博客來閱讀話題

不管是老手媽媽還是新手媽媽都看這邊！我們都知道所有的產品裡，小朋友的商品應該是最難選的

小朋友長得又快，過了一個時期又瞬間抽高，怎麼選是一門很大的學問了，也可以避免買錯捶心肝~~

因為網路很發達，臉書又這麼普及媽咪買東西更是方便，尤其媽咪一定會到很多親子網站或是親子社團去了解產品的優缺點

不過看了這麼多網站真真假假的資料，【魔法Baby】女童內褲 四件一組 台灣製舒適純棉四角內褲(k51195)是我在看到最多人推薦的好物

對於我這個精打細算的好媳婦好媽媽來說，真是太棒囉！

通常有在關注相關婦幼產品的媽媽，不用考慮了，這款是我花有夠多時間才彙整出來的好物，不怕比較的啦

很多媽咪也都大推這款產品，真的很值得入手！

到貨速度也很快，光這一點就大推了！

所以我個人對【魔法Baby】女童內褲 四件一組 台灣製舒適純棉四角內褲(k51195)的評比如下

質感：★★★★

使用爽感：★★★★☆

性能價格：★★★★☆

趁現在宅經濟發酵，大家又很保護小朋友不隨意出門，網購就變成媽咪們在家的興趣了~

而且廠商優惠只在這個時候~~

不然被掃光了也只能怪自己速度不夠快～下次記得手刀加速啊!

詳細介紹如下~參考一下吧

完整產品說明

 

 

品牌名稱

對象與族群

• 女性

尺寸

• 81cm~90cm
• 91cm~100cm
• 101cm~110cm
• 111cm~120cm
• 121cm~130cm
• 131cm~140cm

顏色

• 黃色
• 藍色

材質

• 棉布

商品規格

• 材質: 100%棉
  產地: 台灣

非常推薦【魔法Baby】女童內褲 四件一組 台灣製舒適純棉四角內褲(k51195)給大家

↓↓↓限量特惠的優惠按鈕↓↓↓

↓↓↓找不到適合的商品嗎，本月好物推薦一起來看吧↓↓↓

標籤註解：

PTT鄉民【魔法Baby】女童內褲 四件一組 台灣製舒適純棉四角內褲(k51195)限量,團購,限時,週年慶,禮物,優惠,【魔法Baby】女童內褲 四件一組 台灣製舒適純棉四角內褲(k51195)特價,開箱,比價,活動,好評,推薦

mobile01網友【魔法Baby】女童內褲 四件一組 台灣製舒適純棉四角內褲(k51195)哪裡便宜,採購,優缺點,試用【魔法Baby】女童內褲 四件一組 台灣製舒適純棉四角內褲(k51195),好用,CP值,經驗,好康,集購,下殺,免比價,去哪買？,

名人推薦【魔法Baby】女童內褲 四件一組 台灣製舒適純棉四角內褲(k51195)介紹,部落客,排行,【魔法Baby】女童內褲 四件一組 台灣製舒適純棉四角內褲(k51195),體驗,精選,限定,折扣,折價卷,dcard推薦,直播主推薦,網紅推薦熱賣款

熱點新知搶先報

導讀：本文將利用靜態分析技術揭示這些惡意軟體的功能。 作者：約書亞·薩克斯（Joshua Saxe）、希拉蕊·桑德斯（Hillary Sanders） 來源：華章科技 ... 在本文中，我們將介紹惡意軟體靜態分析的基礎知識。靜態分析是對程序文件的反彙編代碼、圖形圖像、可列印字符串和其他磁碟資源進行分析，是一種不需要實際運行程序的逆向工程。雖然靜態分析技術有欠缺之處，但是它可以幫助我們理解各種各樣的惡意軟體。 通過細緻的逆向工程，你將能夠更好地理解惡意軟體二進位文件在攻擊目標後為攻擊者提供的好處，以及攻擊者可以隱藏並繼續攻擊受感染計算機的方式。正如你將看到的，本文結合了描述和實例，每個部分都介紹了靜態分析技術，然後說明其在實際分析中的應用。 本文的代碼和數據，可以在公眾號後臺回復惡意軟體獲取下載方式。你將在數據目錄/ch1中找到本文示例中使用的惡意軟體示例。為了演示本文討論的技術，我們在演示中使用ircbot.exe，這是一個網際網路中繼聊天（Internet Relay Chat，IRC）機器人，也在日常廣泛監測中最常見的惡意軟體的示例之一。 嚴格來說，當連接到IRC伺服器時，這個程序被設計常駐在目標計算機上。在ircbot.exe控制目標後，攻擊者可以通過IRC控制目標計算機，執行控制指令，例如打開網絡攝像頭偷偷捕獲視頻、提取目標的地理位置和桌面的截圖，以及從目標機器中提取相關文件等。 01 微軟Windows可移植可執行文件格式 要進行惡意軟體靜態分析，你需要了解Windows PE文件格式，該格式描述了如.exe、.dll和.sys等當今Windows程序文件的結構，並定義了它們存儲數據的方式。PE文件包含x86指令、圖像和文本等數據，以及程序運行所需的元數據。 PE格式最初的設計是用來進行下面的操作。 1）告訴Windows如何將程序加載到內存中 PE格式描述了文件的哪些塊應該加載到內存中，以及在哪裡加載。它還告訴你，Windows應該在程序代碼里的哪個位置開始執行程序，以及哪些動態連結代碼庫應該加載到內存中。 2）為運行程序提供在執行過程中可能使用的媒體（或資源） 這些資源可以包括字符串，如GUI對話框或控制臺輸出的字符串，以及圖像或視頻。 3）提供安全數據，例如數字代碼簽名 Windows使用這些安全數據來確保代碼出自受信任的來源。 PE格式通過利用圖1-1中所示的一系列結構來完成以上工作。 ...▲圖1-1 PE文件格式 如圖1-1所示，PE文件格式包括一系列頭（header），用來告訴作業系統如何將程序加載到內存中。它還包括一系列節（section）用來包含實際的程序數據。Windows將這些節加載到內存中，使其在內存中的偏移量與它們在磁碟上的顯示位置相對應。 讓我們從PE頭開始，來更詳細地探討這個文件結構。我們將略過對DOS頭的討論，這是20世紀80年代微軟DOS作業系統的遺留產物，僅僅出於兼容性原因而存在。 1. PE頭 如圖1-1底部所示，在DOS頭❶的上面是PE頭❷，它定義了程序的一般屬性，如二進位代碼、圖像、壓縮數據和其他程序屬性。它還告訴我們程序是否是針對32位或64位系統而設計的。 PE頭為惡意軟體分析師提供了基本但有用的情景信息。例如，頭裡包括了時間戳欄位，這個欄位可以給出惡意軟體作者編譯文件的時間。通常惡意軟體作者會使用偽造的值替換這個欄位，但是有時惡意軟體作者會忘記替換，就會發生這種情況。 2. 可選頭 可選頭❸實際上在今天的PE可執行程序中無處不在，恰恰與其名稱的含義相反。它定義了PE文件中程序入口點的位置，該位置指的是程序加載後運行的第一個指令。 它還定義了Windows在加載PE文件、Windows子系統、目標程序（例如Windows GUI或Windows命令行）時加載到內存中的數據大小，以及有關該程序其他的高級詳細信息。由於程序的入口點告訴了逆向工程師該從哪裡開始進行逆向工程，這個頭信息對逆向工程師來說是非常寶貴的。 3. 節頭 節（section）頭❹描述了PE文件中包含的數據節。PE文件中的一個節是一塊數據，它們在作業系統加載程序時將被映射到內存中，或者包含有關如何將程序加載到內存中的指令。 換句話說，一個節是磁碟上的字節序列，它要麼成為內存中一串連續字節的字符串，要麼告知作業系統關於加載過程的某些方面。 節頭還告訴Windows應該授予節哪些權限，比如程序在執行時，是否應該可讀、可寫或可執行。例如，包含x86代碼的.text節通常被標記為可讀和可執行的，但是不可寫的，以防止程序代碼在執行過程中意外修改自身。 圖1-1描述了許多節，如.text和.rsrc。執行PE文件時，它們會被映射到內存中。其他如.reloc節的特殊節不會被映射到內存中，我們也將討論這些節。下面我們來瀏覽圖1-1中顯示的節。 1）.text節 每個PE程序在其節頭中包含了至少一個標記為可執行的x86代碼節；這些節幾乎總是命名為.text❺。 2）.idata節 .idata節❻，也被稱為導入節，包含導入地址表（IAT），它列出了動態連結庫和它們的函數。IAT是最重要的PE結構之一，在對PE二進位文件進行最初的分析時需要查看它，因為它指出了程序所調用的庫，然而這些調用反過來又可能會泄露惡意軟體的高級功能。 3）數據節 在PE文件結構中的數據節可以包括.rsrc、.data和.rdata等節，它們存儲程序使用的滑鼠光標圖像、按鈕圖標、音頻和其他媒體等。例如，圖1-1中的.rsrc節❼包含了程序用於將文本呈現為字符串的可列印字符串。 .rsrc（資源）節中的信息對惡意軟體分析師是非常重要的，因為通過檢查PE文件中的可列印字符串、圖形圖像和其他資產，他們可以獲得關於文件功能的重要線索。 在03節中，你將了解如何使用icoutils工具包（包括icotool和wrestool）從惡意軟體二進位文件的資源節中提取圖形圖像。然後，在04節中，你將學習如何從惡意軟體資源節中提取可列印的字符串。 4）.reloc節 PE二進位文件的代碼並非是與位置獨立的，這意味著如果將它從預期的內存位置移動到新的內存位置，它將無法正確執行。.reloc❽在不破壞代碼的情況下通過允許移動代碼來解決這個問題。 如果一個PE文件的代碼已被移動，它就告訴Windows作業系統將該文件的代碼中進行內存地址轉換，這樣代碼仍可以正確運行。這些轉換通常涉及在內存地址中添加或減去偏移量。 02 使用pefile解析PE文件格式 由Ero Carerra編寫和維護的Python模塊pefile已經成為解析PE文件的一個行業標準的惡意軟體分析庫。在本節中，我將向你展示如何使用pefile來解析ircbot.exe。代碼清單1-1假設ircbot.exe已位於你當前的工作目錄中。 輸入以下命令安裝pefile庫，以便我們可以在Python中導入它： $ pip install pefile 現在，使用代碼清單1-1中的命令啟動Python，導入pefile模塊，然後使用pefile打開並解析PE文件ircbot.exe。 代碼清單1-1 加載pefile模塊並解析PE文件（ircbot.exe） $ python >>> import pefile >>> pe = pefile.PE("ircbot.exe") 我們實例化pefile.PE，它是PE模塊實現的核心類。它解析PE文件，以便我們可以查看它們的屬性。通過調用PE構造函數，我們加載並解析指定的PE文件，在本例中為ircbot.exe。現在我們已經加載並解析了這個文件，運行代碼清單1-2中的代碼從ircbot.exe的pe欄位中提取信息。 代碼清單1-2 遍歷PE文件的各個節並列印有關它們的信息 #基於 Ero Carrera的示例代碼(pefile庫的作者) for section in pe.sections: print(section.Name, hex(section.VirtualAddress), hex(section.Misc_VirtualSize), section.SizeOfRawData) 代碼清單1-3顯示了列印輸出的內容。 代碼清單1-3 使用Python的pefile模塊從ircbot.exe中提取節數據 ... 如代碼清單1-3所示，我們從PE文件五個不同的節中提取了數據：.text、.rdata、.data、.idata和.reloc。輸出是以五元組的形式給出，每提取一個PE節對應一個元素。每一行的第一個條目標識PE節。（你可以忽略一系列的空字節，它們只是C語言樣式的空字符串終止符。）其餘欄位告訴我們，一旦將每個節被加載到內存中，它的內存利用率將是多少，以及一旦被加載，它將在內存中的何處被找到。 例如，0x1000❶是加載這些節的虛擬內存地址基址，也可以將其視為節的內存地址基址。在虛擬大小（virtual size）欄位中的0x32830❷指定了節被加載後所需的內存大小。第三個欄位中的207360❸表示該節將在該內存塊中所占用的數據量。 除了使用pefile解析程序的節之外，我們還可以使用它列出二進位文件將加載的DLL文件，以及它將在這些DLL文件中所請求的函數調用。我們可以通過鏡像（dump）PE文件的IAT來實現這一點。代碼清單1-4顯示了如何使用pefile鏡像ircbot.exe的IAT。 代碼清單1-4 從ircbot.exe中提取導入信息 $ python pe = pefile.PE("ircbot.exe") for entry in pe.DIRECTORY_ENTRY_IMPORT: print entry.dll for function in entry.imports: print ' ', function.name 代碼清單1-4會生成如代碼清單1-5所示的輸出（為了簡潔起見，輸出進行了截斷）。 代碼清單1-5 ircbot.exe的IAT表內容，其顯示了這個惡意軟體使用的庫函數 ... 如代碼清單1-5所示，這個輸出對於惡意軟體分析很有價值，因為它列出了惡意軟體聲明和將引用的豐富的函數數組。 例如，輸出的前幾行告訴我們，惡意軟體將使用WriteFile❶寫入文件，使用CreateFileA❷打開文件，並使用CreateProcessA❸創建新的進程。雖然這些只是關於惡意軟體的基本信息，但它們是了解惡意軟體更為詳細行為的開始。 03 檢查惡意軟體的圖片 要了解惡意軟體是如何設計來捉弄攻擊目標的，讓我們看看在它的.rsrc節中所包含的圖標。例如，惡意軟體二進位文件常常被設計成偽裝的Word文檔、遊戲安裝程序、PDF文件等常用軟體的圖標來欺騙用戶點擊它們。 你還可以在惡意軟體中找到攻擊者自己感興趣程序中的圖像，例如攻擊者為遠程控制受感染機器而運行的網絡攻擊工具和程序。 回到我們的樣本圖像分析，你可以在本文的數據目錄中找到名為fakepdfmalware.exe的這個惡意軟體樣本。這個樣本使用Adobe Acrobat圖標誘騙用戶認為它是一個Adobe Acrobat文檔，而實際上它是一個惡意的PE可執行文件。 在我們使用Linux命令行工具wrestool從二進位文件fakepdfmalware.exe中提取圖像之前，我們首先需要創建一個目錄來保存我們將提取的圖像。代碼清單1-6顯示了如何完成所有這些操作。 代碼清單1-6 從惡意軟體樣本中提取圖像的Shell命令 $ mkdir images $ wrestool -x fakepdfmalware.exe -output=images $ icotool -x -o images images/*.ico 我們首先使用mkdir images創建一個目錄來保存提取的圖像。接下來，我們使用wrestool從fakepdfmalware.exe中提取圖像資源（-x）到/images目錄，然後使用icotool提取（-x）並將Adobe中.ico圖標格式中的所有資源轉換（-o）為.png圖形，以便我們可以使用標準的圖像瀏覽工具查看們。 如果你的系統上沒有安裝wrestool，你可以從這裡下載： http://www.nongnu.org/icoutils/ 一旦你使用wrestool將目標可執行文件中的圖像轉換為PNG格式，你就可以在你喜歡的圖像瀏覽工具中打開它們，並以各種解析度查看Adobe Acrobat圖標。 正如我在這裡給出的例子所示，從PE文件中提取圖像和圖標相對簡單，可以快速顯示與惡意軟體二進位文件相關的有趣且又有用的信息。同樣地，我們可以輕鬆地從惡意軟體中提取可列印字符串來獲取更多信息，我們接下來會做這項工作。 04 檢查惡意軟體的字符串 字符串是程序二進位文件中可列印字符的序列。惡意軟體分析師通常依賴惡意樣本中的字符串來快速了解其中可能發生的情況。這些字符串通常包含下載網頁和文件的HTTP和FTP命令，用於告訴你惡意軟體連接到的地址的IP位址和主機名等類似信息。 有時，即使用於編寫字符串的語言也有可能暗示惡意軟體二進位文件的來源國，儘管這可能是偽造的。你甚至可以在一個字符串中找到一些文本，它們用網絡用語解釋了惡意二進位文件的用途。 字符串還可以顯示有關二進位文件的更多技術信息。例如，你可能會發現有關用於創建二進位文件的編譯器、編寫二進位文件所使用的程式語言、嵌入式腳本或HTML等信息。 雖然惡意軟體作者可以對所有這些痕跡進行混淆、加密和壓縮等處理，但是即便是高水平的惡意軟體作者也經常會暴露並留下一些痕跡，因此在分析惡意軟體時，對鏡像的字符串進行細緻檢查顯得尤為重要。 1. 使用字符串程序 查看文件中所有字符串的標準方法是使用命令行工具strings，按照以下語法進行使用： $ strings filepath | less 該命令將文件中的所有字符串逐行列印到終端上。在末尾添加 | less可以防止字符串在終端上跨屏顯示。默認情況下，strings命令查找所有最小長度為4字節的可列印字符串，但是你可以設置不同的最小長度並更改「命令手冊」中所列各種其他參數。 我建議只使用默認的最小字符串長度4，但是你可以使用-n選項更改最小字符串長度。例如，「string -n 10 filepath」只提取最小長度為10字節的字符串。 2. 分析鏡像字符串 現在我們鏡像了一個惡意軟體程序的可列印字符串，但是挑戰在於要理解這些字符串的含義。例如，假設我們將ircbot.exe中的字符串鏡像到ircbotstring.txt文件中，這在本文前面的內容中，我們使用pefile庫已經進行了探討，如下所示： $ strings ircbot.exe > ircbotstring.txt ircbotstring.txt的內容包含數千行文本，但其中一些行應該突出顯示出來。例如，代碼清單1-7顯示了從字符串鏡像中提取出來的一串以單詞DOWNLOAD開頭的行。 代碼清單1-7 顯示惡意軟體可以將攻擊者指定的文件下載到目標計算機的字符串輸出 ... 這些行表示ircbot.exe將嘗試把攻擊者指定的文件下載到目標計算機上。 我們來嘗試分析另一個。代碼清單1-8所示的字符串鏡像表明ircbot.exe可以起到Web伺服器的作用，在目標機器上偵聽來自攻擊者的連接。 代碼清單1-8 顯示惡意軟體有一個攻擊者可以連接的HTTP伺服器的字符串輸出 ... 代碼清單1-8顯示了ircbot.exe用於實現HTTP伺服器的各種HTTP樣板程序。此HTTP伺服器可能允許攻擊者通過HTTP連接到目標計算機以發出命令，例如獲取受害者桌面的螢幕截圖並將其回傳給攻擊者的命令。 我們在整個代碼清單中看到了HTTP功能的證據。例如，從Internet資源請求數據的GET方法❶。HTTP/1.0 200 OK❷這一行是一個返回狀態代碼200的HTTP字符串，表明HTTP網絡事務都運行良好，而Server:myBot❸表明HTTP伺服器的名稱是myBot，這是ircbot.exe附加的一個內置HTTP伺服器。 所有這些信息都有助於理解和阻止特定的惡意軟體樣本或惡意活動。例如，知道惡意軟體樣本有一個HTTP伺服器，當你連接到它時，它會輸出特定的字符串，這樣你就可以藉此掃描你的網絡來識別受感染的主機。 05 小結 在本文中，你大致對靜態惡意軟體分析有了一定的認識，其中包括在不實際運行的情況下檢查惡意軟體程序。 你了解了定義Windows作業系統.exe和.dll文件的PE文件格式，還了解了如何使用Python庫pefile解析實際場景中的惡意軟體ircbot.exe二進位文件。 你還使用圖像分析和字符串分析等靜態分析技術，從惡意軟體樣本中提取更多的信息。 關於作者：約書亞·薩克斯（Joshua Saxe）是專業安全企業Sophos的首席數據科學家，他在Sophos公司負責領導一個安全數據科學研究團隊。他還是Sophos公司基於神經網絡的惡意軟體檢測器的主要發明者，它可以保護數以千萬計的Sophos客戶防範惡意軟體。 希拉蕊·桑德斯（Hillary Sanders）是Sophos公司的高級軟體工程師和數據科學家，她在為Sophos公司發明和產品化神經網絡、機器學習和惡意軟體相似性分析安全技術方面發揮了關鍵作用。她曾在加州大學伯克利分校學習統計學。 本文摘編自《基於數據科學的惡意軟體分析》，經出版方授權發布。 ...延伸閱讀《基於數據科學的惡意軟體分析》 推薦語：本書側重在將數據科學應用於惡意軟體，旨在更全面地展示如何將數據科學技術應用於解決重大的網絡安全問題。通過了解惡意軟體的數據科學，你將能夠更好地將數據科學應用到其他網絡安全領域，比如網絡攻擊、釣魚郵件或可疑用戶行為等檢測工作。

↓↓↓限量特惠的優惠按鈕↓↓↓

↓↓↓更多嬰幼兒產品一起來看吧↓↓↓

WWW456TTVVV45TYGQ

文章來源取自於：

每日頭條 https://kknews.cc/code/oqzrpv6.html

MOMO購物網 https://www.momoshop.com.tw/goods/GoodsDetail.jsp?i_code=6787457&memid=6000007380&cid=apuad&oid=1&osm=league

如有侵權，請來信告知，我們會立刻下架。

DMCA：dmca(at)kubonews.com

聯絡我們：contact(at)kubonews.com

【試用心得真心不騙】【很多部落客開箱都說好用】【刷中信信用卡享優惠】
【momo刷卡折扣價】 【刷國泰世華信用卡有折扣】 【愛的世界】LW 鬆緊帶條絨長褲6-12歲【好物推薦開箱文在這】 【目前有優惠嗎？】 【UNITEC 彤妍】山茶花舒緩潔顏慕斯300ml（重量裝）(團購3入組)【專櫃百貨也推薦】 【刷中信信用卡享優惠】 【Huxley】仙人掌深層晚安面膜(100ml)【momo週年慶特價】 【這產品好用嗎？】 【VOLA維菈襪品】3雙入 120%強韌 25丹耐勾系 高規耐性 薄透明感 分段褲型 足尖加強 薄透絲襪【百貨公司也不到這個好物】 【網紅推薦好物】 【OFRA】經典黑 修修臉立體小顏盤 #21 Americano 經典美式 10g(原廠公司貨)