研究文章

修改决策树技术Ransomware检测在运行时通过API调用

表3

最相关的特征的分类与描述。

美国没有 属性/功能 描述

1 调试大小 调试检测,而且会占用电脑系统错误。调试代表Debug目录表的大小。通常,Microsoft-executable文件有一个调试目录。因此,许多良性为调试应用程序可能有一个积极的价值大小。
2 DebugRVA(调试相对虚拟地址) 便携式可执行的RVA (PE)头,它的值为0,表示所有表字段未使用,和结构字段必须联合在普通的限制,可能除了调试信息。
3 主要图片版本 这是文件的版本。这个记录是用户定义的,而不是连接到应用程序的任务。许多良性程序有更多的品种和一套大图版本。恶意软件分发0值。
4 MajorOSVersion(主要的操作系统版本) 它是主要的操作系统要求运行. exe文件。
5 ExportRVA(出口相对虚拟地址) RVA(相对虚拟地址)出口顺序表条目。毕业典礼上的位置是虚拟图像的基础。出口地址表导出的数据的位置,入口点,绝对。一个顺序值用于索引出口地址表。
6 出口规模 现在出口记录的大小。只有dll,没有运行时应用程序导出表。投票,这个特性可能是积极的对清洁文件,其中包含许多病毒文件dll和0。
7 IatRVA 这意味着relative-virtual import-address表的地址。这个特性的值是读取4096字节的块和干净的文件和0病毒文件或一个非常大的价值。
8 主要的链接器版本 主要版本链接器在主要生产PE头的文件链接器版本,和资源规模的恶意软件会有时0 PE头的部分。恶意软件有时有0的资源。
9 小链接器版本 小版本链接器产生的文件。
10 数量的部分 的虚拟内存为初始线程的堆栈备用。
11 堆栈大小储备 虚拟内存的数量准备初始线程的堆栈。
12 所有特征 它是一组标志指示的情况下动态链接库(DLL)的初始化函数
13 资源大小 它象征着资源部分的尺寸。一些恶意软件记录可能没有资源。良性的文件可能有更高的资源。
14 定义计算机的体系结构类型。程序只能运行一个系统,监控这种类型。