12629

12629

طراحي و پياده‌سازي يك روش تحليل مبتني بر رفتار به منظور كشف بدافزارها

كارشناسي ارشد

كامپيوتر - نرم‌افزار

آبان ماه 1392

آبان ماه 1392

دكتر سعيد پارسا- دكتر محمدرضا كنگاوري

چكيده با افزايش پيچيدگي كدهاي بدخواه، نيازمند ارائه يك راهكار دقيق، امن و با سربار قابل‌قبول جهت تحليل و شناسايي بدافزارها هستيم. بدليل وجود روش‌هايي همچون مبهم سازي، رمزنگاري و چندريختي در كدهاي بدافزار، استفاده از روش¬هاي مبتني بر تحليل ايستا ناكارآمد است. بنابراين، راهكار ديگر استفاده از روش¬هاي تحليل پوياي بدافزار است. در گذشته روش‌هاي متعددي جهت تحليل پوياي بدافزار ارائه شده است. نقطه¬ضعف آن‌ها شامل عدم توجه به ويژگي¬هاي معنايي رفتار برنامه و همچنين چشم‌پوشي بر آسيب¬هاي وارده بر سيستم ميزبان توسط بدافزار در حال اجرا است. در اين پايان‌نامه روشي جهت تحليل و شناسايي بدافزار در سه فاز ارائه‌شده تا معايب روش‌هاي قبل را برطرف سازد. فاز اول طراحي يك سيستم رهگيري رفتار نرم‌افزار در دو سطح هسته و سطح كاربر است تا بتواند اطلاعات كامل و جامعي از رفتار نرم‌افزار استخراج نمايد. در فاز دوم بر اساس استخراج ويژگي¬هاي مخرب و سالم در كدهاي بدخواه و بي‌خطر عمل شناسايي ماهيتِ نرم‌افزار در حال اجرا انجام مي¬گردد. اين شناسايي بوسيله¬ي دنباله¬ي وابستگيِ معنايي بين فراخواني¬هاي سيستمي صورت مي¬گيرد. اين دنباله بر اساس استخراج وابستگي كنترلي و وابستگي داده¬اي بين فراخواني¬هاي سيستمي استخراج مي¬گردد. يك چالش اصلي در تحليل رفتاري بدافزار، نياز به اجراي آن بر روي سيستم‌عامل ميزبان است. بنابراين در فاز آخر يك محيط امن بدون استفاده از ماشين مجازي، روش‌هاي ترميم و بازيابي خطا و جعبه شن¬هاي محدودكننده ارائه مي¬گردد. اين محيط امن با استفاده از مجازي¬سازيِ درخواست¬هاي ارائه‌شده توسط بدافزار به سيستم¬عامل، از وارد شدن آسيب به سيستم جلوگيري مي¬نمايد. در نهايت نشان داده خواهد شد كه اين محيط امن داراي سربار بسيار كم و عمق تحليل زيادي نسبت به روش‌هاي موجود ديگر است. واژه‌هاي كليدي: رفتار نرم‌افزار، فراخواني سيستمي، جبعه¬شن، رهگيري فراخواني، تحليلگر