提高基于Windows操作系统的入侵防御系统的检测效率、实时性和智能性,引入嵌入式汇编语言来简化对Win-dows Native API的监控,将数据集划分为一组基本相对独立的变长序列模式,利用粗糙集理论对每种长度的序列集进行简约,建立了较小规模的Native API短序列的防御模型,并应用于sendmail调用序列检测。实验结果表明,模型的检测率达到96.08%,误报率降低到1.93%。与其他检测模型的比较结果表明,模型在检测率、实时性和智能性方面有更优的性能。 展开更多

关键词 入侵防御 NATIVE api序列 粗糙集 变长序列

下载PDF 职称材料

基于API序列的恶意软件检测研究

13

作者 于渤 《科技资讯》 2017年第35期11-12,共2页

现如今网络技术发展迅猛,恶意软件也被广泛的传播,并且其复杂程度越来越高,对网络的安全造成了巨大的威胁,从而使用户受到严重损失。因此,本文采用虚拟化分析技术对恶意软件进行分析,通过捕获恶意软件在运行过程中产生的API调用序列,然... 现如今网络技术发展迅猛,恶意软件也被广泛的传播,并且其复杂程度越来越高,对网络的安全造成了巨大的威胁,从而使用户受到严重损失。因此,本文采用虚拟化分析技术对恶意软件进行分析,通过捕获恶意软件在运行过程中产生的API调用序列,然后采用N-Gram和信息增益的思想将捕获到的API序列向量化,最后仿真实验对比正常软件与恶意软件的区别,从而达到有效检测恶意软件的目的。 展开更多

关键词 api序列 N-GRAM 信息增益

下载PDF 职称材料

用于应用软件审计的人工免疫方法研究

14

作者 罗文坚 王煦法 《审计研究》 CSSCI 北大核心 2006年第S1期100-104,共5页

应用软件已成为重要的被审计对象之一。如何针对应用软件的审计需求来设计测试用例,以及如何监视被审计的应用软件的操作过程以寻找其中可能存在的欺诈或舞弊行为的线索,是当前急需研究和解决的难题。针对这两个问题,本文分别给出了基... 应用软件已成为重要的被审计对象之一。如何针对应用软件的审计需求来设计测试用例,以及如何监视被审计的应用软件的操作过程以寻找其中可能存在的欺诈或舞弊行为的线索,是当前急需研究和解决的难题。针对这两个问题,本文分别给出了基于人工免疫的测试用例生成算法及API序列分析算法,为应用软件审计提供了一些新的思路和方法。 展开更多

关键词 应用软件审计 人工免疫 测试用例 api序列

下载PDF 职称材料

基于API序列分析和支持向量机的未知病毒检测 被引量：21

15

作者 王硕 周激流 彭博 《计算机应用》 CSCD 北大核心 2007年第8期1942-1943,共2页

提出了一种在Windows平台下检测未知病毒的新方法,以PE文件调用的WinAPI序列为特征,运用支持向量机分类来检测未知病毒。实验结果表明,所实现BK-50系统对未知病毒具有较好的识别效果。

关键词 未知病毒 api序列分析 支持向量机

下载PDF 职称材料

可解释的基于图嵌入的Android恶意软件自动检测 被引量：4

16

作者 王玉联 鲁鸣鸣 《计算机工程与应用》 CSCD 北大核心 2021年第23期122-128,共7页

Android恶意软件的几何式增长驱动了Android恶意软件自动检测领域的发展。一些工作从可解释性的角度来分析Android恶意软件,通过分析模型获取最大影响的特征,为深度学习模型提供了一定的可解释性。这些方法基于特征相互独立的强假设,仅... Android恶意软件的几何式增长驱动了Android恶意软件自动检测领域的发展。一些工作从可解释性的角度来分析Android恶意软件,通过分析模型获取最大影响的特征,为深度学习模型提供了一定的可解释性。这些方法基于特征相互独立的强假设,仅仅考虑特征各自对模型的影响,而在实际中特征之间总是存在着耦合,仅考虑单个特征对模型的影响,难以反映耦合作用,不能刻画不同类型软件中敏感API的组合模式。为解决该问题,将Android软件刻画成图,并结合图的结构信息和图节点内部的信息提出了一种基于图嵌入的方法来检测Android恶意软件。该方法通过注意力机制学习Android软件的低维稠密嵌入表示。实验结果表明,使用学到的嵌入表示进行恶意软件检测,不仅具有较高的分类精度,还可以通过分析注意力分数较大的路径寻找影响模型决策的模式以及定位恶意行为所涉及的敏感API序列。 展开更多

关键词 Android恶意软件 图嵌入学习 敏感api序列 注意力机制

下载PDF 职称材料

MACSPMD:基于恶意API调用序列模式挖掘的恶意代码检测 被引量：12

17

作者 荣俸萍 方勇 +1 位作者 左政 刘亮 《计算机科学》 CSCD 北大核心 2018年第5期131-138,共8页

基于动态分析的恶意代码检测方法由于能有效对抗恶意代码的多态和代码混淆技术,而且可以检测新的未知恶意代码等,因此得到了研究者的青睐。在这种情况下,恶意代码的编写者通过在恶意代码中嵌入大量反检测功能来逃避现有恶意代码动态检... 基于动态分析的恶意代码检测方法由于能有效对抗恶意代码的多态和代码混淆技术,而且可以检测新的未知恶意代码等,因此得到了研究者的青睐。在这种情况下,恶意代码的编写者通过在恶意代码中嵌入大量反检测功能来逃避现有恶意代码动态检测方法的检测。针对该问题,提出了基于恶意API调用序列模式挖掘的恶意代码检测方法MACSPMD。首先,使用真机模拟恶意代码的实际运行环境来获取文件的动态API调用序列;其次,引入面向目标关联挖掘的概念,以挖掘出能够代表潜在恶意行为模式的恶意API调用序列模式;最后,将挖掘到的恶意API调用序列模式作为异常行为特征进行恶意代码的检测。基于真实数据集的实验结果表明,MACSPMD对未知和逃避型恶意代码进行检测的准确率分别达到了94.55%和97.73%,比其他基于API调用数据的恶意代码检测方法的准确率分别提高了2.47%和2.66%,且挖掘过程消耗的时间更少。因此,MACSPMD能有效检测包括逃避型在内的已知和未知恶意代码。 展开更多

关键词 恶意代码检测 逃避型恶意代码 序列模式挖掘 api调用序列 分类

下载PDF 职称材料

一种改进的基于攻击树的木马分析与检测 被引量：8

18

作者 牛冰茹 刘培玉 段林珊 《计算机应用与软件》 CSCD 北大核心 2014年第3期277-280,330,共5页

木马是一种具有潜在威胁的程序,会对计算机造成不同程度危害,对于木马的检测与防范尤为重要。通过分析程序的PE文件提取API函数调用序列,将其分割为长度为k的短序列与攻击树匹配,再对攻击树各节点计算其发生的概率及恶意性权值,最后综... 木马是一种具有潜在威胁的程序,会对计算机造成不同程度危害,对于木马的检测与防范尤为重要。通过分析程序的PE文件提取API函数调用序列,将其分割为长度为k的短序列与攻击树匹配,再对攻击树各节点计算其发生的概率及恶意性权值,最后综合计算攻击树根节点代表事件的危险指数用来估计该程序与木马的相似程度,从而判断程序为木马程序或者包含木马部分的可能性,以准确地检测和防范木马攻击。 展开更多

关键词 api短序列 攻击树 危险指数 木马检测

下载PDF 职称材料

面向SQLite3数据库API调用序列的并行运行时验证方法 被引量：6

19

作者 于斌 陆旭 +2 位作者 田聪 段振华 张南 《软件学报》 EI CSCD 北大核心 2022年第8期2755-2768,共14页

作为轻量级的高可靠嵌入式数据库,SQLite3已被广泛应用于航空航天和操作系统等多个安全攸关领域,其提供了丰富灵活API函数以支持用户快速实现项目构建.然而,不正确的API函数调用序列会导致严重后果,包括运行错误、内存泄露和程序崩溃等... 作为轻量级的高可靠嵌入式数据库,SQLite3已被广泛应用于航空航天和操作系统等多个安全攸关领域,其提供了丰富灵活API函数以支持用户快速实现项目构建.然而,不正确的API函数调用序列会导致严重后果,包括运行错误、内存泄露和程序崩溃等.为了高效准确地监控SQLite3数据库API函数的正确调用情况,提出了基于多核系统的并行运行时验证方法.该方法首先分析API函数文档,自动挖掘相关API调用序列规约描述,辅助人工将其形式化表达为具有完全正则表达能力的命题投影时序逻辑公式;然后,在程序运行时,采用多任务调度策略,将程序执行产生的状态序列分割并对不同片段并行验证.实验结果表明:该方法能够发现调用SQLite3数据库API函数的30个被验证C程序中,违背API函数调用序列规约的达16个.另外,与传统串行运行时验证方法的对比实验表明,提出的并行运行时验证方法能够有效提高多核系统的验证效率. 展开更多

关键词 SQLITE3 api调用序列 命题投影时序逻辑 并行 运行时验证

下载PDF 职称材料

基于DynamoRIO的恶意代码行为分析 被引量：6

20

作者 王乾 舒辉 +1 位作者 李洋 黄荷洁 《计算机工程》 CAS CSCD 北大核心 2011年第18期139-141,144,共4页

提出一种基于动态二进制分析的恶意代码行为分析方法,以动态二进制分析平台DynamoRIO为基础设计实现恶意代码行为分析的原型系统。实验结果证明,该系统能够全面地获取恶意代码的API调用序列和参数信息,通过对API调用的关联性进行分析,... 提出一种基于动态二进制分析的恶意代码行为分析方法,以动态二进制分析平台DynamoRIO为基础设计实现恶意代码行为分析的原型系统。实验结果证明,该系统能够全面地获取恶意代码的API调用序列和参数信息,通过对API调用的关联性进行分析,准确得到恶意代码在文件、注册表、服务及进程线程操作等方面的行为特征。 展开更多

关键词 恶意代码 DynamoRIO平台 插桩 动态二进制分析 api调用序列 关联分析

下载PDF 职称材料