|
|
|
|
بهبود روش omniunpack جهت بازگشایی عمومی فایل اجرایی قابلحمل با ردیابی صفحات حافظه
|
|
|
|
|
|
|
|
نویسنده
|
شکوری یوسف ,پارسا سعید
|
|
منبع
|
پدافند غيرعامل - 1398 - دوره : 10 - شماره : 1 - صفحه:45 -58
|
|
چکیده
|
تحلیلگران در گذشته جهت تشخیص بدافزار و تحلیل رفتار فایل اجرایی از مقایسه امضای فایل استفاده میکردند. نویسندگان بدافزارهای پیشرفته و جدید برای دور زدن بررسی امضا از روشهای مبهمسازی جهت پنهانسازی اطلاعات استفاده کردند که بیشترین، مهمترین و کارآمدترین روش مبهمسازی، بستهبندی کردن است. این روش بدون اینکه به رفتار فایل اجرایی اصلی صدمهای بزند، ترتیب کدهای آن را بههم ریخته، رمزگذاری کرده و حتی کد را فشرده میکند و کد اصلی تا زمانی که اجرا نشده مبهم میماند. روشهایی که هماکنون برای بازگشایی اینگونه فایلها استفاده میکنند اغلب روشهایی هستند که بهصورت خاص بهازای هر نوع بستهبندیکننده بازگشاییکننده مخصوص آن فایل را ایجاد میکنند. روشهای دیگری نیز همچون renovo، omniunpack برای بازگشایی وجود دارند که بهعنوان بازگشاییکنندههای عمومی شناخته میشوند و در واقع ضعف روشهای قبلی در رابطه با نیاز به دانش از نوع بستهبندیکننده را پوشش میدهند، اما مشکل اصلی آنها یافتن نقطه ورود اصلی برنامه یا همان انتهای بخش بازگشایی است. در اینجا برای برطرف کردن این مشکل روشی ارائه شد که با استفاده از ردیابی صفحات حافظه و پیگیری صفحات نوشتهشده و سپس اجراشده این نقطه را شناسایی میکند و سپس از آن ناحیه فایل جدیدی که بازگشایی شده است ساخته میشود تا اولاً نیازی به دانش از نوع بستهبندیکننده وجود نداشته باشد و دوما برای بستهبندیکنندههایی که در آینده ایجاد میشوند نیز بتواند مورد استفاده قرار گیرد. در نهایت در بخش ارزیابی نشان داده خواهد شد که درصد بسیار بالایی از بستهبندیکنندههای فعلی را میتوان با آن بازگشایی نمود (بالای 90%) و در موتور ضد بدافزارها از آن استفاده نمود.
|
|
کلیدواژه
|
بازگشایی فایل اجرایی، بسته بندی فایل اجرایی، ردیابی صفحات حافظه، تحلیل ایستا، تحلیل پویا، رفتار فایل اجرایی
|
|
آدرس
|
دانشگاه آزاد اسلامی واحد شبستر, ایران, دانشگاه علم و صنعت ایران, ایران
|
|
پست الکترونیکی
|
parsa@iust.ac.ir
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Improving Omniunpack Alghorithm in Generic Unpacking PE File with Page Monitoring
|
|
|
|
|
Authors
|
|
|
Abstract
|
Analysts used file signature comparison to detect malware and analyze the behavior of the executable file in the past. To prevent signature examination, the authors of the new and advanced malware used obfuscation methods to hide information, of which packaging is the most important and the most efficient one. This method encrypts and compresses the code, without harming the behavior of the original executable file and the code is obscure until it is executed. The methods that are now used to unpack these files are often methods that are specially designed for each type of packer for that file. There are other methods, such as Renovo and OmniUnpack for reopening that are known as public reopens, and actually cover the weakness of previous approaches which is the need to know the type of packager, but their main problem is finding the original point. The main entry of the program is the end of the unpacking section. Our approach to fix this problem is a method that detects this point using tracking memory pages and monitoring pages, then executes it, and then dumps the memory for creating a new file that has been unpacked. Our method has two advantages: first, there is no need for knowledge of packaging type, and second it can also be used for packers that are created in the future. Finally, in the evaluation section, we have shown that this method has a very high performance for current packers and more than 90% of them can be unpacked with it, so it can be used on an antivirus engine.
|
|
Keywords
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|