A New Approach to Malware Detection by Comparative Analysis of Data Structures in a Memory Image

سال انتشار: 1393
محل انتشار: سومین کنفرانس الکترونیکی بین المللی فن آوری اطلاعات،حال و آینده
کد COI اختصاصی: ITPF03_030
زبان مقاله: انگلیسی
تعداد مشاهده: 1759

دانلود فایل این مقاله

نویسندگان

Masoume Aghaei kheirabady

Department of Information Technology and Communications Security, Malek Ashtar University Tehran, Iran

Hossein Shirazi

Department of Information Technology and Communications Security, Malek Ashtar University Tehran, Iran

Seyyed Mohammad Reza Farshchi

Ferdowsi University of Mashhad

چکیده

Physical memory forensics has grown in popularityin recent years. Since malware typically operate in user space, itis important to reconstruct and track their process behavior.This paper focuses on detecting malware through a comparisonof the information in the user space memory data structures. Inorder to expedite information extraction and ensure accuracy,the data in multiple memory management structures in the userspace and the kernel are used concurrently. In the proposedmethod, using descriptions of memory structures, we extractmalware artifacts related to registry changes as well as, calls tolibrary files and operating system functions. The extractedfeatures are then evaluated, and samples are classified accordingto the selected attributes. The best results include a 98%detection rate and false positive rate of 16%, which indicates theeffectiveness of the proposed behavior extraction method.

کلیدواژه ها

مقالات مرتبط جدید

اطلاعات بیشتر در مورد COI

COI مخفف عبارت CIVILICA Object Identifier به معنی شناسه سیویلیکا برای اسناد است. COI کدی است که مطابق محل انتشار، به مقالات کنفرانسها و ژورنالهای داخل کشور به هنگام نمایه سازی بر روی پایگاه استنادی سیویلیکا اختصاص می یابد.

کد COI به مفهوم کد ملی اسناد نمایه شده در سیویلیکا است و کدی یکتا و ثابت است و به همین دلیل همواره قابلیت استناد و پیگیری دارد.