Design and Implementation of a Dynamic Metamorphic Engine

سال انتشار: 1391
محل انتشار: هفتمین سمپوزیوم بین المللی پیشرفتهای علوم و تکنولوژی
کد COI اختصاصی: SASTECH07_099
زبان مقاله: انگلیسی
تعداد مشاهده: 4264

نویسندگان

Iran, Azad University of Broujerd

چکیده

It is shown that the order of appearance of op-codes in malicious codes is different from normal codes. Based on this observation malicious codes are obfuscated by re-ordering their op-codes and making them close to benign code. Similarity test techniques can be applied to measure the similarity of suspicious code with its de-obfuscated or morphed copies. It is observed that the similarity test will decline if the percentage of the similarity of the suspicious code with benign codes is more than 20%. In this paper a new obfuscation algorithm to increase the similarity measure to above 20% is presented. The algorithm applies a supervised learning technique to determine the obfuscation method and to select the suitable benign code for assimilation. The effectiveness of our algorithm is demonstrated by applying two well known classes of antivirus, advanced and advanced+ [13], to detect the original and our obfuscated versions of four famous viruses known as Screen factor, Barfa,Waber and Aphaty.

کلیدواژه ها

Metamorphic malware, Malware signature, Statistical analysis code, Metamorphosis engine, Obfuscation, Cellular learning automata

مقالات مرتبط جدید

اطلاعات بیشتر در مورد COI

COI مخفف عبارت CIVILICA Object Identifier به معنی شناسه سیویلیکا برای اسناد است. COI کدی است که مطابق محل انتشار، به مقالات کنفرانسها و ژورنالهای داخل کشور به هنگام نمایه سازی بر روی پایگاه استنادی سیویلیکا اختصاص می یابد.

کد COI به مفهوم کد ملی اسناد نمایه شده در سیویلیکا است و کدی یکتا و ثابت است و به همین دلیل همواره قابلیت استناد و پیگیری دارد.