Εντοπισμός Packer σε εκτελέσιμα αρχεία
Οι επιθέσεις κακόβουλων λογισμικών αποτελούν ένα συχνό φαινόμενο για πολλά χρόνια στην κοινωνία των υπολογιστών και εξελίσσονται μέρα με τη μέρα για να διαπεράσουν τις εύρωστες άμυνες των μοντέρνων αντιϊκών συστημάτων. Πολλοί συγγραφείς κακόβουλου λογισμικού, για να αποκρύψουν την κακόβουλη συμπεριφ...
| Main Author: | |
|---|---|
| Other Authors: | |
| Format: | Thesis |
| Language: | Greek |
| Published: |
2016
|
| Subjects: | |
| Online Access: | http://hdl.handle.net/10889/9786 |
| id |
nemertes-10889-9786 |
|---|---|
| record_format |
dspace |
| institution |
UPatras |
| collection |
Nemertes |
| language |
Greek |
| topic |
Ευρετική ανάλυση Ιομορφικό λογισμικό Packer Heuristic analysis Malware 005.84 |
| spellingShingle |
Ευρετική ανάλυση Ιομορφικό λογισμικό Packer Heuristic analysis Malware 005.84 Σταγκίδης, Αθανάσιος Εντοπισμός Packer σε εκτελέσιμα αρχεία |
| description |
Οι επιθέσεις κακόβουλων λογισμικών αποτελούν ένα συχνό φαινόμενο για πολλά χρόνια στην κοινωνία των υπολογιστών και εξελίσσονται μέρα με τη μέρα για να διαπεράσουν τις εύρωστες άμυνες των μοντέρνων αντιϊκών συστημάτων. Πολλοί συγγραφείς κακόβουλου λογισμικού, για να αποκρύψουν την κακόβουλη συμπεριφορά των προγραμμάτων τους και να προσπεράσουν την διάγνωση των αντιϊκών, χρησιμοποιούν τεχνικές για να περιπλέξουν τον κώδικα τους και να κάνουν τη διαδικασία της αντίστροφης μηχανικής περίπλοκη και δύσκολη. Μια από αυτές είναι η χρήση packers για να συμπιέσουν και/ή να κρυπτογραφήσουν το αυθεντικό πρόγραμμα, κάνοντας το έτσι δύσκολο να αναλυθεί. Ο παραδοσιακός τρόπος άμυνας πολλών εμπορικών και ελεύθερων αντιϊκών εφαρμογών είναι η διάγνωση υπογραφών, η οποία αν και είναι γρήγορη και αποτελεσματική για κακόβουλο λογισμικό που είναι ήδη γνωστό, δεν μπορεί να χρησιμοποιηθεί για νέες απειλές και μπορεί να νικηθεί εύκολα από τις δυνατότητες μεταμόρφωσης των packers. Η πλειονότητα των εργαλείων διάγνωσης packer που έχει αναπτυχθεί έως τώρα, χρησιμοποιεί επίσης διάγνωση υπογραφών και υποφέρει από τα ίδια προβλήματα. Μια άλλη μέθοδος που έχει προταθεί βασίζεται στην δυναμική ανάλυση του πακεταρισμένου αρχείου με σκοπό τον εντοπισμό του αλγορίθμου πακεταρίσματος κατά τη διάρκεια της εκτέλεσης του προγράμματος (συγκεκριμένα κατά την φάση ξεπακεταρίσματος-unpacking). Έχουν δημοσιευτεί μερικές εργασίες οι οποίες μελετούν frameworks και λύσεις με τη μορφή λογισμικού προς αυτή τη κατεύθυνση. Παρ’ όλα αυτά η δυναμική ανάλυση μπορεί να γίνει χρονοβόρα και επικίνδυνη αν το κακόβουλο αρχείο ξεφύγει από το περιβάλλον του αναλυτή. Σε αυτή την διατριβή προτείνουμε ένα εργαλείο διάγνωσης packer, το οποίο εξάγει χαρακτηριστικά από το επιλεγμένο αρχείο με στατική ανάλυση και τότε με τη βοήθεια κάποιων ευρετικών μπορεί να διαγνώσει αν είναι πακεταρισμένο ή όχι και αν είναι πακεταρισμένο προχωρά στην διαδικασία αναγνώρισης του λογισμικού packer που χρησιμοποιήθηκε. Επιπλέον διεξαγάγαμε μερικά πειράματα με κανονικά πακεταρισμένα και μη πακεταρισμένα αρχεία καθώς και με πακεταρισμένο και μη πακεταρισμένο κακόβουλο λογισμικό. Σε αυτή τη πειραματική μελέτη αποδεικνύουμε ότι το εργαλείο μας, με όνομα PackDetect, μπορεί να πετύχει υψηλά ποσοστά διάγνωσης σε σύγκριση με δυο δημοφιλείς διαγνώστες packer. |
| author2 |
Παυλίδης, Γεώργιος |
| author_facet |
Παυλίδης, Γεώργιος Σταγκίδης, Αθανάσιος |
| format |
Thesis |
| author |
Σταγκίδης, Αθανάσιος |
| author_sort |
Σταγκίδης, Αθανάσιος |
| title |
Εντοπισμός Packer σε εκτελέσιμα αρχεία |
| title_short |
Εντοπισμός Packer σε εκτελέσιμα αρχεία |
| title_full |
Εντοπισμός Packer σε εκτελέσιμα αρχεία |
| title_fullStr |
Εντοπισμός Packer σε εκτελέσιμα αρχεία |
| title_full_unstemmed |
Εντοπισμός Packer σε εκτελέσιμα αρχεία |
| title_sort |
εντοπισμός packer σε εκτελέσιμα αρχεία |
| publishDate |
2016 |
| url |
http://hdl.handle.net/10889/9786 |
| work_keys_str_mv |
AT stankidēsathanasios entopismospackerseektelesimaarcheia AT stankidēsathanasios packerdetectionofexecutables |
| _version_ |
1771297226478321664 |
| spelling |
nemertes-10889-97862022-09-05T13:59:06Z Εντοπισμός Packer σε εκτελέσιμα αρχεία Packer detection of executables Σταγκίδης, Αθανάσιος Παυλίδης, Γεώργιος Ηλίας, Αριστείδης Μακρής, Χρήστος Τσακαλίδης, Αθανάσιος Stagkidis, Athanasios Ευρετική ανάλυση Ιομορφικό λογισμικό Packer Heuristic analysis Malware 005.84 Οι επιθέσεις κακόβουλων λογισμικών αποτελούν ένα συχνό φαινόμενο για πολλά χρόνια στην κοινωνία των υπολογιστών και εξελίσσονται μέρα με τη μέρα για να διαπεράσουν τις εύρωστες άμυνες των μοντέρνων αντιϊκών συστημάτων. Πολλοί συγγραφείς κακόβουλου λογισμικού, για να αποκρύψουν την κακόβουλη συμπεριφορά των προγραμμάτων τους και να προσπεράσουν την διάγνωση των αντιϊκών, χρησιμοποιούν τεχνικές για να περιπλέξουν τον κώδικα τους και να κάνουν τη διαδικασία της αντίστροφης μηχανικής περίπλοκη και δύσκολη. Μια από αυτές είναι η χρήση packers για να συμπιέσουν και/ή να κρυπτογραφήσουν το αυθεντικό πρόγραμμα, κάνοντας το έτσι δύσκολο να αναλυθεί. Ο παραδοσιακός τρόπος άμυνας πολλών εμπορικών και ελεύθερων αντιϊκών εφαρμογών είναι η διάγνωση υπογραφών, η οποία αν και είναι γρήγορη και αποτελεσματική για κακόβουλο λογισμικό που είναι ήδη γνωστό, δεν μπορεί να χρησιμοποιηθεί για νέες απειλές και μπορεί να νικηθεί εύκολα από τις δυνατότητες μεταμόρφωσης των packers. Η πλειονότητα των εργαλείων διάγνωσης packer που έχει αναπτυχθεί έως τώρα, χρησιμοποιεί επίσης διάγνωση υπογραφών και υποφέρει από τα ίδια προβλήματα. Μια άλλη μέθοδος που έχει προταθεί βασίζεται στην δυναμική ανάλυση του πακεταρισμένου αρχείου με σκοπό τον εντοπισμό του αλγορίθμου πακεταρίσματος κατά τη διάρκεια της εκτέλεσης του προγράμματος (συγκεκριμένα κατά την φάση ξεπακεταρίσματος-unpacking). Έχουν δημοσιευτεί μερικές εργασίες οι οποίες μελετούν frameworks και λύσεις με τη μορφή λογισμικού προς αυτή τη κατεύθυνση. Παρ’ όλα αυτά η δυναμική ανάλυση μπορεί να γίνει χρονοβόρα και επικίνδυνη αν το κακόβουλο αρχείο ξεφύγει από το περιβάλλον του αναλυτή. Σε αυτή την διατριβή προτείνουμε ένα εργαλείο διάγνωσης packer, το οποίο εξάγει χαρακτηριστικά από το επιλεγμένο αρχείο με στατική ανάλυση και τότε με τη βοήθεια κάποιων ευρετικών μπορεί να διαγνώσει αν είναι πακεταρισμένο ή όχι και αν είναι πακεταρισμένο προχωρά στην διαδικασία αναγνώρισης του λογισμικού packer που χρησιμοποιήθηκε. Επιπλέον διεξαγάγαμε μερικά πειράματα με κανονικά πακεταρισμένα και μη πακεταρισμένα αρχεία καθώς και με πακεταρισμένο και μη πακεταρισμένο κακόβουλο λογισμικό. Σε αυτή τη πειραματική μελέτη αποδεικνύουμε ότι το εργαλείο μας, με όνομα PackDetect, μπορεί να πετύχει υψηλά ποσοστά διάγνωσης σε σύγκριση με δυο δημοφιλείς διαγνώστες packer. Malware attacks are a common phenomenon for many years in the computer society and they are evolving day after day to penetrate the robust defenses of modern anti-malware systems. Many malware authors, in order to hide the malicious behavior of their software and bypass the anti-virus detection, use techniques to obfuscate their code and make the process of reverse-engineering complex and difficult. One of them is using packers to compress and/or encrypt the original software, thus making it hard to analyze. The traditional way of defense for many commercial and freeware antivirus solutions is signature scanning which although it is fast and effective for already known malware, it cannot be used for new threats and it’s easily defeated by the transforming capabilities of packers and protectors. The majority of the packer detection tools that have been developed until now, use signature scanning as well and suffer from the same problems. Another method that has been suggested is based in dynamic analysis of the packed file with the purpose of detecting the packing algorithm that was used during the execution of the program (specifically during the unpacking phase). Some papers have been published that study frameworks and software solutions in this direction. However dynamic analysis can be time-consuming and dangerous if the malicious file escapes from the analyst’s environment. In this thesis we propose a packer detection tool, that extracts features of the chosen file with static analysis and then with the help of some heuristics it can detect if it is packed or not, and if it’s packed it proceeds with the identification of the packer software that was used. We also performed some experiments with normal packed and non-packed files and with packed and non-packed malware. In this experimental study we prove that our tool, PackDetect, can reach high detection rates compared to two well-known packer detectors. 2016-12-15T14:52:03Z 2016-12-15T14:52:03Z 2016-05-31 Thesis http://hdl.handle.net/10889/9786 gr 6 application/pdf |
