工作中樣本處理流程

2021-08-06 02:47:28 字數 1487 閱讀 1019

工作中樣本處理流程

郵件的弄清楚目的,是出報告 || 清除 || ?
盡可能多的收集資訊

1.只有一台機器還是幾台或批量處理.

2.目前的症狀.---能查,但是清不乾淨.

3.有樣本-在虛擬機器復現,和客戶對比,復現成功就在這邊操作,對比不一樣就需要遠端.

先用引擎掃一遍,看能查否,不能查先入庫.
1.file:

c:\documents and settings\pc\recent\uzgbtymhqo.vbs.lnk

c:\documents and settings\pc\「開始」選單\程式\啟動\uzgbtymhqo.vbs

c:\docume~1\pc\locals~1\temp\uzgbtymhqo.vbs

2.程序:

wscript.exe

3.cmd

"c:\windows\system32\wscript.exe" //b "c:\docume~1\pc\locals~1\temp\uzgbtymhqo.vbs"

4.reg(還要關注登錄檔寫入資料的情況)

hkey_local_machine\software\microsoft\windows\currentversion\run

uzgbtymhqo = wscript.exe //b "c:\docume~1\pc\locals~1\temp\uzgbtymhqo.vbs"

hkey_current_user\software\image_file_header (value)

hkey_current_user\software\dos_stub (value)

5.net

8.8.4.4:53

6.跨程序寫入msiexec.exe --> c:\windows\system32\wuauclt.exe --->寫入mz

1.引擎能刪除:c:\docume~1\pc\locals~1\temp\uzgbtymhqo.vbs & c:\documents and settings\pc\「開始」選單\程式\啟動\uzgbtymhqo.vbs

2.lpk: c:\windows\lpk.dll

1.公升庫

2.vmwaretest;

3.reply to email.

建議以後處理樣本,列乙個資訊收集檔案清單.

1.樣本.

2.引擎報毒情況(右下角彈窗)或查殺情況(全盤查殺)截圖.

3.引擎log.

4.全部程序截圖.

5.感染機器數量.

1.根據hrj在虛擬機器中的監控資訊,結合od迅速找到完成功能的位址(釋放pe,登錄檔等.xf的bat.)

2.抓樣本-去關鍵位置尋找蛛絲馬跡.

少數樣本處理

在檢測少數樣本時,如果我們採用正常的分類評價指標,則會發現,即使少數類全部分錯,也能達到乙個很高的正確率。所以我們在這種情況下需要另外的策略保證少數類得到足夠的重視 1.再抽樣 1.1 對多數類隨機欠取樣 缺點 資料集沒有完全被利用,而且有可能引入偏差 彌補 整合學習 easyensemble 併聯...

機器學習 樣本處理

樣本處理 模型冷啟動 構建專家規則模型 前期比機器學習模型重要 平滑過渡 充分部分優先切換 產品 資料 產品的重要性 資料技術不是核心競爭力,但資料是。樣本分佈不一致的解決方案 不一致會有什麼問題?樣本資料和實際資料的分布不一致。難點在於發現 意識到 需要清楚產品需要什麼 樣本不平衡的解決方案 樣本...

非均衡樣本處理的心法

身處大資料時代,對模型和風控工作者來說無異於福音。但與此同時,資料呈現長尾分布,不均衡分布導致訓練困難,效果不佳。具體到風控場景中,負樣本的佔比要遠遠小於正樣本的佔比。考慮乙個簡單的例子,假設有10萬個樣本,其中逾期客戶500個,壞樣本佔比0.5 如果我們直接將資料輸入模型進行訓練,將導致即便全部判...