A Method to Evaluate Binary Code Comparison Tools

“…The proposed SimCoDe-NET approach improves accuracy by 84.9%, 88.58%, and 93.9% in comparison to jTrans, UPPC, and HEBCS, respectively. 90% detection accuracy for the frame and method detection accuracy were obtained by using well-known techniques as InnerEYE [23], BinDiff [24], SAFE [25], and jTrans [14]. The SimCoDe-NET is assessed.…”

SimCoDe-NET: Similarity Detection in Binary Code using Deep Learning Network

“…The proposed SimCoDe-NET approach improves accuracy by 84.9%, 88.58%, and 93.9% in comparison to jTrans, UPPC, and HEBCS, respectively. 90% detection accuracy for the frame and method detection accuracy were obtained by using well-known techniques as InnerEYE [23], BinDiff [24], SAFE [25], and jTrans [14]. The SimCoDe-NET is assessed.…”

SimCoDe-NET: Similarity Detection in Binary Code using Deep Learning Network

“…Формат BinExport позволяет хранить граф потока управления и граф вызова функций, которые используются утилитой BinDiff для вычисления расстояния между исполнимыми файлами. Выбор BinDiff обоснован, с одной стороны, тем, что, как показывают результаты исследования [20], подход, используемый в BinDiff, дает высокую точность сравнения; с другой стороны, в настоящий момент формат BinExport поддерживается популярными дизассемблерами IDA Pro [21], Ghydra [22] и Binary Ninja [23]. В частности, соответствующие плагины для IDA Pro и Ghydra позволяют автоматизировать процесс выгрузки данных в формате BinExport.…”

“…4) -соответствующие показатели вносят наименьший вес в принятие решения (если не учитывать показатель ssdeep, вес которого минимален). Вектор показателей также может быть расширен за счет использования других средств сравнения файлов исполнимого кода, например, в дополнение к BinDiff может быть использовано средство BCC, предложенное в[41] и показавшее, согласно[20], наибольшую точность сравнения бинарного кода. Дальнейшим направлением исследования является оптимизация набора характеристик, применение характеристик, получаемых средствами динамического анализа программ, например, средствами символьного анализа, исследование качества предлагаемого метода для оценки похожести программ из набора, отличного от coreutils, а также оценка качества обфусцирующих преобразований с помощью построенных классификаторов.…”

A Method to Evaluate Program Similarity Using Machine Learning Methods

Malware similarity and a new fuzzy hash: Compound Code Block Hash (CCBHash)