第4回マルウェア解析勉強会( #malwat )のつぶやきまとめ
2013/2/23(土)に開催された「第4回マルウェア解析勉強会」(#malwat)のつぶやきをまとめました。
詳細はこちら。
「第4回マルウェア解析勉強会」
http://atnd.org/events/35879
- CybernationLife
- 6444
- 0
- 3
- 6
NAKATSURU You
@you0708
このあたり(androguard)の Diffing はどうなのかな? #malwat / Similarity - elsim - Elements Similarities - Google Project Hosting http://t.co/YV2AxzHLtb
2013-02-23 14:50:12
てきとう
@tkito
比較その2 ちょっと似てるマルウェアEnesoluty。DEXのdiff取るとほぼ完全に不一致。ssdeepでは29。まるで類似していない。 #malwat
2013-02-23 14:53:10
ǝɟıluoıʇɐuɹǝqʎɔ
@CybernationLife
工夫:Instructionだけを取り出して足し合わせて類似度を比較したら!? #malwat
2013-02-23 14:55:47
てきとう
@tkito
DEXからエッセンス(instruction部分)を抽出してやってみた。URLが違うだけのものは100%一致、ちょっと似てるやつはssdeepで60くらい。 #malwat
2013-02-23 14:55:47
ǝɟıluoıʇɐuɹǝqʎɔ
@CybernationLife
まとめ:マルウェアをssdeepで比較。DEXそのままはあまり意味ない。命令列だけを取り出せば類似度は上がる。 #malwat
2013-02-23 14:58:47
4y4$3
@data_head
NCD (NormalizedCompressionDistance) 。類似したものなら圧縮した結果も類似する…? #malwat
2013-02-23 14:59:16