ベイズでウイルス検出 - 星澤裕二メモセキュリティもみじでの園田さんの発表からヒントを得て、POPFileにPEDUMPの出力を判定させるという実験をしてみた。PEDUMPは、Portable Executable(PE)形式のバイナリファイルに関する情報を出力するツールである。下はPEDUMPでメモ帳(NOTEPAD.EXE)のファイルの内容を表示させたところ。 PEDUMPの出力をメールに貼り付けて送信し、POPFileにウイルスかどうかの判定をしてもらう。トレーニングのために\WINDOWS\system32や\Program Files\Microsoft Office\OFFICE11フォルダ内のexeやdllのファイル情報も送っている。今のところ、80%以上の精度で識別できている。特に亜種の場合は間違いが少ない。もう少しトレーニングすれば、さらに良い結果が得られるかも知れない。 今回はPOPFileとPEDUMPで
