Когда я отправляю файл для анализа в песочницу Cuckoo, я всегда вижу в отчете в разделе «Раздел», что каждый раздел имеет столбец Entropy.Энтропия разделов в отчете аналитика Sandbox Sandbox
Я получил значения, как 0, 7.91863415033, 4.4345104565.
Что означает эта энтропия? Я попытался найти в Google любую информацию об энтропии раздела, но я не нашел что-то полезное.
Энтропия файла рассчитывается исходя из его случайности. Другими словами, более непредсказуемым является файл, больше значение энтропии. Значения в отчете Cuckoo Sandbox Analysis рассчитываются по формуле Шанона и могут варьироваться от 0 до 8. Чем ближе значение энтропии к нулю, тем меньше случайность в байтах файла одинаково и наоборот. Это помогает в процессе принятия решений во время анализа образца для его злонамеренной деятельности. Высокое значение энтропии может означать, что файл либо зашифрован сильно, либо плотно упакован. Для получения дополнительной информации, перейдите по ссылке: https://www.talentcookie.com/2016/02/file-entropy-in-malware-analysis/