تعداد نشریات | 39 |
تعداد شمارهها | 1,172 |
تعداد مقالات | 8,445 |
تعداد مشاهده مقاله | 6,340,825 |
تعداد دریافت فایل اصل مقاله | 3,587,923 |
بهبود روش OmniUnpack جهت بازگشایی عمومی فایل اجرایی قابلحمل با ردیابی صفحات حافظه | ||
پدافند غیرعامل | ||
مقاله 4، دوره 10، شماره 1 - شماره پیاپی 37، خرداد 1398، صفحه 45-58 اصل مقاله (1.24 M) | ||
نوع مقاله: مقاله پژوهشی | ||
نویسندگان | ||
یوسف شکوری1؛ سعید پارسا* 2 | ||
1دانشجوی کارشناسی ارشد، دانشگاه آزاد شبستر | ||
2دانشیار، دانشگاه علم و صنعت ایران | ||
تاریخ دریافت: 30 دی 1396، تاریخ پذیرش: 25 مهر 1397 | ||
چکیده | ||
تحلیلگران در گذشته جهت تشخیص بدافزار و تحلیل رفتار فایل اجرایی از مقایسه امضای فایل استفاده میکردند. نویسندگان بدافزارهای پیشرفته و جدید برای دور زدن بررسی امضا از روشهای مبهمسازی جهت پنهانسازی اطلاعات استفاده کردند که بیشترین، مهمترین و کارآمدترین روش مبهمسازی، بستهبندی کردن است. این روش بدون اینکه به رفتار فایل اجرایی اصلی صدمهای بزند، ترتیب کدهای آن را بههم ریخته، رمزگذاری کرده و حتی کد را فشرده میکند و کد اصلی تا زمانی که اجرا نشده مبهم میماند. روشهایی که هماکنون برای بازگشایی اینگونه فایلها استفاده میکنند اغلب روشهایی هستند که بهصورت خاص بهازای هر نوع بستهبندیکننده بازگشاییکننده مخصوص آن فایل را ایجاد میکنند. روشهای دیگری نیز همچون Renovo، OmniUnpack برای بازگشایی وجود دارند که بهعنوان بازگشاییکنندههای عمومی شناخته میشوند و در واقع ضعف روشهای قبلی در رابطه با نیاز به دانش از نوع بستهبندیکننده را پوشش میدهند، اما مشکل اصلی آنها یافتن نقطه ورود اصلی برنامه یا همان انتهای بخش بازگشایی است. در اینجا برای برطرف کردن این مشکل روشی ارائه شد که با استفاده از ردیابی صفحات حافظه و پیگیری صفحات نوشتهشده و سپس اجراشده این نقطه را شناسایی میکند و سپس از آن ناحیه فایل جدیدی که بازگشایی شده است ساخته میشود تا اولاً نیازی به دانش از نوع بستهبندیکننده وجود نداشته باشد و دوما برای بستهبندیکنندههایی که در آینده ایجاد میشوند نیز بتواند مورد استفاده قرار گیرد. در نهایت در بخش ارزیابی نشان داده خواهد شد که درصد بسیار بالایی از بستهبندیکنندههای فعلی را میتوان با آن بازگشایی نمود (بالای ۹۰%) و در موتور ضد بدافزارها از آن استفاده نمود. | ||
کلیدواژهها | ||
بازگشایی فایل اجرایی؛ بسته بندی فایل اجرایی؛ ردیابی صفحات حافظه؛ تحلیل ایستا؛ تحلیل پویا؛ رفتار فایل اجرایی | ||
مراجع | ||
11. S. Najari and E. Terik, “Common features of destructive detection methods using learning techniques,” The 9th Symposium on Advances in Science and Technology (9thSASTech), Mashhad, Iran, Dec. 2014.##
17. P. Szor, “The art of computer virus research and defense, Pearson Education, 2005.##
| ||
آمار تعداد مشاهده مقاله: 906 تعداد دریافت فایل اصل مقاله: 243 |