XiaoMi-AI文件搜索系统
World File Search System可执行文件
基于遗传算法的图形解释器用于恶意软件分析
摘要 - MALWARE分析师通常更喜欢使用呼叫图,控制流程图(CFGS)和数据流程图(DFGS)的反向工程(DFGS),涉及黑盒深度学习(DL)模型的利用。拟议的研究介绍了一条结构化管道,用于基于逆向工程的分析,与最新方法相比,提供了有希望的结果,并为子图中的恶意代码块提供了高级的可解释性。我们将规范可执行组(CEG)作为便携式可执行文件(PE)文件的新表示形式提出,将句法和语义信息独特地纳入其节点嵌入。同时,Edge具有捕获PE文件的结构方面。这是介绍涉及句法,语义和结构特征的PE文件表示形式的第一项工作,而以前的努力通常仅集中在句法或结构属性上。此外,识别出恶意软件肛门的可解释人工智能(XAI)中现有图形解释方法的局限性,这主要是由于恶意文件的特异性,我们介绍了基于遗传算法的图形解释器(gage)。gage在CEG上运行,努力确定与预测的恶意软件家族相关的精确子图。通过实验和比较,与先前的基准相比,我们提出的管道在模型鲁棒性得分和判别能力方面表现出很大的改善。此外,我们已经成功地使用了对现实世界数据的实用应用,从而产生了有意义的见解和解释性。这项研究提供了一种强大的解决方案,可以通过对恶意软件行为有透明而准确的了解来增强网络安全。此外,所提出的算法专门用于处理基于图的数据,有效解剖复杂的含量和隔离影响的节点。索引术语 - 模式分析,可解释的AI,解释性,图,遗传算法
俄罗斯-乌克兰-网络冲突分析师笔记-tlpwhite.pdf - HHS.gov
HermeticWiper 以可执行文件的形式出现,该文件由颁发给 Hermetica Digital Ltd 的证书签名。它包含 32 位和 64 位驱动程序文件,这些文件由存储在其资源部分中的 Lempel-Ziv 算法压缩。驱动程序文件由颁发给 EaseUS Partition Master 的证书签名。该恶意软件将根据受感染系统的操作系统 (OS) 版本删除相应的文件。驱动程序文件名是使用 Wiper 的进程 ID 生成的。一旦运行,Wiper 将损坏受感染计算机的主引导记录 (MBR),使其无法运行。除了破坏能力之外,Wiper 似乎没有任何其他功能。它利用签名的驱动程序,该驱动程序用于部署针对 Windows 设备的 Wiper,以导致启动失败的方式操纵主引导记录。数字证书由塞浦路斯公司“Hermetica Digital Ltd”颁发。 (注:如果存在,该公司很可能不存在或无法运营)该证书截至 2021 年 4 月有效,但似乎未用于签署任何文件。HermeticWiper 调整其进程令牌权限并启用 SeBackupPrivilege,这使恶意软件能够读取任何文件的访问控制权,而不管访问控制列表中指定了什么。一个恶意软件样本大小为 114KB,其中大约 70% 由资源组成。它滥用良性分区管理驱动程序 empntdrv.sys。HermeticWiper 多次枚举一系列物理驱动器,从 0 到 100。对于每个物理驱动器,都会调用 \\.\EPMNTDRV\ 设备来获取设备号。EPMNTDrv(EaseUS Partition Master NT Driver)是 EaseUS 的 EaseUs Partition Manager 软件平台的一部分。然后,它会重点破坏每个物理驱动器的前 512 个字节,即主引导记录 (MBR),然后枚举所有可能驱动器的分区。HermeticWiper 区分 FAT(文件分配表)和 NTFS(新技术文件系统)分区。对于 FAT 分区,它会调用 Windows API 来获取加密上下文提供程序并生成随机字节,以破坏分区。对于 NTFS,它会在调用 Windows API 来获取加密上下文提供程序并生成随机字节之前解析主文件表。研究还表明,它会修改几个注册表
人工智能在数字取证中的应用以及......
摘要 — 数字调查人员通常很难在数字信息中发现证据。很难确定哪个证据来源与特定调查有关。人们越来越担心的是,数字调查中使用的各种流程、技术和具体程序没有跟上犯罪的发展。因此,犯罪分子利用这些弱点进一步犯罪。在数字取证调查中,人工智能 (AI) 在识别犯罪方面具有不可估量的价值。据观察,基于人工智能的算法在检测风险、预防犯罪活动和预测非法活动方面非常有效。提供客观数据和进行评估是数字取证和数字调查的目标,这将有助于开发一个可以作为法庭证据的合理理论。研究人员和其他当局已经使用现有数据作为法庭证据来定罪一个人。本研究论文旨在使用特定的智能软件代理 (ISA) 开发用于数字调查的多代理框架。代理进行通信以共同解决特定任务,并在每项任务中牢记相同的目标。每个代理中包含的规则和知识取决于调查类型。使用基于案例的推理 (CBR) 技术可以快速有效地对刑事调查进行分类。所提出的框架开发是使用 Java 代理开发框架、Eclipse、Postgres 存储库和代理推理规则引擎实现的。所提出的框架使用 Lone Wolf 图像文件和数据集进行了测试。实验是使用各种 ISA 和 VM 集进行的。哈希集代理的执行时间显著减少。加载代理的结果是浪费了 5% 的时间,因为文件路径代理规定删除 1,510,而时间线代理发现了多个可执行文件。相比之下,使用数字取证工具包对 Lone Wolf 图像文件进行的完整性检查大约需要 48 分钟(2,880 毫秒),而 MADIK 框架在 16 分钟(960 毫秒)内完成了此操作。该框架与 Python 集成,允许进一步集成其他数字取证工具,例如 AccessData Forensic Toolkit (FTK)、Wireshark、Volatility 和 Scapy。
数字取证中优化的恶意软件检测
数字取证中的优化恶意软件检测 SaeedAlmarri 和 Paul Sant 博士 英国卢顿贝德福德郡大学应用计算研究所 英国米尔顿凯恩斯米尔顿凯恩斯大学副院长 摘要 在互联网上,恶意软件是对系统安全的最严重威胁之一。任何系统上的大多数复杂问题都是由恶意软件和垃圾邮件引起的。网络和系统可以被称为僵尸网络的恶意软件访问和破坏,这些恶意软件通过协同攻击破坏其他系统。此类恶意软件使用反取证技术来避免检测和调查。为了防止系统受到此恶意软件的恶意活动的侵害,需要一个新的框架来开发一种优化的恶意软件检测技术。因此,本文介绍了在取证调查中执行恶意软件分析的新方法,并讨论了如何开发这样的框架。关键词 拒绝服务(DOS)、Wireshark、Netstat、TCPView、Sleuth Kit(TSK)、Autopsy、数字取证、恶意软件分析、框架 1. 简介 在过去十年中,检测恶意软件活动的技术有了显著的改进[1]。通过互联网加载和分发可执行文件始终会对系统的整体安全构成风险[2]。恶意软件程序可以通过在无害文件或应用程序中附加隐藏的恶意代码来安装。然后,远程程序员可以激活该代码,以威胁现有系统。根据 Islam 等人关于下载风险的研究[3],在下载的 450,000 多个文件中,约 18% 包含恶意软件程序。他们还调查了不同的代码调查技术是否产生相同的结果。令人惊讶的是,他们发现在许多情况下,取证调查工具无法检测到被感染文件的恶意软件内容。人们投入了大量精力来开发执行稳健计算机取证调查的技术 [6]。这些努力主要集中在收集、分析和保存恶意软件活动的证据,例如,一项关于僵尸网络的研究 [4] 和一项关于可执行间谍软件和客户端蜜罐的研究 [5] 也说明了在客户端和服务器端访问时保护系统的防御机制。[3][6] 中提到的其他报告也侧重于获取大量不同的恶意软件样本,以便研究人员和取证专家了解其性质及其原理。一些现有的工具,如 ERA 清除器、conficker 等,可以执行隐藏和匿名文件并监视其行为。这些工具可保护系统免受与恶意软件相关的所有威胁。根据 Kasama 等人 (2012) 的报告,一个恶意软件就可以危害和感染整个网络系统。因此,保护系统免受恶意代码的侵害可被视为信息安全中最关键的问题之一[6]。
数字取证中优化的恶意软件检测
数字取证中的优化恶意软件检测 SaeedAlmarri 和 Paul Sant 博士 英国贝德福德郡大学应用计算研究所,卢顿,英国 米尔顿凯恩斯大学校园副院长,米尔顿凯恩斯,英国 摘要 在互联网上,恶意软件是对系统安全的最严重威胁之一。任何系统上的大多数复杂问题都是由恶意软件和垃圾邮件引起的。网络和系统可以被称为僵尸网络的恶意软件访问和破坏,这些恶意软件通过协同攻击破坏其他系统。此类恶意软件使用反取证技术来避免检测和调查。为了防止系统受到此恶意软件的恶意活动的侵害,需要一个旨在开发优化恶意软件检测技术的新框架。因此,本文介绍了在取证调查中执行恶意软件分析的新方法,并讨论了如何开发这样的框架。关键词 拒绝服务 (DOS)、Wireshark、Netstat、TCPView、The Sleuth Kit (TSK)、Autopsy、数字取证、恶意软件分析、框架 1。简介 在过去十年中,检测恶意软件活动的技术取得了显著的进步 [1]。通过互联网加载和分发可执行文件始终会对系统的整体安全性构成风险 [2]。可以通过将隐藏的恶意代码附加到无害文件或应用程序中来安装恶意软件程序。然后,远程程序员可以激活该代码,以威胁现有系统。根据 Islam 等人对下载风险的研究 [3],在下载的 450,000 多个文件中,约 18% 包含恶意软件程序。他们还调查了不同的代码调查技术是否产生了相同的结果。令人惊讶的是,他们发现在许多情况下,取证调查工具无法检测到受感染文件的恶意软件内容。人们投入了大量精力来开发执行强大的计算机取证调查的技术 [6]。此类努力主要集中在收集、分析和保存恶意软件活动的证据,例如一项关于僵尸网络的研究 [4] 和一项关于可执行间谍软件和客户端蜜罐的研究 [5] 也说明了在客户端和服务器端访问上保护系统的防御机制。一些现有工具,如 ERA 清除器、conficker 等。可以执行隐藏和匿名文件并监视其行为。[3][6] 中提到的其他报告也专注于获取大量且多样化的恶意软件样本,以便研究人员和取证专家了解其性质及其原理。这些工具可针对与系统中运行的恶意软件相关的所有威胁提供保护。根据 Kasama 等人 (2012) 的报告,单个恶意软件可以危害和感染整个网络系统。因此,保护系统免受有害恶意代码的侵害可被视为信息安全中最关键的问题之一 [6]。