بهبود روش OmniUnpack جهت بازگشایی عمومی فایل اجرایی قابل حمل با ردیابی صفحات حافظه
محل انتشار: مجله پدافند غیر عامل، دوره: 10، شماره: 1
سال انتشار: 1398
نوع سند: مقاله ژورنالی
زبان: فارسی
مشاهده: 307
فایل این مقاله در 14 صفحه با فرمت PDF قابل دریافت می باشد
- صدور گواهی نمایه سازی
- من نویسنده این مقاله هستم
استخراج به نرم افزارهای پژوهشی:
شناسه ملی سند علمی:
JR_SAPD-10-1_004
تاریخ نمایه سازی: 1 مهر 1398
چکیده مقاله:
تحلیلگران در گذشته جهت تشخیص بدافزار و تحلیل رفتار فایل اجرایی از مقایسه امضای فایل استفاده میکردند. نویسندگان بدافزارهای پیشرفته و جدید برای دور زدن بررسی امضا از روشهای مبهمسازی جهت پنهانسازی اطلاعات استفاده کردند که بیشترین، مهمترین و کارآمدترین روش مبهمسازی، بستهبندی کردن است. این روش بدون اینکه به رفتار فایل اجرایی اصلی صدمهای بزند، ترتیب کدهای آن را به هم ریخته، رمزگذاری کرده و حتی کد را فشرده میکند و کد اصلی تا زمانی که اجرا نشده مبهم میماند. روشهایی که هم اکنون برای بازگشایی این گونه فایلها استفاده میکنند اغلب روشهایی هستند که به صورت خاص بهازای هر نوع بستهبندیکننده بازگشاییکننده مخصوص آن فایل را ایجاد میکنند. روشهای دیگری نیز همچون Renovo، OmniUnpack برای بازگشایی وجود دارند که به عنوان بازگشاییکنندههای عمومی شناخته میشوند و در واقع ضعف روشهای قبلی در رابطه با نیاز به دانش از نوع بستهبندیکننده را پوشش میدهند، اما مشکل اصلی آن ها یافتن نقطه ورود اصلی برنامه یا همان انتهای بخش بازگشایی است. در اینجا برای برطرف کردن این مشکل روشی ارائه شد که با استفاده از ردیابی صفحات حافظه و پیگیری صفحات نوشته شده و سپس اجراشده این نقطه را شناسایی میکند و سپس از آن ناحیه فایل جدیدی که بازگشایی شده است ساخته میشود تا اولا نیازی به دانش از نوع بستهبندیکننده وجود نداشته باشد و دوما برای بستهبندیکنندههایی که در آینده ایجاد میشوند نیز بتواند مورد استفاده قرار گیرد. در نهایت در بخش ارزیابی نشان داده خواهد شد که درصد بسیار بالایی از بستهبندیکنندههای فعلی را میتوان با آن بازگشایی نمود (بالای 90%) و در موتور ضد بدافزارها از آن استفاده نمود.
کلیدواژه ها:
بازگشایی فایل اجرایی ، بسته بندی فایل اجرایی ، ردیابی صفحات حافظه ، تحلیل ایستا ، تحلیل پویا ، رفتار فایل اجرایی
نویسندگان
یوسف شکوری
دانشجوی کارشناسی ارشد، دانشگاه آزاد شبستر
سعید پارسا
دانشیار، دانشگاه علم و صنعت ایران
مراجع و منابع این مقاله:
لیست زیر مراجع و منابع استفاده شده در این مقاله را نمایش می دهد. این مراجع به صورت کاملا ماشینی و بر اساس هوش مصنوعی استخراج شده اند و لذا ممکن است دارای اشکالاتی باشند که به مرور زمان دقت استخراج این محتوا افزایش می یابد. مراجعی که مقالات مربوط به آنها در سیویلیکا نمایه شده و پیدا شده اند، به خود مقاله لینک شده اند :