基于灰度图的恶意软件检测方法由于不需要反汇编且具有检测准确率高的特点而备受关注。现今已有一些针对该类检测方法的对抗攻击，然而当前大部分对抗攻击方法无法确保所生成的对抗样本仍保留原PE文件的可用性或功能性，或是选择在通过文件头信息便能进行准确检测的PE文件底部添加字节码。通过分析PE文件的区段对齐机制以及文件对齐机制，提出一种可保留PE文件可用性和功能性的字节码攻击方法（BARAF）。该方法通过在由文件对齐机制产生的间隙空间和源于区段对齐机制而具有的扩展空间内批量修改或添加字节码来生成可保留可用性和功能性的对抗样本，来欺骗基于灰度图像的恶意软件检测方法。实验结果表明，BARAF生成的对抗样本最多能使基于灰度图的恶意软件检测方法的准确率下降31.58个百分点，并且难以通过文件头信息对其进行准确检测。

• 出版日期2022
• 单位贵州大学