当前位置：首页 > news >正文

如何用ChatGPT分析恶意软件？

news 2026/4/1 21:00:10

自从我们进入数字化时代以来，恶意软件就一直是计算机应用系统的“心腹大患”。事实上，每一次技术进步都会为恶意行为者提供更多的工具，使得他们的攻击行为更具破坏性。不过，如今生成式人工智能的崛起，似乎让一直以来的趋势发生了逆转。目前，网络安全专业人员正在利用ChatGPT等人工智能工具，分析和对抗恶意软件。

作为具有广泛用途的工具，ChatGPT适用于网络安全等的众多应用场景。下面，我将向您介绍，它可以协助恶意软件分析师执行的三项典型AI任务。这些任务往往可以极大地简化和提高应对恶意软件的能力。

1.创建YARA规则

YARA规则是根据特定模式来检测恶意软件的重要机制。为确保达到适当的威胁检测覆盖率，分析人员往往需要编写出许多不同的规则。不过，编写此类规则并非轻而易举之事，尤其是在时间紧迫之时。

值得庆幸的是，ChatGPT可以快速生成此类规则，从而大幅加快整个流程，并在很大程度上实现了自动化。我们只需向其聊天机器人提供适当的指令即可。当然，大多数情况下，我们仍需要对自己的表述稍加润色。如下图所示，虽然ChatGPT偶尔也会出错，但是总体而言，它对于YARA规则的编写，还是能够起到不小的帮助。

在截图中，ChatGPT并未指定字符串可以使用ASCII和wide两种编码中的具体哪一种，并且在$str4字符串中遗漏了一个额外的问题。不过，这些对于一个能够在几秒钟之内生成的规则而言，足以令人印象深刻，且加快后续工作进程了。

您可以使用如下的提问方式，要求ChatGPT创建对应的规则：

GPT，你能帮我写一条YARA规则吗？我希望检测一个特定的恶意软件样本，该样本具有这样的特征：[可替换为具体特征内容]。
如何编写一条能准确识别某恶意软件的YARA规则？
不要解释YARA，请提供一条规则，并概述其逻辑。

2. 编写Suricata规则

Suricata规则是有效地检测和分析恶意软件的另一个重要方式。作为一款出色的工具，ChatGPT在此方面能够提供几乎不亚于初级分析师所编写出的规则。当然，由ChatGPT生成的Suricata规则可能算不上尽善尽美，但是它足以帮助您入门和上手。

从上图的例子中我们可以看出，虽然GhatGPT仍有改进的空间，但是其输出的结果可以被当作一个粗略的草稿，为我们的后续工作打下基础，并节省大量的时间。

您可以使用如下的提问方式，要求ChatGPT创建对应的规则：

ChatGPT，请使用如下信息，生成一条能检测[某个条件]的Suricata 规则：

选项：[指定选项]
行为：[指定行为]
头部：[指定头部]

请注意，如果无法满足上述条件，就只创建一条检测[某个条件]的规则。

3.了解恶意活动

话说回来，ChatGPT在恶意软件分析方面的更常见用例在于，能够更多地了解不同的威胁，并采取的具体行动。例如，在下面的示例中，我们向ChatGPT询问了恶意软件利用合法实用程序w32tm.exe的方式，该聊天机器人给出了如图所示的可靠回答。

从ChatGPT的上述回答可以看出，它给出了需要怎么做，才能确保正确检测的良好提示。

此外，我为大家构建了一个免费的沙盒。您可以通过链接--ANY.RUN - Interactive Online Malware Sandbox，方便地获取上述信息。该服务旨在让您通过与云端安全的Windows VM（虚拟机）的直接交互，来分析各种可疑文件和链接。

它不仅能够检测到恶意网络流量、进程和注册表的更改，而且可以利用其内置的ChatGPT功能，让你深入了解你所感兴趣的对象，例如：被触发的Suricata规则等。

上图展示的是由ANY.RUN检测到的、借助人工智能生成的针对恶意进程的报告。凭借它，您可以全面地了解恶意软件执行某项活动的方式和原因，以及它对于基础架构安全性的影响。

小结

综上所述，以ChatGPT为代表的聊天机器人一旦被集成到我们日常的工作流程中，势必会大幅提高安全分析师的能力和效率。虽然生成式人工智能目前暂无法给整个恶意软件行业带来灭顶之灾，但是诸如ChatGPT之类的产品，显然已比以往任何时候都更加便于专业人员开展安全审查工作，也使得他们能够更快地应对攻击，进而改善组织的安全态势。

如何用ChatGPT分析恶意软件？

1.创建YARA规则

2. 编写Suricata规则

3.了解恶意活动

小结

相关文章：

如何用ChatGPT分析恶意软件？

【Axure高保真原型】能增删改的树形表格

前端打包工具之Webpack5

linux设置环境变量

vue中对pdf文件和路径的处理

Socks5与代理IP技术探析：构建安全高效的网络通信

【lesson13】MySQL表的基本操作之create(创建),update(更新)和replace(替换)

SQL进阶 | HAVING子句

【Marp】基于Markdown-Marp快速制作PPT

微服务项目部署

vite+TypeScript+vue3+router4+Pinia+ElmPlus+axios+mock项目基本配置

【rabbitMQ】模拟work queue,实现单个队列绑定多个消费者

pdf转png的两种方法

【起草】1-2 讨论 ChatGPT 在自然语言处理领域的重要性和应用价值

Mapreduce小试牛刀(1)

二百一十七、Flume——Flume拓扑结构之聚合的开发案例（亲测，附截图）

vue3+ts+vite+element plus 实现table勾选、点击单行都能实现多选

在WPF窗口中增加水印效果

wget下载到一半断了，重连方法

Docker笔记：docker compose部署项目, 常用命令与负载均衡

终极RPA档案解析指南：unrpa工具的专业实现与优化策略

Cursor Pro完整解锁方案：一站式解决AI编程助手使用限制的终极指南

经典35kW V型磁钢永磁同步电机设计：基于Maxwell的成熟方案解析

CRT库链接冲突详解：为什么你的Visual Studio项目会警告LNK4098（含/NODEFAULTLIB使用指南）

从Markdown到可执行规范：Tessl Framework初探与“规范即源代码”的实践思考

通信确定性可视化冗余现场总线技术开发白皮书(能源化工交通高可靠行业 Profibus DP CAN PROFINET EtherNet/IP SPE APL)

终极Cinder着色器编程指南：7个GLSL视觉效果开发技巧

表贴式PMSM超前角弱磁控制策略：弱磁id=0控制速度提升研究，从2000rpm到4000rp...

Python并发安全性重构白皮书（GIL禁用场景下的原子操作黄金标准）

AWCII 040 CPU模块