# Exploring the API calls for malware behavior detection using concordance and document frequency ## Abstract: most researchers used **n-gram** to detect the sequence of API calls => 缺點 ： time consuming Author proposed to use Concordance to search for the API call sequence of a malware because it use KWIC (Key Word in Context 關鍵字索引), thus only displayed the output based on the queried keyword. After that, Document Frequency (DF) is used to search for the most commonly used APIs in the datase hight accuracy and found more categories 實驗結果： 用此方法可以識別出八種惡意活動 => (Screen Capture, Hooking, Downloader, Enumerate all process, Anti debugging, Synchronization, Key Logger and Dropper) ## Introduction 1. Using dynamic analysis to extract API call and map the API call sequence using the concordance tool. 2. To find out the most commonly used APIs in the dataset by using Document Frequency (DF) and Inverse Corpus Frequency (ICF) ## Motivation Use Voting Expert algorithms to search API sequence 將惡意軟體的行為抓取為一組k-gram，然後比較這隻API調用與k-gram之間的相似性，以識別它是否為惡意行為 ## MATERIALS AND METHODS This study uses **dynamic analysis** to extract the API calls of a malware 在本實驗中，我們將兩種API，WinAPI和NTAPI。 WinAPI是正常的API，通常用於開發新的Windows程序。 Windows API的名稱指的是許多平台實現，通常以其自己的名稱（Win32 API）進行引用。WinAPI在其名稱中使用後綴，例如A，W和Ex。 帶A和W後綴的API具有相同的功能，但是它們的接受參數不同，因為一個接受ASCII字符串，而另一個接受寬字符串。 同時，帶有Ex後綴的API表示它是具有更新功能的API。 NTAPI在開發新程序中不是很常用，並且大多數NTAPI都沒有文檔說明。 NTAPI在其名稱中使用了前綴，例如Nt，Zw，Rtl和Ldr。 惡意軟件作者通常使用NTAPI，因為它提供了比WinAPI強大而隱秘的功能。 惡意行為及其API調用順序的列表  ## EXPERIMENTAL DESIGN Concordance => ###### tags: `thesis`