شماره ركورد
16964
شماره راهنما(اين فيلد مربوط به كارشناس ميباشد لطفا آن را خالي بگذاريد)
16964
پديد آورنده
عليرضا جعفري فرد
عنوان
ارائه روشي براي شناسايي الگوريتمهاي رمزگذاري در فشردهسازها جهت نافشردهكردن ايستاي آنها
مقطع تحصيلي
كارشناسي ارشد
رشته تحصيلي
نرم افزار
تاريخ دفاع
شهريور ماه 1395
استاد راهنما
دكتر سعيد پارسا
دانشكده
كامپيوتر
چكيده
چكيده
همانطور كه ميدانيد بدافزار مهمترين عامل تهديدات امنيتي در فضاي مجازي ميباشد. ميزان اين بدافزارها به حدي است كه برخي آمارها نشان ميدهد روزانه بيش از 400000 بدافزار جديد منتشر ميشود. بسياري از اين بدافزارها براي جلوگيري از شناسايي فشرده ميشوند. بنابراين جهت تحليل آنها بايد ابتدا آنها را از حالت فشرده خارج نمود. نافشردهسازي به دو روش ايستا و پويا انجام ميگيرد. مطمئناً نافشردهسازي پوياي بدافزارها خطرناك و زمانبر ميباشد. به همين دليل بايد از روشهايي استفاده شود كه بتوان اين فايلها را بصورت ايستا نافشرده كرد. براي نافشردهسازي ايستاي فايلهاي فشرده نياز به شناسايي الگوريتم رمزگذاري استفادهشده ميباشد تا بتوان نحوه نافشرده كردن را مشخص كرد.
تاكنون ابزارهاي زيادي براي نافشردهسازي پويا ارائه شدهاند. مهمترين مشكل اين ابزارها اين است كه به بدافزار اجازه اجرا ميدهد. براي حل اين مشكل راهكار نافشردهسازي ايستا ارائه شده است، اما اين راه حل مشكل محدوديت دارد. محدوديت نافشردهسازي ايستا در استفاده از روشهاي مبتني بر امضا براي شناسايي نوع فشردهساز و الگوريتمهاي استفادهشده در درون آن ميباشد. به همين خاطر روش نافشردهسازي ايستا مبتني بر امضا تنها زماني قابل استفاده است كه امضاي آن فشردهساز در دسترس ابزار باشد و نميتوان از اين روش براي نافشردهسازي فشردهسازهاي شخصيسازيشده يا فشردهسازهاي اختصاصي استفاده نمود. در اين پاياننامه چارچوبي براي شناسايي الگوريتم فشردهساز ارائه خواهد شد كه از روش استخراج ويژگيهاي زيرروال استخراج به همراه الگوريتمهاي دادهكاوي استفاده ميكند. بنابراين بدون نياز به در اختيار داشتن امضاي فشردهسازها و محافظگرها توان شناسايي الگوريتمهاي استفادهشده در فايل فشرده را دارد. همچنين اين چارچوب قادر به شناسايي الگوريتمهاي استفادهشده در فشردهسازهايي كه از توابع رابط برنامهنويسي كاربردي استفاده ميكنند نيز ميباشد.
واژههاي كليدي: تحليل ايستا، نافشردهسازي ايستا، بدافزار، فشردهساز، رمزگذاري.
تاريخ ورود اطلاعات
1396/01/15
تاريخ بهره برداري
1/1/1900 12:00:00 AM
دانشجوي وارد كننده اطلاعات
اعظم صادقي
چكيده به لاتين
Abstract:
Malware is the most important security threat in cyberspace. Some statistics show that over 400,000 malware are released, every day. The majority of malware that appears today are packed in order to avoid easy detection. Therefore, they need to be unpacked before any analysis can begin. There are two methods for malware unpacking: static and dynamic. Dynamic unpacking is shown to be dangerous and time-consuming indeed. So, it is proposed to employ static unpacking methods to this aim. In order to statically unpack a given packed malware, it is necessary to identify the encryption algorithm used while packing process.
A large number of dynamic unpacking tools has been provided so far. The most important drawback with dynamic unpacking of malware is that it allows the malware to be executed on the system. Static unpacking methods have been proposed in order to deal with this problem. However, it has some limitations. The applicability of static unpacking in signature-based methods is limited due to its inability on identification of the type of compression and the encryption algorithm. So, signature-based static malware unpacking is just usable when the signature of the packer is available and it can not be used to unpack the customized or unknown packers.
In this thesis a framework for identifying compresson or encryptoing algorithms in packed malware is proposed that employs feature extraction and data-mining techniques. Therefore, it can be used to identify the algorithms used in packed malware without having in hand the signature of packers and protectors. The proposed framework is also able to detect Microsoft CryptoAPI function calls for encryption/decryption.
Keywords: Static Analysis, Static Unpacking, Malware, Packer, Encryption