恶意ELF二进制文件相似度比较及可视化

二进制文件相似度比较是检测恶意软件的重要途径，利用待检测软件与系统中已收集的恶意软件的相似度大小，来判定其是否为恶意软件。本文介绍两种可视化的方式，分别来说明恶意ELF文件的相似度关系。一、引言此前笔者曾发表两篇关于蜜罐的文章，在文章中提到蜜罐每天都会收到恶意样本，例如《Cowrie蜜罐的Docker部署过程及Elasticsearch+Kibana可视化》文章中部署的系统，通过其日志可以看到相应下载或上传恶意样本的过程。图1. SSH蜜罐cowrie收到的恶意样本在收到大量的样本之后，需要进行分析来识别样本的具体工作流程，但在数量少的情况下，还能利用IDA pro来进行手动分析，但是数量多了之后，就希望能够将分析的过程自动化。每天都有大量的恶意软件出现，而 ………………………………