امن افزار رایکا

درباره کتاب Correlating Malware and Building Rules:

بخش چهارم کتاب Correlating Malware and Building Rules بر تحلیل همبستگی میان نمونه‌های بدافزار و ایجاد قوانین شناسایی تمرکز دارد. نویسنده با بهره‌گیری از ابزارهایی مانند BinDiff، قابلیت مقایسه کد و داده در سطح توابع، تحلیل گراف‌های فراخوانی (Call Graphs) و گراف جریان کنترل (CFG) را آموزش داده و با معرفی اسکریپت‌های Python، راهکارهایی برای تسریع فرآیند شناسایی شباهت‌ها و تفاوت‌ها ارائه می‌کند. این بخش پایه‌ای برای ایجاد امضاهای YARA و capa در تحلیل تهدیدات پیشرفته است.

خلاصه کتاب Correlating Malware and Building Rules:

این بخش مزایای بررسی شباهت‌ها و تفاوت‌های میان نمونه‌های بدافزار را تشریح می‌کند، از جمله شناسایی واریانت‌های جدید، کشف ویژگی‌های تازه یا حذف‌شده و استفاده از اطلاعات همبستگی برای ایجاد قوانین مؤثر YARA. روش‌هایی همچون محاسبات هش فایل و بخش‌ها، هش‌های فازی (ssdeep)، مقایسه رشته‌ها و توابع وارد شده و تحلیل داده‌های جاسازی‌شده (Embedded Strings) و APIها معرفی می‌شوند. این رویکردها باعث صرفه‌جویی در زمان و افزایش کیفیت تحلیل می‌شوند. کتاب سپس ابزارهای مهمی مانند BinDiff و قابلیت Program Diff در Ghidra را برای مقایسه دقیق در سطح کد و دستورالعمل‌ها معرفی می‌کند. اسکریپت‌های pestats.py و pecompare.py کاربردهای عملی در استخراج و مقایسه داده‌های متنی و کتابخانه‌ها دارند. مثال‌های عملی شامل مقایسه توابع مشابه و غیرمشابه، بررسی جریان کنترل اجرای برنامه و تولید خروجی‌هایی برای ساخت قواعد YARA و capa است.