我想找到某种恶意软件家族的新二进制文件-解压缩后用于后续分析(活动C&C通讯分析)。
是否有二进制文件的数据库,可以在其中编写如下查询:
请给我与使用模糊哈希作为距离度量和输入二进制(或其集合)同源的样本,并然后按看到的日期过滤?
要澄清,样品不使用包装。
#1 楼
恐怕其中大多数数据库都是不公开的,恶意软件分析公司试图将其保留。但是,我建议您看看VirusTotal(有关更多信息,请参见Wikipedia页面)有关它的信息),它可能是在线提供的最齐全的数据库。
如果您要运行自己的服务器,则可能还想看看IRMA(事件响应恶意软件分析)框架。最后,这里是有关在二进制斑点中查找相似性的方法的工具和论文的集合:
sdhash
工具(另请参见此博客文章); ssdeep
工具; BinSlayer:二进制可执行文件的准确比较,作者:Bourquin,King和Robbins,2013年(GitHub项目);
mvHash-一种模糊散列的新方法,由Knut PetterÅstebø撰写,2012年;
对法医相似性哈希的评估,由Vassil Roussev撰写,2011年。
此列表是还远远不够完整,但是我认为这是一个很好的起点...
希望对您有帮助!
#2 楼
VirusTotal具有要匹配的导入哈希:http://blog.virustotal.com/2014/02/virustotal-imphash.html
评论
实际上,imphash(导入哈希)仅对应于可执行文件导入表的哈希。对于使用不寻常的API函数集的软件来说,这是一个很好的签名,但是,如果您仅使用非常常见的API函数,则不会引起注意。比您提供的链接更好,更喜欢此链接(更为详细)。
–恐怖
2014年8月22日12:36
评论
视听公司(和一些安全公司)花费大量资源来创建这些数据库。我知道没有一个公共系统允许您仅使用一个样本(或一组样本)作为输入来搜索同源样本。您可能想根据样本中的字符串进行搜索,如果您无法使用该方法找到任何东西,请与影音行业的朋友联系,看看他们是否可以帮助您找到相关的样本。