From 4bbe8ea62f5a39e83331166768aab604775d0cc7 Mon Sep 17 00:00:00 2001 From: ccyj <2384899431@qq.com> Date: Sun, 5 May 2024 20:12:43 +0800 Subject: [PATCH 1/4] =?UTF-8?q?doc=EF=BC=9A=E5=A2=9E=E5=8A=A0=E6=A3=80?= =?UTF-8?q?=E6=B5=8BPython=E5=AF=B9=E5=85=B6=E4=BB=96=E8=AF=AD=E8=A8=80?= =?UTF-8?q?=E7=9A=84=E5=B0=81=E8=A3=85?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- docs/idea.md | 15 +++++++++++++++ 1 file changed, 15 insertions(+) diff --git a/docs/idea.md b/docs/idea.md index b018920..668395a 100644 --- a/docs/idea.md +++ b/docs/idea.md @@ -8,6 +8,10 @@ 参考项目: [https://github.com/SonarSource/sonarqube] +检查源代码的语法和关键词。通过这种方式,可以发现是否存在与其他语言的交互,比如调用外部命令、使用其他语言的扩展模块、与其他语言的接口交互等。 + +实现方法:可以使用Python代码解析库(如ast模块)来分析语法树,并检查特定的代码模式或结构;开发脚本来搜索Python代码中常用于与其他语言交互的关键词和函数,例如ctypes、subprocess、os.system等 + ## 控制流分析 通过分析程序的控制流(即程序中各个操作的执行顺序),可以检测到异常的控制流路径,这些路径可能是后门的迹象。 @@ -22,6 +26,10 @@ 这个网站可以搜索依赖中是否存在漏洞: [https://security.snyk.io/package/pip/] +分析代码库中的依赖关系,查找是否导入了与其他语言交互相关的模块或库 + +实施策略:开发脚本进行依赖库对比匹配 + ## 异常行为检测 通过定义“正常”代码行为的基线,可以标识出异常行为,这些异常行为可能指示着后门的存在。 @@ -33,3 +41,10 @@ 使用NLP技术来训练机器学习模型,以自动从大量代码中学习和识别异常或潜在的后门模式。 开发方法:采用深度学习框架如TensorFlow或PyTorch,结合NLP处理工具,训练模型识别代码中的异常行为。 + +## 动态代码执行监控 + +在Python代码执行时,监视程序的行为并记录其与其他语言的交互。 + +实现方法:通过在代码执行过程中动态检查导入的模块、调用的函数以及执行的系统调用来实现。使用Python的调试器或操作系统级别的工具(如strace或ltrace)可以帮助捕获这些信息。 + From 3c7e5f4c3da3bc2db35e6ac181a1530edf3c822c Mon Sep 17 00:00:00 2001 From: ccyj <2384899431@qq.com> Date: Sat, 11 May 2024 21:37:35 +0800 Subject: [PATCH 2/4] =?UTF-8?q?doc=EF=BC=9A=E5=A2=9E=E5=8A=A0=E6=A3=80?= =?UTF-8?q?=E6=B5=8BPython=E5=AF=B9=E5=85=B6=E4=BB=96=E8=AF=AD=E8=A8=80?= =?UTF-8?q?=E7=9A=84=E5=B0=81=E8=A3=85?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- docs/idea.md | 4 ---- 1 file changed, 4 deletions(-) diff --git a/docs/idea.md b/docs/idea.md index 668395a..1e7f329 100644 --- a/docs/idea.md +++ b/docs/idea.md @@ -42,9 +42,5 @@ 开发方法:采用深度学习框架如TensorFlow或PyTorch,结合NLP处理工具,训练模型识别代码中的异常行为。 -## 动态代码执行监控 -在Python代码执行时,监视程序的行为并记录其与其他语言的交互。 - -实现方法:通过在代码执行过程中动态检查导入的模块、调用的函数以及执行的系统调用来实现。使用Python的调试器或操作系统级别的工具(如strace或ltrace)可以帮助捕获这些信息。 From 24206b13afe0cac30522f19d7e6930d64df658ac Mon Sep 17 00:00:00 2001 From: sangge-redmi <2251250136@qq.com> Date: Tue, 14 May 2024 17:49:28 +0800 Subject: [PATCH 3/4] feat: add git lfs --- .gitattributes | 1 + 1 file changed, 1 insertion(+) create mode 100644 .gitattributes diff --git a/.gitattributes b/.gitattributes new file mode 100644 index 0000000..0a3d8c2 --- /dev/null +++ b/.gitattributes @@ -0,0 +1 @@ +*.webp filter=lfs diff=lfs merge=lfs -text From 3e0dd66d31155c24f1e8994ed21997d7211b3514 Mon Sep 17 00:00:00 2001 From: sangge-redmi <2251250136@qq.com> Date: Tue, 14 May 2024 17:50:16 +0800 Subject: [PATCH 4/4] doc: add project's banner --- README.md | 1 + banner.webp | 3 +++ 2 files changed, 4 insertions(+) create mode 100644 banner.webp diff --git a/README.md b/README.md index 7507584..1bb337d 100644 --- a/README.md +++ b/README.md @@ -1,5 +1,6 @@ # BackDoorBuster +![BackDoorBuster Banner](./banner.webp) ## 项目背景 随着网络安全威胁的增加,恶意软件和后门的检测成为了保护个人和组织数据安全的重要任务。后门通常被隐藏在合法软件中,给黑客提供远程控制目标系统的能力。本项目旨在开发一个工具,能够有效识别和评估潜在的后门风险。 diff --git a/banner.webp b/banner.webp new file mode 100644 index 0000000..bac8be2 --- /dev/null +++ b/banner.webp @@ -0,0 +1,3 @@ +version https://git-lfs.github.com/spec/v1 +oid sha256:2a0c2858095a5d08456c1b933cc4322d43516f0864091da4150444ea148c5d9c +size 490036