arXiv:2411.05982v2 宣告类型：替换-交叉 摘要：沙箱和其他动态分析过程现在广泛应用于恶意软件检测系统中，以增强检测零日恶意软件的能力。因此，在现代恶意软件样本中，反动态分析技术（TADA）盛行，当分析带有TADA的样本时，沙箱可能会遭受假阴性和分析失败。在这种情况下，人类逆向工程师将不得不手动进行动态分析（例如，调试、打补丁），而TADA也会阻碍这一过程。在这项工作中，我们提出了一种基于大型语言模型（LLM）的工作流，可以确定代码中TADA实现的位置，以便逆向工程师可以放置用于调试的断点。我们的评估显示，我们成功识别了来自公共仓库的87.80%已知TADA实现的位置。此外，我们还成功指出了四个在线恶意软件分析博客中记录的著名恶意软件样本中的TADA位置。