会议观后感

How You Get Shot in the Back: A Systematical Study about Cryptojacking in the Real World

讲了什么:检测Web端的恶意挖矿的识别

用的方法:node.js写的程序,利用node.js写了两个分析器,一个是基于hash的,另一个是基于动态监控程序执行(栈结构)。

基于Hash

我的理解是,在当前网站上,再执行一个js,该功能是计算散列函数的结果,正常网站的计算时间肯定是比带有恶意挖矿程序的网站的时间快的,并且有明显的区别。

基于栈结构

这里检测的是堆栈调用的情况,一般访问正常的网页,普通网页很少重复调用的堆栈,如果是恶意网站,调用会一直重复调用某个堆栈,并且每次申请堆栈的深度和调用链是一样的。因此,如果专用线程周期性地(在固定时间内部)重复其调用链,并且调用链占用该线程中整个执行时间的30%以上,我们判定为恶意程序。

相关工作

区块链安全:大部分人做的是加密,智能合约这块的工作,作者未来可能会往Web端上对区块链安全进行研究。

JS恶意代码检测:作者将会用基于Hash+堆栈结构的js代码检测法进一步扩展,使其不止检测恶意挖矿,还能检测别的恶意代码。

个人看法

用node.js写程序来研究JS好像是一个很不错的方法。 以后在研究与JS相关的课题时,可以用此框架实现一些功能。