将可执行字节流可视化为图像文件,为什么旋转了45度?
Visualizing executable byte stream to a image file, why it is rotated 45 degrees?
我正在尝试可视化恶意软件可执行文件以测试视觉分类方法。使用 Microsoft Malware Classification Challange dataset .bytes 文件我输入了这样的:
00401000 56 8D 44 24 08 50 8B F1 E8 1C 1B 00 00 C7 06 08
00401010 BB 42 00 8B C6 5E C2 04 00 CC CC CC CC CC CC CC
00401020 C7 01 08 BB 42 00 E9 26 1C 00 00 CC CC CC CC CC
00401030 56 8B F1 C7 06 08 BB 42 00 E8 13 1C 00 00 F6 44
00401040 24 08 01 74 09 56 E8 6C 1E 00 00 83 C4 04 8B C6
00401050 5E C2 04 00 CC CC CC CC CC CC CC CC CC CC CC CC
00401060 8B 44 24 08 8A 08 8B 54 24 04 88 0A C3 CC CC CC
00401070 8B 44 24 04 8D 50 01 8A 08 40 84 C9 75 F9 2B C2
00401080 C3 CC CC CC CC CC CC CC CC CC CC CC CC CC CC CC
00401090 8B 44 24 10 8B 4C 24 0C 8B 54 24 08 56 8B 74 24
004010A0 08 50 51 52 56 E8 18 1E 00 00 83 C4 10 8B C6 5E
您可以在 here 中找到示例文件。我希望输出为 .bmp 或其他类型的无损图像文件。我正在使用此 python 函数将字节转换为图像文件:
import imageio
import numpy as np
from binascii import unhexlify
from scipy import ndimage
bytes_dir = '.\dataSample'
images_dir = '.\imageData'
undecodedByte = '00'
def bytes2png(f, height, width):
file = bytes_dir + '\' + f
b_data = b''
for line in open(file, 'r'):
for byte in line.rstrip()[8:].split():
if (byte == '??'): byte = undecodedByte
b_data += binascii.unhexlify(byte)
image_buffer = np.zeros((height, width)).astype(np.ubyte)
for i in range(height):
for j in range(width):
image_buffer[i,j] = b_data[i+j]
# Naming image
image_name = images_dir + '\' + f.split('.')[0] + str(height) + "x" + \
str(width) + '.bmp'
# image_buffer = ndimage.rotate(image_buffer, -45.0, reshape=False, prefilter=False)
imageio.imwrite(image_name, image_buffer)
我已成功提取字节并将其写入合法的 .bmp 文件,但它旋转了 45 度。当我在十六进制编辑器中打开它并与原始文件进行比较时,我发现它与 .bytes 文件中的序列相同。
我不太了解图像文件类型,然后使用注释行将 numpy 数组旋转 45 度;由于旋转,我得到了一张六边形的图片。如您所见:
有没有什么方法(最好是有效的)来制作图像,其模式可以在与原始字节顺序相同的行中看到?
P.S。上传的图片是 .png 因为它不接受 .bmp 文件。
我认为行:
image_buffer[i,j] = b_data[i+j]
需要:
image_buffer[i,j] = b_data[(i*width)+j]
我没有你要测试的数据,也没有你出于某种原因没有分享的 import 语句,但我怀疑整个双 for 循环从你的 b_data 到 Numpy 数组可以避免像这样的东西:
image_buffer = np.frombuffer(b_data, dtype=np.uint8).reshape((height,width))
我正在尝试可视化恶意软件可执行文件以测试视觉分类方法。使用 Microsoft Malware Classification Challange dataset .bytes 文件我输入了这样的:
00401000 56 8D 44 24 08 50 8B F1 E8 1C 1B 00 00 C7 06 08
00401010 BB 42 00 8B C6 5E C2 04 00 CC CC CC CC CC CC CC
00401020 C7 01 08 BB 42 00 E9 26 1C 00 00 CC CC CC CC CC
00401030 56 8B F1 C7 06 08 BB 42 00 E8 13 1C 00 00 F6 44
00401040 24 08 01 74 09 56 E8 6C 1E 00 00 83 C4 04 8B C6
00401050 5E C2 04 00 CC CC CC CC CC CC CC CC CC CC CC CC
00401060 8B 44 24 08 8A 08 8B 54 24 04 88 0A C3 CC CC CC
00401070 8B 44 24 04 8D 50 01 8A 08 40 84 C9 75 F9 2B C2
00401080 C3 CC CC CC CC CC CC CC CC CC CC CC CC CC CC CC
00401090 8B 44 24 10 8B 4C 24 0C 8B 54 24 08 56 8B 74 24
004010A0 08 50 51 52 56 E8 18 1E 00 00 83 C4 10 8B C6 5E
您可以在 here 中找到示例文件。我希望输出为 .bmp 或其他类型的无损图像文件。我正在使用此 python 函数将字节转换为图像文件:
import imageio
import numpy as np
from binascii import unhexlify
from scipy import ndimage
bytes_dir = '.\dataSample'
images_dir = '.\imageData'
undecodedByte = '00'
def bytes2png(f, height, width):
file = bytes_dir + '\' + f
b_data = b''
for line in open(file, 'r'):
for byte in line.rstrip()[8:].split():
if (byte == '??'): byte = undecodedByte
b_data += binascii.unhexlify(byte)
image_buffer = np.zeros((height, width)).astype(np.ubyte)
for i in range(height):
for j in range(width):
image_buffer[i,j] = b_data[i+j]
# Naming image
image_name = images_dir + '\' + f.split('.')[0] + str(height) + "x" + \
str(width) + '.bmp'
# image_buffer = ndimage.rotate(image_buffer, -45.0, reshape=False, prefilter=False)
imageio.imwrite(image_name, image_buffer)
我已成功提取字节并将其写入合法的 .bmp 文件,但它旋转了 45 度。当我在十六进制编辑器中打开它并与原始文件进行比较时,我发现它与 .bytes 文件中的序列相同。
我不太了解图像文件类型,然后使用注释行将 numpy 数组旋转 45 度;由于旋转,我得到了一张六边形的图片。如您所见:
有没有什么方法(最好是有效的)来制作图像,其模式可以在与原始字节顺序相同的行中看到?
P.S。上传的图片是 .png 因为它不接受 .bmp 文件。
我认为行:
image_buffer[i,j] = b_data[i+j]
需要:
image_buffer[i,j] = b_data[(i*width)+j]
我没有你要测试的数据,也没有你出于某种原因没有分享的 import 语句,但我怀疑整个双 for 循环从你的 b_data 到 Numpy 数组可以避免像这样的东西:
image_buffer = np.frombuffer(b_data, dtype=np.uint8).reshape((height,width))