Pimflo：基于过程解释的恶意函数定位方法

摘要： 恶意软件的关键模块定位是逆向工程中的重要环节，然而目前大多数研究集中在判别程序是否恶意，少有研究对关键恶意模块进行定位，并且存在自动化定位难度高、定位过程难解释的问题.为此，本文提出了基于过程解释的恶意函数定位方法 Pimflo，从具体的内存信息出发进行恶意识别和定位. Pimflo利用动态沙箱对目标二进制进行内存取证，基于签名技术识别可疑行为，追溯其相关的进程调用和堆栈信息.... （共9页）