论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
Web安全
[649] 2018-08-24_Membrane通过内存分页分析检测恶意代码加载的后验检测
文档创建者:
s7ckTeam
浏览次数:
0
最后更新:
2025-01-16
Web安全
0 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-56
6万
主题
-6万
回帖
-56
积分
管理员
积分
-56
发消息
2018-08-24_Membrane通过内存分页分析检测恶意代码加载的后验检测
M
e
m
b
r
a
n
e
:
通
过
内
存
分
页
分
析
检
测
恶
意
代
码
加
载
的
后
验
检
测
A
r
k
T
e
a
m
2
0
1
8
-
0
8
-
2
4
作
者
:
{
D
o
r
i
s
}
@
A
r
k
T
e
a
m
原
文
作
者
:
G
P
é
k
,
Z
L
á
z
á
r
,
Z
V
á
r
n
a
g
y
,
M
F
é
l
e
g
y
h
á
z
i
,
L
B
u
t
t
y
á
n
原
文
题
目
:
M
e
m
b
r
a
n
e
:
A
P
o
s
t
e
r
i
o
r
i
D
e
t
e
c
t
i
o
n
o
f
M
a
l
i
c
i
o
u
s
C
o
d
e
L
o
a
d
i
n
g
b
y
M
e
m
o
r
y
P
a
g
i
n
g
A
n
a
l
y
s
i
s
原
文
来
源
:
E
u
r
o
p
e
a
n
S
y
m
p
o
s
i
u
m
o
n
R
e
s
e
a
r
c
h
i
n
C
o
m
p
u
t
e
r
S
e
c
u
r
i
t
y
,
2
0
1
6
:
1
9
9
-
2
1
6
恶
意
软
件
可
以
使
用
各
种
方
法
来
控
制
系
统
并
隐
藏
其
存
在
。
由
于
其
多
功
能
性
,
代
码
加
载
通
常
被
当
代
恶
意
软
件
使
用
,
也
是
恶
意
软
件
用
于
实
现
持
久
性
的
关
键
技
术
之
一
。
当
恶
意
软
件
添
加
或
替
换
现
有
代
码
的
功
能
以
执
行
其
自
己
的
组
件
时
,
就
会
发
生
代
码
加
载
。
当
前
存
储
器
取
证
技
术
的
最
大
问
题
之
一
是
它
们
仅
利
用
在
获
取
时
O
S
主
动
使
用
的
存
储
器
位
置
。
也
就
是
说
,
如
果
在
抓
取
内
存
时
恶
意
软
件
或
其
中
的
一
部
分
处
于
非
活
动
状
态
,
则
有
关
代
码
加
载
的
重
要
信
息
可
能
会
丢
失
。
此
外
,
W
i
n
d
o
w
s
的
丰
富
功
能
集
允
许
不
法
分
子
构
建
独
特
的
代
码
加
载
技
术
,
因
此
它
仍
然
是
一
个
威
胁
。
该
文
中
探
讨
了
W
i
n
d
o
w
s
内
存
管
理
的
领
域
,
系
统
地
识
别
关
键
的
分
页
状
态
,
并
在
这
些
分
页
状
态
的
基
础
上
构
建
,
以
检
测
系
统
成
功
破
坏
后
的
恶
意
行
为
。
该
文
设
计
并
实
现
了
M
e
m
b
r
a
n
e
,
这
是
一
种
基
于
异
常
的
内
存
取
证
工
具
,
用
于
检
测
恶
意
软
件
的
代
码
加
载
攻
击
。
其
结
果
表
明
,
在
大
多
数
情
况
下
,
该
工
具
可
以
检
测
到
加
载
恶
意
软
件
行
为
的
代
码
,
成
功
率
为
8
6
-
9
8
%
,
包
括
高
级
针
对
性
攻
击
。
该
方
法
足
够
通
用
,
因
此
可
以
显
着
提
高
攻
击
者
保
持
隐
身
的
限
制
并
持
续
很
长
一
段
时
间
。
实
施
过
程
实
施
过
程
:
首
先
,
选
择
分
页
状
态
的
关
键
特
征
,
并
训
练
随
机
森
林
分
类
器
来
检
测
代
码
加
载
行
为
。
稍
后
评
估
和
过
滤
这
些
候
选
特
征
以
选
择
适
合
于
检
测
代
码
加
载
的
最
相
关
特
征
。
在
测
试
阶
段
,
重
复
训
练
阶
段
,
但
仅
使
用
所
选
特
征
对
样
本
进
行
分
类
(
即
,
检
测
为
恶
意
或
非
恶
意
)
。
特
征
创
建
特
征
创
建
:
首
先
使
用
V
o
l
a
t
i
l
i
t
y
本
地
打
开
内
存
快
照
文
件
(
即
.
v
m
s
n
)
。
然
后
,
通
过
迭
代
E
P
R
O
C
E
S
S
内
核
结
构
来
定
位
运
行
进
程
的
V
a
d
R
o
o
t
值
。
V
a
d
R
o
o
t
存
储
进
程
V
A
D
树
的
虚
拟
地
址
。
此
时
,
通
过
定
位
V
A
D
条
目
来
遍
历
V
A
D
树
,
V
A
D
条
目
描
述
属
于
进
程
虚
拟
地
址
空
间
的
所
有
有
效
虚
拟
地
址
。
之
后
需
要
通
过
将
它
们
切
成
页
面
大
小
的
缓
冲
区
来
解
析
所
有
这
些
虚
拟
地
址
。
下
一
步
,
修
改
了
V
o
l
a
t
i
l
i
t
y
的
内
部
地
址
转
换
过
程
,
如
下
所
示
。
每
当
V
o
l
a
t
i
l
i
t
y
检
索
到
新
的
进
程
虚
拟
地
址
时
,
它
就
会
通
过
遍
历
进
程
页
表
来
开
始
解
析
地
址
。
与
硬
件
M
M
U
类
似
,
如
果
所
有
页
表
条
目
(
例
如
,
P
D
E
、
P
T
E
)
都
有
效
,
则
它
返
回
相
应
的
物
理
地
址
。
如
果
遇
到
无
效
条
目
(
例
如
,
软
件
P
T
E
)
,
则
会
引
发
异
常
或
返
回
零
值
。
因
此
,
必
须
在
这
里
实
现
软
件
M
M
U
以
检
索
确
切
的
分
页
条
目
类
型
。
为
此
,
使
用
V
A
D
树
解
析
无
效
条
目
,
如
图
1
所
示
。
图
1
检
测
代
码
加
载
:
检
测
代
码
加
载
:
在
选
择
突
出
特
征
后
,
使
用
随
机
森
林
分
类
来
检
测
代
码
加
载
。
随
机
森
林
是
一
个
随
机
分
裂
的
决
策
树
。
如
图
2
所
示
,
可
以
用
这
种
方
法
收
集
树
的
分
支
,
通
过
树
分
支
投
票
数
来
对
给
定
的
样
本
进
行
分
类
。
最
初
,
遵
循
图
1
中
所
示
的
F
l
a
m
e
恶
意
软
件
执
行
所
获
得
的
提
示
。
首
先
拍
摄
了
受
恶
意
软
件
感
染
的
V
M
的
单
个
快
照
,
看
看
是
否
检
测
到
了
在
之
前
研
究
(
文
中
4
.
3
部
分
)
中
发
现
的
一
些
功
能
。
然
后
,
定
期
从
同
一
受
感
染
的
V
M
创
建
多
个
快
照
,
以
详
细
了
解
代
码
加
载
攻
击
如
何
修
改
分
页
状
态
的
数
量
以
及
操
作
系
统
如
何
随
时
间
操
纵
它
们
。
执
行
此
测
量
有
多
种
原
因
。
首
先
,
单
个
快
照
可
能
错
过
执
行
停
止
恶
意
软
件
的
激
活
,
该
恶
意
软
件
将
其
寄
生
行
为
推
迟
到
特
定
事
件
发
生
(
例
如
,
对
于
D
u
q
u
没
有
键
盘
按
压
5
分
钟
)
。
其
次
,
恶
意
软
件
可
以
检
索
更
多
组
件
并
将
其
加
载
到
其
他
系
统
进
程
中
。
只
有
在
重
复
拍
摄
快
照
时
才
能
检
测
到
此
行
为
。
图
2
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
Web安全