بهبود روش OmniUnpack جهت بازگشایی عمومی فایل اجرایی قابل‌حمل با ردیابی صفحات حافظه

شکوری, یوسف; پارسا, سعید

تعداد نشریات	39
تعداد شماره‌ها	1,172
تعداد مقالات	8,445
تعداد مشاهده مقاله	6,340,825
تعداد دریافت فایل اصل مقاله	3,587,923

	بهبود روش OmniUnpack جهت بازگشایی عمومی فایل اجرایی قابل‌حمل با ردیابی صفحات حافظه
پدافند غیرعامل
مقاله 4، دوره 10، شماره 1 - شماره پیاپی 37، خرداد 1398، صفحه 45-58 اصل مقاله (1.24 M)
نوع مقاله: مقاله پژوهشی
نویسندگان
یوسف شکوری¹؛ سعید پارسا^* ²
¹دانشجوی کارشناسی ارشد، دانشگاه آزاد شبستر
²دانشیار، دانشگاه علم و صنعت ایران
تاریخ دریافت: 30 دی 1396، تاریخ پذیرش: 25 مهر 1397
چکیده
تحلیلگران در گذشته جهت تشخیص بدافزار و تحلیل رفتار فایل اجرایی از مقایسه امضای فایل استفاده میکردند. نویسندگان بدافزارهای پیشرفته و جدید برای دور زدن بررسی امضا از روشهای مبهمسازی جهت پنهانسازی اطلاعات استفاده کردند که بیشترین، مهمترین و کارآمدترین روش مبهمسازی، بستهبندی کردن است. این روش بدون اینکه به رفتار فایل اجرایی اصلی صدمهای بزند، ترتیب کدهای آن را به‌هم ‌ریخته، رمزگذاری کرده و حتی کد را فشرده میکند و کد اصلی تا زمانی که اجرا نشده مبهم میماند. روشهایی که هم‌اکنون برای بازگشایی این‌گونه فایلها استفاده میکنند اغلب روشهایی هستند که به‌صورت خاص بهازای هر نوع بستهبندیکننده بازگشاییکننده مخصوص آن فایل را ایجاد میکنند. روشهای دیگری نیز همچون Renovo، OmniUnpack برای بازگشایی وجود دارند که به‌عنوان بازگشاییکنندههای عمومی شناخته میشوند و در واقع ضعف روشهای قبلی در رابطه با نیاز به دانش از نوع بستهبندیکننده را پوشش میدهند، اما مشکل اصلی آن‌ها یافتن نقطه ورود اصلی برنامه یا همان انتهای بخش بازگشایی است. در اینجا برای برطرف کردن این مشکل روشی ارائه شد که با استفاده از ردیابی صفحات حافظه و پیگیری صفحات نوشته‌شده و سپس اجراشده این نقطه را شناسایی میکند و سپس از آن ناحیه فایل جدیدی که بازگشایی ‌شده است ساخته میشود تا اولاً نیازی به دانش از نوع بستهبندیکننده وجود نداشته باشد و دوما برای بستهبندیکنندههایی که در آینده ایجاد میشوند نیز بتواند مورد استفاده قرار گیرد. در نهایت در بخش ارزیابی نشان داده خواهد شد که درصد بسیار بالایی از بستهبندیکنندههای فعلی را میتوان با آن بازگشایی نمود (بالای ۹۰%) و در موتور ضد بدافزارها از آن استفاده نمود.
کلیدواژه‌ها
بازگشایی فایل اجرایی؛ بسته بندی فایل اجرایی؛ ردیابی صفحات حافظه؛ تحلیل ایستا؛ تحلیل پویا؛ رفتار فایل اجرایی

مراجع
A. Sharma and S. K. Sahay, “Evolution and Detection of Polymorphic and Metamorphic Malwares,” International Journal of Computer Applications, vol. 90, no. 2, p. 7, June 2014.## W. Yang, A. Yuanyuan, Z. Juanru, L. Junliang S. Bodong, L. Wenjun, and H. Dawu Gu, “Bytecode Decrypting and DEX Reassembling for Packed Android Malware,” Part of the Lecture Notes in Computer Science book series (LNCS, volume 9404), Dec. 2015.## S. Jain and Y. K. Meena, “Byte Level n–Gram Analysis for Malware Detection,” In: K. R.Venugopal, L. M. Patnaik, (eds.) ICIP 2011. CCIS, vol. 157, pp. 51–59, Springer, Heidelberg, 2011.## T. Graf, “Generic unpacking: How to handle modified or unknown PE compression engines,” Virus Bulletin, 2005.## L. Martignoni, Ch. Mihai, and J. Somesh, “Omniunpack: Fast, generic, and safe unpacking of malware,” In Computer Security Applications Conference, 2007. ACSAC 2007. Twenty-Third Annual, pp. 431-441. IEEE, 2007.## N. Pors, “The Effectiveness of Self-Mutating Malware Detection Techniques,” Utica College, ProQuest Dissertations Publishing, May 2017.## X. Tan, “Anti-unpacker tricks in malicious code,” In Proceedings of 10th Annual AVAR International Conference, 2007.## M. Christodorescu, J. Somesh, K. Johannes, K. Stefan, and V. Helmut, “Software transformations to improve malware detection,” Journal in Computer Virology 3, no. 4, pp. 253-265, 2007.## S. Huda, J. Abawajy, M. Alazab, M. Abdollalihian, R. Islam, and J. Yearwood, “Hybrids of support vector machine wrapper and filter based framework for malware detection,” Future Generation Computer Systems, vol. 55, Issue C, pp. 376-390, Feb. 2016.## G. Pék, E. Author, Z. Lázár, Z. Várnagy, M. Félegyházi, and L. Buttyán, “A Posteriori Detection of Malicious Code Loading by Memory Paging Analysis,” ESORICS 2016: Computer Security – ESORICS 2016, pp.199-216, Sep. 2016.## 11. S. Najari and E. Terik, “Common features of destructive detection methods using learning techniques,” The 9th Symposium on Advances in Science and Technology (9thSASTech), Mashhad, Iran, Dec. 2014.## G. C. Kessler, “Anti-forensics and the digital investigator,” In Australian Digital Forensics Conference, p. 1, 2007.## Y. Park, “We can still crack you! general unpacking method for android packer (not root),” In: Black Hat Asia, 2015.## M. G. Kang, P. Pongsin, and Y. Heng, “Renovo: A hidden code extractor for packed executables,” In Proceedings of the 2007 ACM workshop on Recurring malcode, ACM, pp. 46-53, 2007.## D. Regalado, H. Shon, H. Allen, E. Chris, N. Jonathan, S. Branko, L. Ryan, and S. Stephen, “Gray Hat Hacking the Ethical Hacker's Handbook,” McGraw-Hill Education Group, 2015.## P. Battista, F. Mercaldo, and V. Nardone, A. Santone, and C. A. Visaggio, “Identification Malware Families with Model Checking,” Department of Engineering, University of Sannio, Benevento, Italy, sept. 2015.## 17. P. Szor, “The art of computer virus research and defense, Pearson Education, 2005.## S. Jose, “Deep Packer Inspection: A Longitudinal Study of the Complexity of Run-Time Packers,” 2015 IEEE Symposium on Security and Privacy (SP) (2015). CA, USA, May 2015.## J. Rajendran, V. Vedula, T. Labs, Austin, and R. Karri, “Detecting malicious modifications of data in third-party intellectual property cores,” DAC '15 Proceedings of the 52nd Annual Design Automation Conference Article, no. 112, June 2015.## J. Caballero, U. Zurtuza, and J. Ricardo, “Detection of Intrusions and Malware, and Vulnerability Assessment,” 13th International Conference, DIMVA 2016, San Sebastián, Spain, July 7-8, 2016.## A. Arora, T. Stallings, R. Hasan, and G. Warner, “Malware Secrets: De-Obfuscating in the Cloud,” June 2017.##
آمار تعداد مشاهده مقاله: 906 تعداد دریافت فایل اصل مقاله: 243

آمار

بهبود روش OmniUnpack جهت بازگشایی عمومی فایل اجرایی قابل‌حمل با ردیابی صفحات حافظه