ارایه یک محیط امن و هوشمند برای تحلیل بی خطر بدافزار

نویسندگان

1 کارشناسی ارشد، دانشگاه آزاد اسلامی بروجرد

2 دانشیار، دانشگاه علم و صنعت ایران

چکیده

در این مقاله طرح معماری و نحوه پیاده سازی یک محیط تحلیل گر مبتنی بر جعبه شن در سمت کاربر آورده شده است. این محیط برای اجرای بی خطر و امن یک برنامه مشکوک، به منظور کشف بد خواه یا بی خطر بودن آن و یا یک بد افزار برای تعیین ماهیت و نحوه عملکرد آن برای مدل سازی رفتاری توضیح به کار برده می شود. اهمیت این روش در رفع مشکلات موجود برای کشف بد افزار های مبهم شده و یا دگردیس بر اساس روش های مبتنی بر امضاء و تحلیل های رفتاری ایستا به خوبی نمایان است که در واقع هدف اصلی این مقاله می باشد. جعبه شن طراحی شده با این روش توانایی رهگیری و پاسخ به در خواست های برنامه مورد تحلیل را در دو سطح کاربر و هسته سیستم عامل را دارد به گونه ای که به سیستم کاربر هیچ گونه آسیبی وارد نشود. پاسخ این درخواست ها با شبیه سازی، مجازی سازی و محدود سازی منابع سیستم عامل داده می شود. علاوه بر آن در این مقاله ضمن توضیح روش های شناسایی و دور زدن محیط های تحلیل گر راه کار هایی برای مقابله با آنها ارایه شده که در طرح پیشنهادی مورد استفاده قرار گرفته است. در پایان این مقاله روش پیشنهادی با چند روش و ابزار معروف مقایسه و نقاط قوت آن مشخص شده است. و در مقاله دیگری به مقایسه اجمالی نحوه رهگیری و پاسخ گویی درخواست های برنامه در دو سطح کاربر و هسته پرداخته و مزایا و معایب هر کدام را بیان نموده و نحوه هوشمند سازی جعبه شن پیشنهادی نیز ارایه خواهد شد.

کلیدواژه‌ها

مراجع

[1] Javaheri, D.; ―Design and Implementation a Secure and
Intelligent Environment for Malware Analysis.‖; M.Sc. Thesis,
Islamic Azad University, Borujerd Branch, Borujerd, Iran, 2014.
(In Persian)
[2] Infographic: The State of Malware, http://www.mcafee.com/
in/security-awareness/articles/state-of-malware-2013.aspx.,
2013.
[3] The Need for Speed: Incident Response Survey, FireEye.
http://www.inforisktoday.in/surveys/2013-incident-responsesurvey-
s-18, 2013.
[4] Mohammadzadeh Lajevardi, A. ―Design and Implementation of
a Behavior-Based Method for Malware Detection.‖; M.Sc.
Thesis, Iran University of Science and Technology, Tehran,
2013. (In Persian)
[5] ―Applications (Confining the Wily Hacker).‖; In Proc. of the
6th USENIX UNIX Security Symposium, 2011.
[6] Hoglund, G.; Butler, J. ―Rootkits: Subverting the windows
kernel.‖; 1st, 2005.
[7] Silberschatz, A.; Galvin, P.B.; Gagne, G. ―Operating System
Concepts.‖; 9th, 2012.
[8] Sanabria, A. ―Malware Analysis: Environment Design and
Architecture.‖; SANS Institute InfoSec Reading Room, 2007.
[9] ―Cuckoo Sandbox Book.‖; http://docs.cuckoosandbox.org/
en/latest/, 2013.
[10] Gooran Ourimi, A. ―Design and Implementation a File Analyzer
Based on Virtual Machine Hypervisor.‖; M.Sc. Thesis, Iran
University of Science and Technology, Tehran, 2014. (In
Persian)
[11] Schönbein, C. ―PyBox - A Python Sandbox‖; Diploma Thesis,
May 2011.
[12] Engelberth, M.; Göbel, J.; Schönbein, C.; Freiling, C. ―PyBox A
Python Sandbox.‖; In Proc. of Make Available to a Broad
Public Recent Findings in Informatics of Computer Science and
Information Systems, pp. 137-138, 2011.
[13] Plohmann, D.; Leder, F. ―GI Graduate Workshop on Reactive
Security for PyBox.‖; University of Bonn, Germany, 2010.
[14] Russinovich, M.; Solomon, D.; Ionescu, A. ―Windows Internals
Part1.‖; 6th, 2012.
[15] Blunden, A. ―The Rootkit Arsenal.‖; 2nd, 2012.
[16] Parsa, S.; Mohammadzadeh Lajevardi, A.; Amiri, M. J.
―Propose a Method for Attack to Malware Detector Tools with
Hiding System Calls.‖; In Proc. of 18th Iran Computer
Conference, Sharif University of Technology, 2013. (In Persian)
[17] Javaheri D.; Parsa S. ―Protection of Operation System against
Spywares.‖; Advanced Defense Science and Technology, vol. 5,
no. 2, pp. 171-181, 2014. (In Persian)
[18] ―Virus Sign Malware Data Base.‖; http://www.virussign.com/,
2014.
[19] Malware Data Base, http://borax.poluxhosting.com/madchat/
vxdevl/vxsrc, 2008.
[20] Salmani Balu, A.; Lazemi, S.; Parsa, S. ―Disinfect Infector
Viruses with PE Header.‖; In Proc. of 2nd Sofware Security,
Shiraz University, Shiraz, pp. 97-102, 2014. (In Persian)
[21] Javaheri D.; Parsa S. ―A Malware Detection Method Based on
Static Analysis of PE Structure‖; Passive Defense Science and
Technology, 2014, vol. 5. (In Persian)
[22] Sharifi, M.; Salimi, H.; Saberi, A.; Gharibshah, J. ―VMM
Detection Using Privilege Rings and Benchmark Execution
Times.‖; Int. J. Communication Networks and Distributed
Systems, 2014.
[23] Petzold, C., ―Programming Windows.‖; 6th, 2013.
[24] Berdajs, J.; Bosnić, Z. ―Extending Applications Using an
Advanced Approach to Dll Injection and Api Hooking,
Software: Practice and Experience.‖; vol. 40, pp. 567-584, 2010.
[25] Martin Arnold, T.; ―A Comparative Analysis of Rootkit
Detection Techniques.‖; M.S Thesis, The University of Houston
Clear Lake, May 2011.

فایل ها

سابقه مقاله

  • تاریخ دریافت: 19 خرداد 1393
  • تاریخ بازنگری: 13 تیر 1402
  • تاریخ پذیرش: 28 شهریور 1397

هم رسانی

ارجاع به این مقاله

آمار