通过流量取证对恶意软件进行动态行为分析

通过流量取证对恶意软件进行动态行为分析

链接&＃xff1a;https://freddiebarrsmith.com/mastersthesis.pdf

简介内容&＃xff1a;

        主要目的是识别恶意软件行为并对恶意软件进行分类&＃xff0c;基本是从一些恶意软件进行抓包&＃xff0c;然后对这些数据包进行处理分析&＃xff0c;以便于从每个网络流量捕获中提取行为&＃xff0c;然后对恶意软件进行分类。

        我关注的只是文章里的测试样本分类&＃xff0c;非常详细&＃xff0c;可以用来干些别的&＃xff0c;不过里面的每种样本提取方法也值得关注&＃xff0c;没细看&＃xff0c;有兴趣的可以详细看一下。

像下图关注的远控的回连流量中可能存在的恶意行为的一些字段

包括apt的样本也是

感兴趣可以看一下&＃xff0c;今天开isc大会没有详细看&＃xff0c;如果有价值可以再好好研读一二。