Я читаю эту статью - «Метод классификации вредоносных программ с помощью сравнения двоичного содержимого» Канга.
Этот алгоритм называется MBC (сравнение основных блоков), и я собираюсь использовать аналогичный способ выбора основныхблок последовательности кода операции.
что я понял здесь, когда есть последовательность кода операции, мы можем разделить последовательность на несколько функциональных блоков с помощью «кода возврата» (возврата).
Например, если мы сталкиваемся с кодом операции - retn, мы думаем, что эта точка является концом функции, поэтому мы можем разделить эту функцию с другой, как эта.И затем мы можем разделить каждую функцию на несколько блоков с помощью инструкций opcode - call и jump таким же образом.
вот мои вопросы.
- почему автор сказал 'инструкции' для кода операции перехода и вызова?
я понимаю, что код операции перехода и вызова имеет другую форму, такую как jmp, jnz и тому подобное.это правильно?
- на этом изображении показан код операции вызова, но он не разделен на блоки, как вы думаете, почему это так происходит ???
извините за плохое знание английского языка, и заранее спасибо.