forum.opennet.ru

Составление сообщения

Исходное сообщение

"Компания DJI начала публикацию GPL кода, используемого в про..."
Отправлено Аноним, 02-Сен-17 19:37

Кажется, это эвристикой называется. Антивирусы активно применяют подобные алгоритмы, только на уровне исполняемого кода, а не системных вызовов.
Например, какая-то функция делает определённый набор системных вызовов. Он всегда одинаковый. Функция вызывается при инициализации. Если другой процесс будет делать при инициализации такой же набор системных вызовов, то есть вероятность, что это одна и та же функция. То есть, это её "отпечаток". Таких функция может быть много. Даже если они будут вызываться в разном порядке, среднестатистическое количества вызовов на два процессов может оказаться одинаковым (в случае перестановки строк местами в коде).
А если забыть про strace, то иногда часто в код зашиты названия функций (-rdynamic). Сразу можно сказать, что за программа в оригинале была. Даже если названия функция отсутствуют, доступны их адреса. Прогнать через callgrind и проанализировать адреса и порядок их вызова. В программах адреса будут разные, но порядок вызовов останется тот же.
Так что всё это примитивно, разве что много человекочасов требуется на разработку подобных анализаторов.

Исходное сообщение
"Компания DJI начала публикацию GPL кода, используемого в про..." Отправлено Аноним, 02-Сен-17 19:37
Кажется, это эвристикой называется. Антивирусы активно применяют подобные алгоритмы, только на уровне исполняемого кода, а не системных вызовов. Например, какая-то функция делает определённый набор системных вызовов. Он всегда одинаковый. Функция вызывается при инициализации. Если другой процесс будет делать при инициализации такой же набор системных вызовов, то есть вероятность, что это одна и та же функция. То есть, это её "отпечаток". Таких функция может быть много. Даже если они будут вызываться в разном порядке, среднестатистическое количества вызовов на два процессов может оказаться одинаковым (в случае перестановки строк местами в коде). А если забыть про strace, то иногда часто в код зашиты названия функций (-rdynamic). Сразу можно сказать, что за программа в оригинале была. Даже если названия функция отсутствуют, доступны их адреса. Прогнать через callgrind и проанализировать адреса и порядок их вызова. В программах адреса будут разные, но порядок вызовов останется тот же. Так что всё это примитивно, разве что много человекочасов требуется на разработку подобных анализаторов.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Кажется, это эвристикой называется. Антивирусы активно применяют подобные алгоритмы, 
> только на уровне исполняемого кода, а не системных вызовов.

> Например, какая-то функция делает определённый набор системных вызовов. Он всегда одинаковый. 
> Функция вызывается при инициализации. Если другой процесс будет делать при инициализации 
> такой же набор системных вызовов, то есть вероятность, что это одна 
> и та же функция. То есть, это её "отпечаток". Таких функция 
> может быть много. Даже если они будут вызываться в разном порядке, 
> среднестатистическое количества вызовов на два процессов может оказаться одинаковым (в 
> случае перестановки строк местами в коде).

> А если забыть про strace, то иногда часто в код зашиты названия 
> функций (-rdynamic). Сразу можно сказать, что за программа в оригинале была. 
> Даже если названия функция отсутствуют, доступны их адреса. Прогнать через callgrind 
> и проанализировать адреса и порядок их вызова. В программах адреса будут 
> разные, но порядок вызовов останется тот же.

> Так что всё это примитивно, разве что много человекочасов требуется на разработку 
> подобных анализаторов.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру