Tez No |
İndirme |
Tez Künye |
Durumu |
599734
|
|
Imaging and evaluating the memory access for malware / Zararlı yazılımlar için bellek erişimlerinin görüntülenmesi ve değerlendirilmesi
Yazar:ÇAĞATAY YÜCEL
Danışman: DOÇ. DR. AHMET HASAN KOLTUKSUZ
Yer Bilgisi: Yaşar Üniversitesi / Fen Bilimleri Enstitüsü / Bilgisayar Mühendisliği Ana Bilim Dalı
Konu:Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol = Computer Engineering and Computer Science and Control
Dizin:
|
Onaylandı
Doktora
İngilizce
2019
133 s.
|
|
Kötü amaçlı yazılım analizi adli bilişsel bir süreçtir. Zararlı yazılım; başarılı
bir şekilde hedef bilgisayara bulaştıktan, amaçladığı zarar hedef bilgisayarda
oluştuktan ve yazılım kendini tam ölçekte gösterdikten sonra ancak çalıştırılabilir
dosyanın hedefi ve yapısı gerçek anlamda anlaşılabilir. Zararlı yazılım analizi ile elde
edilen bu bulgular kötü amaçlı yazılım imzalarına dönüştürülmekte; antivirüs
veritabanları ve tehdit istihbarat değişim platformları arasında paylaşılmaktadır. Bu
çok değerli bilgiler daha sonra kötü amaçlı yazılımların daha fazla yayılmasını
önlemek amacıyla saptama/önleme mekanizmalarında kullanılır. Bu süreçte kötü
amaçlı yazılım örneğinin analizi iki kategoriye ayrılır: statik analiz ve dinamik analiz.
Statik analizde çalıştırılabilir dosya, tersine mühendislik yazılımları aracılığıyla
kaynak koduna geri döndürülüp analiz edilirken, dinamik analiz, çalıştırılabilir
dosyanın dışarıya kapalı bir ortamda çalıştırılmasını ve davranışlarının analizini içerir.
Hem statik hem de dinamik analiz, paketleme, perdeleme, ölü kod ekleme, sanal
makinenin algılanması ve hata ayıklama önleme teknikleri gibi analiz önleme
teknikleriyle sınırlıdır. Öte yandan bellek üzerinden gerçekleştirilen analiz işlemleri
bu sınırlamalarla gizlenemez ve bilgisayar sistemlerinin modellerinin icadından bu
yana herhangi bir yazılım için kaçınılmazdır. Bu nedenle, bu araştırmada, kötü niyetli
eylemler için bellek işlemleri ve bellek erişim örüntüleri incelenmiş, bellek erişim
görüntülerinin çıkarılması için yeni bir yaklaşımın katkısı litaretüre sunulmuştur. Bu
çıkarma yöntemine ek olarak, bu görüntülerin tespiti ve karşılaştırma için nasıl
kullanılabileceği görüntü karşılaştırma tekniği ile ortaya konulmuştur.
|
|
Malware analysis is a forensic process. After infection and the damage represented
itself with the full scale, then the analysis of the attack, the structure of the executable
and the aim of the malware can be discovered. These discoveries are converted into
analysis reports and malware signatures and shared among antivirus databases and
threat intelligence exchange platforms. This highly valuable information is then
utilized in the detection mechanisms in order to prevent further dissemination and
infections of malware. The types of analysis of the malware sample in this process can
be grouped into two categories: static analysis and dynamic analysis. In static analysis,
the executable file is reverted to the source code through disassemblers and reverse
engineering software and analyzed whereas dynamic analysis includes running the
sample in an isolated environment and analyzing its behavior. Both static and dynamic
analysis have limitations such as packing, obfuscation, dead code insertion, sandbox
detection, and anti-debugging techniques. Memory operations, on the other hand, are
not possible to hide by these limitations and inevitable for any software since the
inventions of the computational models. Therefore, in this research, memory
operations and access patterns for the malicious acts are examined and a contribution
of a novel approach for extracting of memory access images is presented. In addition
to extraction, methods of how these images can be used for detection and comparison
is introduced through an image comparison technique. |