Pahatahtlikud proovid

Minu lemmikallikas pahatahtlike proovide jaoks on andmebaas, mille koostasin ise, tõmmates regulaarselt VirusSign pakutavaid tasuta näiteid. Palun ärge nõudke, et need proovid registreerimist nõuaksid, kuid kaasas on tüübi märkimisega aruanded.

Pahatahtlike proovide jaoks ei pruugi olla paremat arhiivi kui VirusTotal. Kui te ei pääse sinna (luure) juurdepääsuks, võite siiski proovida avatud alternatiive, näiteks avatud pahavara.

Üldiselt on hea nimekiri pahatahtlike proovide leidmiseks kohtadest siin: LENNY ZELTSER

Healoomulised proovid

Mis puutub healoomulistesse proovidesse, siis pakun välja healoomuliste käivitatavate failide eraldamise värsketest OS-i installidest. Saate lihtsalt installida sihtmärgi virtuaalsesse masinasse ja hankida skripti nende ekstraktimiseks.

Teine allikas on selliste saitide indekseerimine nagu PortableFreeware. Veenduge, et kontrolliksite, kas käivitatavad failid on sellisel viisil kogutud, et teie keskkonnas töötada.

Võimalikud valepositiivsed tulemused

Enamik pahavaraarhiive märgistab oma proovid erinevate antide pakutava tuvastamissuhte ja siltide põhjal. -tarkvara tooted (nt VirusTotal). Eeldades, et väga madala avastamissuhtega proovid ja üldised märgised on valepositiivsed, on ilmselt parim viis siia minna. Samuti võivad HoneyPots ist kogutud andmed anda suhteliselt kõrgemad valepositiivsed protsendid.

Kasutasin sageli Sysinternals Suite sisalduvaid käivitatavaid faile omamoodi valepositiivsed ”. Need on healoomulised kahendfailid, mis kasutavad süsteemi sisemiste andmete paljastamiseks süsteemilähedasi funktsioone.

Sellisel koodil võtke aega, et hinnata oma andmekogumit ja leida selles peidetud eelarvamused. Paljud praegused uuringud kannatavad kallutatud valimikomplektide ja reprodutseerimatute tulemuste tõttu.

Mõni näidis meie deobususatsiooni alastest töödest leiate aadressilt hxxp: //www.cs.arizona.edu/projects/lynx-project/Samples/ (s / x / t / ). Programmid - Linuxi ja Windowsi binaarfailide kombinatsioon --- on kõik healoomulised (selleks peate võtma sõna :-), kuid kasutage mitmesuguseid tehnikaid, mida pahavara tavaliselt kasutab. Need valimid moodustasid aluse tulemustele, mis on esitatud järgmistes artiklites:

• Yadegari et al , "Generic Approach to Exutable Code Automatic Defobuscation", Proc. IEEE turvalisuse ja privaatsuse sümpoosion , mai 2015. Need koosnevad programmidest, mis on segatud selliste tööriistade abil nagu VMProtect, ExeCryptor ja Themida; ja mitmed, mis kasutavad tagasipöördumisele suunatud programmeerimist.
• Qiu et al , "Tarkvara enesekontrolli summeerivate kaitsete tuvastamine ja mõistmine", Proc. Viies ACM-i andmete ja rakenduste turvalisuse ja privaatsuse konverents (CODASPY), märts 2015. See on programmide kogu, mis kasutab enesekontrolli summeerimisel põhinevat võltsimisvastast rakendamiseks mitmesuguseid tehnikaid, sealhulgas isemodifitseerivat koodi. .

Meil ​​oli varem projekti veebisaidil link nende näidiste juurde, kuid Google otsustas, et levitame pahavara, ja panime nende lingi kõrvale suure punase hoiatuse (rääkige valepositiivsetest) !), nii et lõpuks eemaldasime lingi. See on ka põhjus, miks ülaltoodud link on varjatud "hxxp" -ga.

Mõni tehnika, mille olen ka välja mõelnud, täielikkuse huvides (ma ei aktsepteeri enda vastust):

laadige alla githubist

mõni Github hoidlatel on mitu käivitatavat faili kas vajalike utiliitidena või ehituskoodina. Githubi skannimine GithubDownloaderit kasutavate inimeste jaoks osutus aeglaseks, kuid tõhusaks ning I tulemused on tõenäoliselt healoomulised.

koguge kõik käivitatavad failid / räsi juurdepääsetavatest masinatest

Kuna teen seda oma töö osana, saan paluda IT-osakonnal koguda rässe ja proove mitmest masinast, mis meil kontoris on. See oli hea viis hõlpsalt paljude käivitatavate failide kogumiseks mitme operatsioonisüsteemi versiooni jaoks. Samuti oli võimalus (võib-olla pärast täiendavat uurimist) räsi kogumine ja VT-st allalaadimine.