16275

16275

ارائه روش واكاوي حافظه با هدف تشخيص روت‌كيت

كارشناسي ارشد

نرم‌افزار

فروردين 1395

دكتر سعيد پارسا

كامپيوتر

چكيده روت‌كيت به گونه‌اي از بدافزارها اطلاق مي‌شود كه وظيفه‌ي آن‌ها پنهان‌سازي پردازه‌ها و برنامه‌ها از روش‌هاي معمولي شناسايي و ايجاد دسترسي ممتاز دائمي در سيستم است. هدف از اين پژوهش كشف روت‌كيت‌هايي است كه با استفاده از راهكار تغيير مستقيم اشياي هسته سعي در مخفي نمودن خود و بدافزارهاي جانبي‌شان در حافظه اصلي دارند. در اين پايان‌نامه، ابتدا با معرفي مفاهيم پايه و سپس با بررسي چالش‌هاي موجود در كشف روت‌كيت‌ها، از واكاوي حافظه براي كشف پردازه‌هاي پنهان روت‌كيت‌ها در حافظه استفاده شده‌است. كشف پردازه‌ها مي‌تواند بر اساس اطلاعات سيستم‌عامل و يا مستقل از آن و بر مبناي جستجوي امضاي پردازه‌ها طي پويش حافظه باشد. چالش عمده در اين مسئله غيرقابل اعتماد بودن اطلاعات سيستم‌عامل دستكاري‌شده توسط بدافزار است كه مي‌تواند منجر به ناكارآمدي روشهاي ذكرشده گردد. براي حل اين مشكل، نياز به ايجاد امضايي داريم كه علاوه بر دقت بالاي كشف انواع پردازه‌ها در حافظه، نسبت به دستكاريهاي صورت‌گرفته توسط بدافزارها مقاوم باشد. در اين راستا، ابتدا با استخراج ساختار حدود پنج هزار پردازه از تصوير حافظه‌ي سيستم هاي در حال اجرا، مجموعه‌اي از ساختار داده تهيه شد. سپس با بررسي اين مجموعه، بيت‌هاي با مقدار مشترك بين پردازه‌ها در قالب رشته امضاي پوياي بيتي به دست آمدند. از آنجايي كه ساختار پردازه در هسته به اندازه كافي بزرگ است، همين امضاي بيتي مي‌تواند پردازه‌ها را از ساير داده‌ها در تصوير حافظه متمايز سازد. نوآوري اين پژوهش، در ارائه‌ي "امضاي بيتي پوياي تركيبي" است كه اين امضاي تركيبي با افزودن امضاي سرآمدهاي سيستمي مربوط به پردازه‌ها به امضاي ساختار اصلي ايجاد مي‌شود. جهت تطبيق امضا با پردازه‌هاي جديد، عددي به نام حد آستانه تشابه در نظر گرفته مي‌شود كه مقدار آن براي هر بخش امضاي تركيبي با توجه به اندازه‌ي آن بخش و پس از آزمايش مقادير مختلف تعيين مي‌شود. ارزيابي‌ها نشان مي‌دهد امضاي ارائه شده قادر است تمامي ساختارهاي پردازه حاضر در تصوير حافظه را در زماني كمتر از ساير روش‌هاي مورد مطالعه بيابد و اعمال حد آستانه تشابه به امضا موجب كشف پردازه‌هاي تغيير يافته مي‌گردد. علاوه بر آن، با توجه به توليد امضا به صورت خودكار و مستقل از محتواي بخشهاي ساختار پردازه، مي‌توان از اين روش براي توليد امضاي ساختار اشياي مختلف در نسخه‌هاي متفاوت از سيستم‌عامل‌هاي مختلف استفاده نمود. روش مورد استفاده به تفصيل در اين پايان‌نامه شرح داده‌شده و از جنبه‌هاي گوناگون مورد بحث و ارزيابي قرار گرفته‌است. واژه‌هاي كليدي: واكاوي حافظه، تحليل حافظه، روت‌كيت، كشف پردازه‌هاي پنهان، كشف حملات DKOM

1395/10/22

1/1/1900 12:00:00 AM

Abstract: The goal of this thesis is to detect rootkits which hide themselves an​d their associated malwares in main memory using direct kernel object modification techniques. Memory forensics is used to find hidden processes of rootkits in memory. Hidden processes can be detected either according to information of operating systems o​r based on signature of processes during scanning memory. The main problem in this procedure is unreliability of data obtained from kernel operating system which is manipulated by malware an​d make mentioned methods ineffective. To solve this problem, we need a signature which not only has high precision in finding processes in memory but also be robust to manipulation of malwares. So, structure of about five thousand processes extracted from memory image of running systems an​d stored as process’s structure dataset. Then dataset has been analyzed an​d common bits between processes have been gained. Innovation of this research is in presenting “Combinational Dynamic Bit Signature” which is built by adding signature of related headers to basic process structure. To adapt signature with new processes, a threshold has been defined for every part of combinational signature due to part’s size. Evaluations show that provided signature can find all process structures in memory image faster than other methods, while applying threshold to signature make it to find manipulated processes too. In the other hand, due to producing the signature automatically an​d independent to process structure’s content, this method can be used to produce other kernel object’s signatures in other versions of operating system. Keywords: Memory Forensics, Memory Analysis, Rootkit, hidden process detection, DKOM attacks detection