 |
eXeL@B —› Программирование —› Эвристический анализ |
| Посл.ответ | Сообщение |
|
|
Создано: 23 декабря 2008 18:47 · Поправил: g-l-u-k · Личное сообщение · #1 Всем привет, сразу хочу извиниться, если данный топик не подходит под тематику подфорума. Собственно возник вопрос, что такое эвристический анализ, к примеру Hellspawn как-то сказал, что DiE единственный анализатор, который который для детекта использует эвристику. Собственно вопрос мой таков - Что такое эвристика? Как мне кажется, в случае с такими программами как PEiD, DiE эвристика сводится к совокупности методов декта по сигнатуре, линкеру, секциям и т.д. Скажите я прав или нет?  |
|
|
Создано: 23 декабря 2008 19:16 · Личное сообщение · #2 ru.wikipedia.org/wiki/%D0%AD%D0%B2%D1%80%D0%B8%D1%81%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B5_%D1%81%D0%BA%D0%B0%D0%BD%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5 |
|
|
Создано: 23 декабря 2008 19:17 · Личное сообщение · #3 Azur1d Спасибо конечно, но эту статью я уже давно прочитал |
|
|
Создано: 23 декабря 2008 21:28 · Личное сообщение · #4 Применительно к определению пакеров это например: 1) Определение что файл вобще чем-то упакован (неизвестно чем) по атрибутам секций, их энтропии, положению точки входа 2) Разбить длинную сигнатуру на десяток коротких, и если будут найдены хотябы половина, заявить что упаковано модификацией пакера ХХХ 3) Для пакеров без сигнатур (полиморфных) провести анализ мусора, выделить пакеры, которые используют такой мусоро-движок 4) из списка, полученного в пункте 3, используя методы из пункта 1, выкинуть все лишние пакеры, и выдать более короткий список. 5) да все что угодно, хоть набор используемых АПИ'шек 
|
|
|
Создано: 23 декабря 2008 21:34 · Личное сообщение · #5 DrGolova +1, в DiE есть все перечисленные методы
----- [nice coder and reverser] |
|
|
Создано: 23 декабря 2008 21:42 · Личное сообщение · #6 Hellspawn Так-то оно так, жаль вот только самому нельзя, как бы это выразиться, базы эвристические редактировать. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 23 декабря 2008 22:47 · Личное сообщение · #7 DrGolova Спасибо большое за ответ Hellspawn Думаю у нас тоже будет ^_^ ARCHANGEL А идея не плохая ;) |
|
|
Создано: 23 декабря 2008 22:50 · Поправил: Hellspawn · Личное сообщение · #8 g-l-u-k я бы лучше сначала поработал над гуи
----- [nice coder and reverser] |
|
|
Создано: 23 декабря 2008 23:15 · Личное сообщение · #9 Hellspawn пишет: я бы лучше сначала поработал над гуи Работаем )) |
|
|
Создано: 23 декабря 2008 23:17 · Личное сообщение · #10 глюке мяско 
завтра с утра попробую разобраться с секциями, а щас я сплюнах 
----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 24 декабря 2008 09:09 · Поправил: SVLab · Личное сообщение · #11 DrGolova, Hellspawn А что такое энтропия применительно к программному коду. Т.е., в принципе, ясно, что это степень ужатости, но как она определяется и подсчитывается? ARCHANGEL, спасибо |
|
|
Создано: 24 декабря 2008 09:12 · Личное сообщение · #12 SVLab Учите матчасть. гугл еще не умер. ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 24 декабря 2008 09:47 · Личное сообщение · #13 SVLab Ну, про матчасть Spirit загнул.  Читать надо "Об упаковщиках в последний раз - часть 2" - там всё про энтропию написано.
----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 24 декабря 2008 10:36 · Поправил: coderess · Личное сообщение · #14 Читать надо "Об упаковщиках в последний раз - часть 2" - там всё про энтропию написано. И кстати не правильно написано ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 24 декабря 2008 10:47 · Поправил: borov · Личное сообщение · #15 ARCHANGEL пишет: Ну, про матчасть Spirit загнул Ничего не загнул ARCHANGEL пишет: Читать надо "Об упаковщиках в последний раз - часть 2" - там всё про энтропию написано да, там написано про энтропию, но там какаета стремная формула используется(что-то я такую не помню  )
----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 24 декабря 2008 11:06 · Личное сообщение · #16 coderess пишет: И кстати не правильно написано На самом деле неправильно... Алго то работает как то все равно не так... coderess А как же правильно будет? |
|
|
Создано: 24 декабря 2008 11:26 · Личное сообщение · #17 Enigma wasm.ru/forum/viewtopic.php?id=30023 ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes |
|
|
Создано: 24 декабря 2008 11:28 · Личное сообщение · #18 ARCHANGEL Товарисч, угадайте а как считается глубина вхождений без математики? Вот когда вы пойдете в институт и у вас будет линейка, матан, дискретка, тогда для вас откроется истена, а пока лучше не говорите ничего. ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 24 декабря 2008 11:34 · Личное сообщение · #19 ARCHANGEL пишет: Ну, про матчасть Spirit загнул. Я помню в универе про ента расказывают ... Для не осиливших гугл: revolution.allbest.ru/programming/00032149_0.html ----- Crack your mind, save the planet |
|
|
Создано: 24 декабря 2008 12:03 · Личное сообщение · #20 Spirit Ну, про универ, матан, линейку у т.д. - та всё уже было, надеюсь, больше не повториться А про матчасть - обидеть не хотел, знать, конечно, надо, но можно было и более определённо человеку что-то написать, да и знаний особых не надо, чтоб энтропию посчитать
----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 24 декабря 2008 12:34 · Поправил: SVLab · Личное сообщение · #21 Спасибо всем. Собственно вопрос задавался DrGolova потому, что он просто упомянул энтропию в своем посте, а Hellspawn'у потому, что die показывает "индекс энтропии" пакованного файла, скажем 99, а peid или rdg энтропию того же файла в районе 8. Вот и непонятно, как соотносятся эти 99 и 8. Spirit пишет: Вот когда вы пойдете в институт Styx пишет: Я помню в универе про ента расказывают ... К сожалению, мне это уже не грозит 
g-l-u-k Если считаешь вопрос о энтропии здесь офтопом, извини, что я его поднял. |
|
|
Создано: 24 декабря 2008 13:07 · Личное сообщение · #22 8 (максимум) - потому, что бит в байте 8 (: а под индексом можно понимать что угодно, например %-ы ----- Crack your mind, save the planet |
|
|
Создано: 24 декабря 2008 22:02 · Личное сообщение · #23 Энтропия связана с математическим ожиданием, так что размерности зависят просто от того, в еденицах чего все считалось. |
|
|
Создано: 24 декабря 2008 22:51 · Личное сообщение · #24 Styx Наверное, так и есть конкретно в этих программах (peid и rdg). Но если 8 - это максимум, достижим ли он в принципе? peid иногда выдает ровно 8. DrGolova Из твоего поста я понял только то, насколько разные у нас головы
Не, брешу, вторую часть предложения, по-моему, все-таки понял. 
|
|
|
Создано: 24 декабря 2008 23:12 · Личное сообщение · #25 Там от основания логарифма единицы измерения разные. Фактически можно брать практически любое основание. 8 достижимо, если байты чисто рандомные. |
|
|
Создано: 25 декабря 2008 17:39 · Поправил: SVLab · Личное сообщение · #26 Насколько я понял, подсчитывается количество вхождений каждого из 256 возможных байт и затем высчитывается энтропия. А ровно 8 может получиться, если количества вхождений каждого из байт будут точно равны (в иделе), но учиывая предельность точности вычислений, равенство количеств вхождений может и не быть таким уж равным, а 8 будет получаться. Правильно ли я понял, хотя бы в общих чертах? ARCHANGEL ну, слава богу. |
|
|
Создано: 25 декабря 2008 17:57 · Личное сообщение · #27 SVLab да ----- Stuck to the plan, always think that we would stand up, never ran. |
|
eXeL@B —› Программирование —› Эвристический анализ |
Для печати