NFsec Logo

Gdzie entropia tam szkodliwe oprogramowanie

24/04/2020 w Bezpieczeństwo Możliwość komentowania Gdzie entropia tam szkodliwe oprogramowanie została wyłączona

E

ntropia może być wykorzystywana jako miara stopnia losowości. Wiele plików wykonywalnych złośliwego oprogramowania jest spakowana, aby uniknąć wykrycia i utrudnić inżynierię wsteczną (ang. reverse engineering). Twórcy szkodliwego oprogramowania często wykorzystują pakowanie lub zaciemnianie, aby utrudnić wykrycie lub analizę plików. Większość standardowych plików binarnych systemu Linux nie jest spakowanych, ponieważ nie próbują ukryć tego, czym są. Wyszukiwanie plików wykonywalnych o wysokiej entropii to dobry sposób na znalezienie programów, które mogą być złośliwe. Dla danych binarnych wskaźnik 0.0 określa nielosowość, a 8.0 pokazuje zupełną losowość. Dobre szyfrowanie wygląda jak losowy biały szum i będzie bliskie wskaźnika 8.0. Dobra kompresja usuwa zbędne dane sprawiając, że wydają się bardziej losowe niż gdyby kompresja nie miała miejsca i zwykle wynoszą 7.7 lub więcej.
[ czytaj całość… ]

Wykrywanie adresu IP o danej ilości odwiedzin na stronie WWW

13/10/2012 w CmdLineFu Możliwość komentowania Wykrywanie adresu IP o danej ilości odwiedzin na stronie WWW została wyłączona

Polecenie wyodrębnia z dziennika serwera WWW adres IP, który więcej niż 500 razy odnotował swoją aktywność:

for ip in `cat access.log | cut -d ' ' -f 1 | sort | uniq`; \
do { count=`grep ^$ip access.log | wc -l`; \
if [[ "$count" -gt "500" ]]; then echo "$count: $ip"; fi }; done