15845

15845

تركيب روش‌هاي ايستا و پويا تحليل نرم‌افزار جهت شناسايي بدافزارها

كارشناسي ارشد

نرم‌افزار

اسفندماه 1394

اسفندماه 1394

دكتر سعيد پارسا

كامپيوتر

چكيده با افزايش روزافزون تعداد برنامه‌هاي مخرب و افزايش خسارت‌هاي ناشي از آن‌ها نياز به ارائه روشي خودكار و يكپارچه براي تشخيص بدافزارها به يك امر حياتي تبديل‌شده است.روش‌هاي تشخيص بدافزار مبتني بر تحليل ايستاو پويا، داراي معايبي مي‌باشندازاين‌رومي‌توان با ادغام اين دو روش تحليل، به فوايدي بسياري دست‌يافت. هدف از تحليل تركيبي ايستا و پويا رسيدن به حداكثر سطح كشف بدافزار مي‌باشد. روش‌هاي تركيبي ايستا و پويا داراي قدرت كشف بدافزار بيشتر از هركدام از روش‌هاي ايستا و پويا به‌تنهاييمي‌باشند. وجود راه‌كارهاي مبهم سازي، بسته‌بندي كننده‌ها و رمزگذاري‌ها درمجموع، كار تحليل ايستاي كد بدافزارها را با مشكل مواجه كرده است. از سوي ديگر روش‌هاي پويا به‌واسطه نياز به محيط‌هاي اجرايي غيرمعمول مورد شناسايي قرارگرفته و در عمل با مشكل مواجه مي‌باشند. لذا، روش‌هاي تركيبي با تركيب روش‌هاي ايستا و پويا مطرح‌شده‌اند. در اين پايان‌نامه سعي شده است كه روشي جديدي ارائه شود. در اينجا تحليل پويا به كمك تحليل ايستا آمده تا قدرت تحليل ايستا را در برابر روش‌هاي جلوگيري از اين تحليل افزايش دهد. در روش پيشنهادي ابتدا تحليل ايستا شروع به كار مي‌كندبه‌محض برخوردن به كد عملياتيكه قادر به شناسايي آن نباشد از تحليل پويا براي شناسايي آن استفاده مي‌كند. بعد از شناسايي كد عملياتيتوسط تحليل پويا، تحليل ايستا به‌طور مجدد كار را از جايي كه تحليل پويا كد عملياتي جديدي يافته، ادامه مي‌دهد. در عمل تحليل‌گر پويا تنها باعث مي‌شود كه تحليل¬گر ايستا از بسياري از موانع عبور نمايد.يكي از مشكلاتي ديگري كه تحليلگران با آن روبرو بودند، عبور از تمامي استثناها مي باشد تا بتوانند بدافزار رابه‌درستي تحليل نمايند كه در اين روش پيشنهادي تا حد زيادي اين مشكل حل‌شده است. يكي از مشكلات تحليل پويا بررسي نكردن تمامي مسيرهاي اجرايي مي باشد لذا در روش پيشنهادي تقريباً تمامي مسيرهاي اجرايي نيز بررسي مي‌شود بنابراين سعي شده است تا مشكل اصلي تحليل هابا توجه به راهكار ارائه شده تا حد زيادي رفع شود. واژه‌هاي كليدي:روش ايستا، روش پويا، روش تركيبي ايستا-پويا، كشف بدافزار، تحليل‌كننده كد، توابع API، الگوريتم آنتروپي.