SEMA：一款基于符号执行的恶意软件分析工具

文章预览

关于SEMA SEMA是一款基于符号执行的恶意软件分析工具，该工具可以帮助广大研究人员轻松执行恶意软件分析任务。 SEMA 基于 angr，而angr则一种用于提取 API 调用的符号执行引擎。SEMA扩展了 ANGR，使用基于系统调用依赖关系图 (SCDG) 创建代表性签名的策略，这些 SCDG 可用于机器学习模块进行分类/检测。 工具架构 SEMA的工作原理如下： 1、收集来自不同恶意软件家族的标记二进制文件集合，并将其用作工具链的输入。 2、Angr是一个符号执行框架，用于以符号方式执行二进制文件并提取执行痕迹。为此，开发了不同的启发式方法来优化符号执行。 3、使用 Angr 提取与一个二进制文件相对应的多个执行跟踪（即使用的 API 调用及其参数），并使用多个图启发式方法收集在一起以构建 SCDG。 4、然后将这些得到的 SCDG 用作图形挖掘的输入，以提取同一家族的 SCDG ………………………………