 |
eXeL@B —› Вопросы новичков —› Принцип работы анализаторов файлов |
| Посл.ответ | Сообщение |
|
|
Создано: 24 июня 2015 10:25 · Личное сообщение · #1 Интересуют алгоритмы анализа файла, определение упаковщиков, компиляторов, типов файлов. Как подсказывает логика, видимо надо искать совпадения байтов, например если по-смещению XXXXX находятся байты 01 10 FF A0, а по-смещению YYYYY - 21 00 00 02, то этой файл был упакован например Aspack 1.0 Но это какой-то ненадежный способ, у любого другого файла могут быть эти байты, детектирование будет не 100% надежным. Может есть какие-то крутые математические способы, типа "фрактальный анализ в трехмерной плоскости Лобачевского" 
 |
|
|
Создано: 24 июня 2015 10:28 · Личное сообщение · #2 все ищется сигнатурно. посмотрите в гугле, часть софта с сорцами (определение компиллеров, крипто алго и т.д) обратите внимание, как ида цепляет флирт сигнатуры.. тот же метод ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... | Сообщение посчитали полезным: jangle |
|
|
Создано: 24 июня 2015 10:55 · Поправил: Coderess · Личное сообщение · #3 jangle Может есть какие-то крутые математические способы, Энтропия Шеннона, даже в моем институте проходили, когда кодил свой анализатор ПЕ файлов реализовывал, исходные коды не сохранил. Можно почитать и ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes | Сообщение посчитали полезным: jangle |
|
|
Создано: 24 июня 2015 11:31 · Поправил: TryAga1n · Личное сообщение · #4 jangle, сорцы DiE открыты, так же есть куча более старых сорцов на разных языках, все прекрасно гуглится. А 100% анализ и даже близко к нему ты никогда не получишь. Вообще для увелечения точности детекта стоит использовать совокупно: Сигнатуру на ОЕП сигнатуры в теле анализ секций энтропию ну и построение графов | Сообщение посчитали полезным: jangle, hors |
|
|
Создано: 24 июня 2015 12:06 · Поправил: jangle · Личное сообщение · #5 Про детектирование понятно. А как собирают базы сигнатур? Некоторые программы могут определять 3-4 тысячи различных типов файлов. Их что вручную собирают или есть какие-то методы автоматического поиска сигнатур для занесения в базу детектора? |
|
|
Создано: 24 июня 2015 12:50 · Личное сообщение · #6 jangle пишет: А как собирают базы сигнатур? Некоторые программы могут определять 3-4 тысячи различных типов файлов. Их что вручную собирают или есть какие-то методы автоматического поиска сигнатур для занесения в базу детектора? Есть инструменты облегчающие работу с составлением базы например вот . Но конечно всё приходится вручную перепроверять. ----- http://ntinfo.biz |
|
|
Создано: 24 июня 2015 13:08 · Личное сообщение · #7 hors, спасибо, прикольная утилита! А кто автор? И есть где-то описание как ей пользоваться? |
|
|
Создано: 24 июня 2015 13:26 · Личное сообщение · #8 TryAga1n пишет: сорцы DiE открыты -> название diesort не настараживает? автор себе работу облегчал.. начинал один, допиливали потом еще несколько человек ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
|
Создано: 24 июня 2015 13:31 · Поправил: hors · Личное сообщение · #9 jangle пишет: И есть где-то описание как ей пользоваться? В папку db кладутся скрипты. Если анализируем PE, то все файлы из папки PE удаляем и создаём там свои скрипты В скриптах указываются критерии отбора файлов. Например: Code:
Будут искаться все файлы с сигнатурой "AABBCCDDEE" в первой секции файла. Описание всех функций здесь Затем указывается папка с коллекцией файлов для сканирования и папка для сохранения результата. Затем отобранные файлы анализируются вручную. ----- http://ntinfo.biz | Сообщение посчитали полезным: jangle |
|
|
Создано: 25 июня 2015 16:34 · Личное сообщение · #10 Фильтр спама в гугле , есть возможность самообучения, можно применять и в сигнатурах----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
eXeL@B —› Вопросы новичков —› Принцип работы анализаторов файлов |
Для печати