مروری بر شیوه های نوین، در تشخیص بدافزار

  • سال انتشار: 1394
  • محل انتشار: کنفرانس بین المللی یافته های نوین پژوهشی در علوم،مهندسی و فناوری با محوریت پژوھشھای نیاز محور
  • کد COI اختصاصی: ICMRS01_380
  • زبان مقاله: فارسی
  • تعداد مشاهده: 762
دانلود فایل این مقاله

نویسندگان

محمد زحمت کش کناری

کارشناسی ارشد، نرم افزار، فنی مهندسی، دانشگاه آزاد اسلامی مرکز بابل

چکیده

از آنجا که مقالات مروری به دلیل داشتن مخاطبات ویژه، ارجاعات فراوان، مورد توجه مجلات علمی هستند، در این مقاله با بررسی مقالات ارائه شده در حوزه تشخیص بدافزار تلاش گردیده تا مقاله مرور کاملی در این حوزه داده شود. لازم به ذکر است که آخرین مقاله مروری این حوزه مربوط به سال 2007 هست.از مهم ترین بخش های حوزه امنیت نرم افزار، تشخیص بدافزار می باشد. در بهترین تقسیم بندی صورت گرفته، دو روش کلی برای شناسایی بدافزار وجود دارد که شامل روش ایستا (Static) و پویا (Dynamic) هست. در روش ایستا بدون اجرای بد افزار و با پویش فایل اجرایی قابل حمل (Portable Executable) کار شناسایی صورت می گیرد. در تحلیل پویا، رفتار یک برنامه با اجرا کردن واقعی برنامه و نظارت عملکرد آن از بیرون تحلیل می شود. از آنجایی که برنامه به طور واقعی اجرا شده است، رفتار اصلی آن به طور یکنواخت قابل تحلیل است، حتی اگر توسط روش های مختلف رمزگذاری و یا مبهم سازی غیرقابل فهم شده باشد. در نتیجه، همواره می توانیم رفتار هر برنامه را به طور دقیق تحلیل کنیم. تحلیل نرم افزار بدون اجرای آن، تحلیل ایستا نامیده می شود. فن های تحلیل ایستا می توانند روی ارائه ها و نمونه های مختلف یک برنامه اعمال شوند. اگر کد منبع در دسترس باشد، ابزارهای تحلیل ایستا می توانند به یافتن نقص های حافظه و اثبات صحت مدل های یک سیستم مفروض، کمک نمایند. ابزارهای تحلیل ایستا قابل استفاده بر روی نمونه های باینری یک برنامه نیز می باشند. زمانی که کد منبع یک برنامه به فایل باینری قابل اجرا تبدیل می شود، برخی اطلاعات (برای نمونه، اندازه ساختمان داده ها یا متغیرها) از بین می روند. این اطلاعات از دست رفته کار تحلیل کد را پیچیده تر می نماید. ابزارهای تحلیل ایستا برای استخراج اطلاعات مفید یک برنامه قابل استفاده می باشند. از جمله مزایای استفاده از روش تحلیل ایستا، کوتاه شده زمان تولید امضاء بدافزار، مصرف اندک منابع سیستم، بررسی تمامی مسیرهای اجرایی ممکن یک بدافزار، دسترسی ابزارهای مهندسی معکوس و پایداری این شیوه، را بیان نمود. همچنین از جمله معایب روش تحلیل ایستا می توان به محدودیت روش های مهندسی معکوس، عدم قطعیت به خاطر وجود فن های مبهم سازی و چندریختی در کد بدافزارها بیان کرد.در تحلیل پویا، رفتار یک برنامه با اجرا کردن واقعی برنامه و نظارت عملکرد آن از بیرون تحلیل می شود. ازآنجایی که برنامه به طور واقعی اجراشده است، رفتار اصلی آن به طور یکنواخت قابل تحلیل است، حتی اگر توسط روش های مختلف رمزگذاری(Encryption)، فشرده سازی(Packing) و یا مبهم سازی(Obfuscation) غیرقابل فهم شده باشد. در نتیجه، همواره می توانیم رفتار هر برنامه را به طور دقیق تحلیل کرد. از مزایای این روش می توان به کارایی و دقت، سادگی، دسترسی به اطلاعاتی از رفتار بدافزار اجرایی، عدم نیاز به رمزگشایی و مقاومت در برابر روش های مبهم سازی و درهم سازی کد، اشاره نمود. ازجمله معایب این شیوه نیز می توان به داشتن دیدی محدود از عملکرد بدافزار، وابستگی به هر اجرا و بازه زمانی هر اجرا، عدم وجود اطلاعات از رفتارهای تعاملی کاربر، مصرف زمان و منابع سیستم، محدودیت محیط مجازی و عدم دقت در تشخیص بدافزارها اشاره نمود. در این مقاله مروری بر شیوه های نوین در تشخیص بدافزار پرداخته شده است.

کلیدواژه ها

بدافزار، شیوه های تحلیل، تحلیل ایستا، تحلیل پویا

مقالات مرتبط جدید

اطلاعات بیشتر در مورد COI

COI مخفف عبارت CIVILICA Object Identifier به معنی شناسه سیویلیکا برای اسناد است. COI کدی است که مطابق محل انتشار، به مقالات کنفرانسها و ژورنالهای داخل کشور به هنگام نمایه سازی بر روی پایگاه استنادی سیویلیکا اختصاص می یابد.

کد COI به مفهوم کد ملی اسناد نمایه شده در سیویلیکا است و کدی یکتا و ثابت است و به همین دلیل همواره قابلیت استناد و پیگیری دارد.