بهبود روش OmniUnpack جهت بازگشایی عمومی فایل اجرایی قابل حمل با ردیابی صفحات حافظه

سال انتشار: 1398
نوع سند: مقاله ژورنالی
زبان: فارسی
مشاهده: 308

فایل این مقاله در 14 صفحه با فرمت PDF قابل دریافت می باشد

استخراج به نرم افزارهای پژوهشی:

لینک ثابت به این مقاله:

شناسه ملی سند علمی:

JR_SAPD-10-1_004

تاریخ نمایه سازی: 1 مهر 1398

چکیده مقاله:

تحلیل­گران در گذشته جهت تشخیص بدافزار و تحلیل رفتار فایل اجرایی از مقایسه امضای فایل استفاده می­کردند. نویسندگان بدافزارهای پیشرفته و جدید برای دور زدن بررسی امضا از روش­های مبهم­سازی جهت پنهان­سازی اطلاعات استفاده کردند که بیشترین، مهم­ترین و کارآمدترین روش مبهم­سازی، بسته­بندی کردن است. این روش بدون اینکه به رفتار فایل اجرایی اصلی صدمه­ای بزند، ترتیب کدهای آن را به هم ریخته، رمزگذاری کرده و حتی کد را فشرده می­کند و کد اصلی تا زمانی که اجرا نشده مبهم می­ماند. روش­هایی که هم اکنون برای بازگشایی این گونه فایل­ها استفاده می­کنند اغلب روش­هایی هستند که به صورت خاص به­ازای هر نوع بسته­بندی­کننده بازگشایی­کننده مخصوص آن فایل را ایجاد می­کنند. روش­های دیگری نیز همچون Renovo، OmniUnpack برای بازگشایی وجود دارند که به عنوان   بازگشایی­کننده­های عمومی شناخته می­شوند و در واقع ضعف روش­های قبلی در رابطه با نیاز به دانش از نوع بسته­بندی­کننده را پوشش   می­دهند، اما مشکل اصلی آن ها یافتن نقطه ورود اصلی برنامه یا همان انتهای بخش بازگشایی است. در اینجا برای برطرف کردن این مشکل روشی ارائه شد که با استفاده از ردیابی صفحات حافظه و پیگیری صفحات نوشته شده و سپس اجراشده این نقطه را شناسایی می­کند و سپس از آن ناحیه فایل جدیدی که بازگشایی شده است ساخته می­شود تا اولا نیازی به دانش از نوع بسته­بندی­کننده وجود نداشته باشد و دوما برای بسته­بندی­کننده­هایی که در آینده ایجاد می­شوند نیز بتواند مورد استفاده قرار گیرد. در نهایت در بخش ارزیابی نشان داده خواهد شد که درصد بسیار بالایی از بسته­بندی­کننده­های فعلی را می­توان با آن بازگشایی نمود (بالای 90%) و در موتور ضد بدافزارها از آن استفاده نمود.

نویسندگان

یوسف شکوری

دانشجوی کارشناسی ارشد، دانشگاه آزاد شبستر

سعید پارسا

دانشیار، دانشگاه علم و صنعت ایران

مراجع و منابع این مقاله:

لیست زیر مراجع و منابع استفاده شده در این مقاله را نمایش می دهد. این مراجع به صورت کاملا ماشینی و بر اساس هوش مصنوعی استخراج شده اند و لذا ممکن است دارای اشکالاتی باشند که به مرور زمان دقت استخراج این محتوا افزایش می یابد. مراجعی که مقالات مربوط به آنها در سیویلیکا نمایه شده و پیدا شده اند، به خود مقاله لینک شده اند :
  • A. Sharma and S. K. Sahay, Evolution and Detection of ...
  • W. Yang, A. Yuanyuan, Z. Juanru, L. Junliang S. Bodong, ...
  • S. Jain and Y. K. Meena, Byte Level n–Gram Analysis ...
  • T. Graf, Generic unpacking: How to handle modified or unknown ...
  • L. Martignoni, Ch. Mihai, and J. Somesh, Omniunpack: Fast, generic, ...
  • N. Pors, The Effectiveness of Self-Mutating Malware Detection Techniques, Utica ...
  • X. Tan, Anti-unpacker tricks in malicious code, In Proceedings of 10th ...
  • M. Christodorescu, J. Somesh, K. Johannes, K. Stefan, and V. ...
  • S. Huda, J. Abawajy, M. Alazab, M. Abdollalihian, R. Islam, ...
  • G. Pék, E. Author, Z. Lázár, Z. Várnagy, M. Félegyházi, ...
  • S. Najari and E. Terik, Common features of destructive detection ...
  • G. C. Kessler, Anti-forensics and the digital investigator, In Australian Digital ...
  • Y. Park, We can still crack you! general unpacking method ...
  • M. G. Kang, P. Pongsin, and Y. Heng, Renovo: A ...
  • D. Regalado, H. Shon, H. Allen, E. Chris, N. Jonathan, ...
  • P. Battista, F. Mercaldo, and V. Nardone, A. Santone, and ...
  • P. Szor,  The art of computer virus research and defense, ...
  • S. Jose, Deep Packer Inspection: A Longitudinal Study of the ...
  • J. Rajendran, V. Vedula, T. Labs, Austin, and R. Karri, ...
  • J. Caballero, U. Zurtuza, and J. Ricardo, Detection of Intrusions ...
  • A. Arora, T. Stallings, R. Hasan, and G. Warner, Malware ...
  • نمایش کامل مراجع