Разработка инструментария для динамического анализа вредоносного программного обеспечения
Автор: Переберина А.А., Костюшко А.В.
Журнал: Труды Московского физико-технического института @trudy-mipt
Рубрика: Информатика и управление
Статья в выпуске: 3 (39) т.10, 2018 года.
Бесплатный доступ
Рассматривается разработка инструментов для глубокого динамического анализа вредоносного программного обеспечения. Наша основная идея - обеспечить полный контроль над исполнением образца программного обеспечения на тестовом сервере. Для этого мы отделяем код приложения от системного кода путём составления карты памяти и контроля над доступом к её участкам. Модуль, осуществляющий глубокий динамический анализ, следит за внутренними событиями исследуемого образца, при этом используя инвазивные методы исследования, такие как перехват вызовов систем- ных функций или патч исполняемого файла. В работе описаны ключевые стадии созда- ния базового прототипа модуля глубокого динамического анализа, а также некоторые технические идеи решения проблем анализа многопоточных приложений, маскиров- ки аналитических инструментов и снижения нагрузки на операционную систему. В будущем авторы собираются применить разрабатываемые инструменты для детекти- рования вредоносной активности и определения подозрительных паттернов поведения с использованием модели машинного обучения.
Вредоносное программное обеспечение, динамический анализ вредоносного программного обеспечения
Короткий адрес: https://sciup.org/142220440
IDR: 142220440
Список литературы Разработка инструментария для динамического анализа вредоносного программного обеспечения
- Переберина А.А., Костюшко А.В. Проектирование программно-аппаратного комплекса для запуска вредоносного программного обеспечения//Труды МФТИ. 2018. Т. 10, № 2. C. 114-130.
- Process Monitor. URL: https://docs.microsoft.com/en-us/sysinternals/downloads/procmon.
- Egele M., Scholte Th., Kirda E., Kruegel C. A survey on automated dynamic malware-analysis techniques and tools//ACM Computing Surveys. 2012. V. 44, N 2, Article 6. URL: https://www.cs.ucsb.edu/%7Echris/research/doc/acmsurvey12_dynamic.pdf.
- Balci E. Искусство антидетекта. Часть 1 -Введение в техники детектирования//securitylab.ru, 2017. URL: https://www.securitylab.ru/analytics/485677.php, 2017.
- Hosseini A. Ten Process Injection Techniques: A Technical Survey Of Common And Trending Process Injection Techniques//www.endgame.com/blog/technical-blog, 2017. URL: https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-common-and-trending-process.
- Pietrek M. Peering Inside the PE: A Tour of the Win32 Portable Executable File Format//Microsoft Systems Journal. 1994. URL: https://msdn.microsoft.com/en-us/library/ms809762.aspx.
- Vectored Exception Handling//Microsoft. URL: https://msdn.microsoft.com/en-us/library/windows/desktop/ms681420(v=vs.85).aspx.
- Intel➤ 64 and IA-32 Architectures Software Developer’s Manual Combined Volumes: 1, 2A, 2B, 2C, 2D, 3A, 3B, 3C, 3D and 4//Intel. 2018. V. 1 3-15. URL: https://software.intel.com/sites/default/files/managed/39/c5/325462-sdm-vol-1-2abcd-3abcd.pdf.
- RtlAddFunctionTable function//Microsoft. URL: https://msdn.microsoft.com/en-us/library/windows/desktop/ms680588(v=vs.85).aspx.
- PE Format//Microsoft. URL: https://msdn.microsoft.com/en-us/library/windows/desktop/ms680547(v=vs.85).aspx#the_.pdata_section.
- Shilon O. On API-MS-WIN-XXXXX.DLL, and Other Dependency Walker Glitches//ofekshilon.com, 2016. URL: https://ofekshilon.com/2016/03/27/on-api-ms-win-xxxxx-dll-and-other-dependency-walker-glitches.
- Renaud S. Runtime DLL name resolution: ApiSetSchema Part I//blog.quarkslab.com, 2012. URL: https://blog.quarkslab.com/runtime-dll-name-resolution-apisetschema-part-i.html.
- Api set resolution//lucasg.github.io, 2017. URL: https://lucasg.github.io/2017/10/15/Api-set-resolution.
- Батырь А. Windows 7: технология «системных заплаток» (Shims)//ru.pcmag.com. URL: http://ru.pcmag.com/iznutri/4123/help/windows-7-bezopasnost-i-sovmestimost?p=5.
- Ionescu A. Secrets of the Application Compatilibity Database (SDB) Part 3//alex-ionescu.com. 2007. URL: http://www.alex-ionescu.com/?p=41. 16.
- TLB Desynchronization (Split TLB)//Uninformed. 2019. URL: http://uninformed.org/index.cgi?v=6&a=1&p=21.
- Intel Software Developer’s Manual. V. 3A. 4-31.
- Intel Software Developer’s Manual. Vol. 3A. 5-30.
- Control-flow Enforcement Technology Preview//Intel. 2017. URL: https://software.intel.com/sites/default/files/managed/4d/2a/control-flow-enforcement-technology-preview.pdf.
- Ionescu A. The Linux kernel hidden inside Windows 10//BlackHat, 2016. URL: https://github.com/ionescu007/lxss/blob/master/The Linux kernel hidden inside windows 10.pdf.
- Hammons J. Pico Process Overview//Microsoft, 2016. URL: https://blogs.msdn.microsoft.com/wsl/2016/05/23/pico-process-overview/.
- Tang J. How Windows 10 Implements Parallel Loading//threatmatrix.cylance.com, 2017. URL: https://threatmatrix.cylance.com/en_us/home/windows-10-parallel-loading-breakdown.html.
