【发布时间】:2016-02-05 22:20:00
【问题描述】:
当我在 Cuckoo Sandbox 中提交文件进行分析时,我总是在“Section”下的报告中看到每个部分都有 Entropy 列。
我得到的值是 0、7.91863415033、4.4345104565。
这个熵是什么意思?我尝试在 Google 上搜索任何有关部分熵的信息,但没有找到有用的信息。
【问题讨论】:
标签: sandbox analysis malware entropy
当我在 Cuckoo Sandbox 中提交文件进行分析时,我总是在“Section”下的报告中看到每个部分都有 Entropy 列。
我得到的值是 0、7.91863415033、4.4345104565。
这个熵是什么意思?我尝试在 Google 上搜索任何有关部分熵的信息,但没有找到有用的信息。
【问题讨论】:
标签: sandbox analysis malware entropy
文件的熵是根据它的随机性计算的。换句话说,文件越不可预测,熵值越大。 Cuckoo Sandbox Analysis 报告中的值是通过 Shanon 公式计算的,范围可能在 0 到 8 之间。熵值越接近零,文件相同字节的随机性越小,反之亦然。它有助于在分析样本的恶意活动期间做出决策。熵的高值可能意味着文件被强加密或紧密打包。 欲了解更多信息,请通过以下链接: https://www.talentcookie.com/2016/02/file-entropy-in-malware-analysis/
【讨论】: