تولید خودکار امضاء برای کرم واره های درایوهای جداپذیر مبتنی بر خط مشی

در این مقاله، یک روش برای تولید خودکار امضای آلودگی مبتنی بر خط مشی، برای دسته کرم واره های درایوهای جداپذیر ارایه میکنیم. ابتدا یک دسته بندی جدید از کرم واره ها از جنبه بستر و نحوه انتشار ارایه کرده و سپس دستهی جدید کرم واره های درایوهای جداپذیر را معرفی میکنیم. روش ارایه شده مبتنی بر میزبان است و ابتدا آلودگی های انجام شده توسط کرمواره درایوهای جداپذیر را تشخیص می دهد و سپس به صورت خودکار یک امضا برای آن دژافزار تولید می کند. این روش با استفاده از مجموعه ای از خط مشی هایی که برای امنیت سیستم تعریف میکنیم، از لحاظ فراخوانی های سیستمی، رفتار زمان اجرای یک کد مشکوک را بررسی میکند و در صورتی که نقض خط مشی امنیتی تعریف شده در سیستم رخ دهد کد مشکوک به عنوان کرمواره درایوهای جداپذیر شناخته خواهد شد. سپس با توجه به خط مشی تعریف شده و با استفاده از تحلیل پویا و تحلیل ایستا امضای خاص آن دژافزار را بصورت خودکار تولید می کند. بدین منظور، ابزار پیادهسازی شده با توجه به دیاگرام بلوکی سیستم AGIS طراحی و پیاده سازی شده است. در نهایت به تست ابزارمان نسبت به برنامه های موذی و غیر موذی پرداختیم. در نمونه های موذی بررسی شده این ابزار برای 69 درصد از نمونه ها میتواند با موفقیت امضا به صورت عبارت منظم تولید کند. با استفاده از امضاهای تولید شده توسط این ابزار در یک اسکنر، اسکنر همه برنامه های موذی تست شده از نوع کرم واره های درایوهای جداپذیر را تشخیص داد و در میان برنامه های غیر موذی تست شده اعلام مثبت نادرستی نداشت. با توجه به اینکه روش ارایه شده مبتنی بر خط مشی عمل می کند، می تواند برای دژافزارهای صفر روزه نیز امضای آلودگی تولید کند.