详细内容或原文请订阅后点击阅览
使用法学硕士进行恶意软件分析:以正确的方式进行
无
来源:G DATA _恶意软件GPT 5.1 和 Sonnet 4.6 与迷你模型完全不同 - 进行了一些调整。
对于方程编辑器漏洞利用示例,GPT 5.1 需要引导到正确的方向。它尝试提取宏,但最初失败了。 GPT 5.1 指出这是一个异常样本,但无法找到任何恶意的证据。 然而:一旦我告诉它寻找方程式编辑器漏洞,它就成功找到了加载下一阶段的 shellcode,用 Mandiant 的 Speakeasy 模拟它并打印了下一阶段的 URL。
Sonnet 4.6 自动发现这可能与方程编辑器漏洞有关,提供了正确的结论并确定了 shellcode 的位置。 但是,它无法自行提取下一阶段的 URL。 因此,我明确要求 Sonnet 找到下一阶段的 URL - 值得注意的是,这是我因为已经分析了样本而获得的信息。 Sonnet 使用正则表达式在所有提取的文件中搜索网址模式,但结果为空,因为该网址是由 shellcode 动态构建的。 因此,我引导它使用仿真,它立即发挥了作用。
我继续使用一个更困难的样本,花了大约六个小时的“老派苦力”来分析和编写一个通常适用于类似样本的静态解密脚本。 AI 的目标是相同的:弄清楚如何提取和解密文件,然后用 Python 编写解密脚本。 这就是法学硕士让我震惊的地方。
GPT 5.1 和 Sonnet 4.6 均取得成功;但他们只需要 30 分钟即可创建特定于示例的 Python 脚本,而不是 6 小时。 即使我花一个小时验证输出(就像对待任何 LLM 输出一样)并改进脚本以使其能够正常工作,这仍然是一个巨大的改进。这最终让我相信法学硕士是逆向工程师工具库中的一个很好的工具。