شناسایی بدافزارهای فراریخت با ترکیب تحلیل ایستا و پویا

بدافزارنویسان از فنون متعددی استفاده می کنند تا روش کشف نرم افزارهای ضد بدافزار را خنثی کنند. یکی از این روش های موثر، فراریخت کردن بدافزار با فنون مبهم سازی است. فراریختی ساختار کد را آن چنان تغییر می دهد که ضمن حفظ رفتار بدافزار، ساختار و الگوی کد آن عوض شود. پژوهش گران به تازگی روشی برای کشف بدافزارهای فراریخت پیشنهاد کرده اند که بر اساس تحلیل ایستای کد بدافزار کار می کند. مسئله اینجاست که کاربست بعضی از فنون مبهم سازی، اثربخشی تحلیل های ایستا را در کشف بدافزار فرایخت کم می کند. برای غلبه بر این مشکل، مقاله حاضر علاوه بر تحلیل ایستا، تحلیل پویایی نیز روی بدافزار انجام می دهد. روش جدید، اطلاعاتی از تحلیل ایستا و تحلیل پویا استخراج و سپس این دو گونه اطلاع را با هم ترکیب می کند و حاصل برای آموزش یک دسته بند مورد استفاده قرار می گیرد. دسته بند حاصل برای شناسایی نمونه فراریخت شده جدیدی از یک خانواده بدافزار مورد استفاده قرار می گیرد. در حقیقت، ترکیب اطلاعات حاصل از تحلیل ایستا و پویا سعی می کند بر نقاط ضعف هر کدام غلبه کند و در مجموع اثربخشی بهتری داشته باشد. به منظور ارزیابی روش پیشنهادی، آزمایش هایی بر روی 450 فایل متشکل از فایل های سالم و پنج خانواده بدافزار فراریخت از ویروس ها و کرم هایg2, mpcgen, mwor, ngvck, vlc انجام شده است. آزمایش ها در سه حالت انجام شده اند: تحلیل ایستا، تحلیل پویا و ترکیب آن دو. نتایج مقایسه نشان می دهد که شناسایی بر پایه فقط تحلیل ایستا یا پویا اغلب با دقت صددرصد انجام نمی شود. با این حال، کشف بدافزار فراریخت با ترکیب اطلاعات حاصل از تحلیل ایستا و پویا به طور سازگار توانسته به دقت کشف صددرصدی دست پیدا کند که با معیار roc اندازه گیری شده است.

Metamorphic Malware Identification Combining Static and Dynamic Analyzes

Malware writers leverage several techniques for thwarting the detection method of antimalware software. An effective technique is applying obfuscation techniques to make metamorphic malware. Metamorphism modifies the code structure in a way that while retaining the behavior, the pattern and structure of the code is changed. Recently, researchers have proposed a new method for metamorphic malware detection that works based on static analysis of malware code. However, some obfuscation techniques exist that when applied, the efficacy of static analyzes is adversely affected. To overcome this issue, in this paper, we apply a dynamic analysis in addition to static analysis. The new method elicits some information from both static and dynamic analyzes, combines them, and uses the resultant information to learn a classifier. The obtained classifier is then used to detect a new instance of an existing family of metamorphic malwares. In fact, the combination of both static and dynamic information is intended to address the weaknesses of each individual analysis and leads to an overall better effectiveness. In order to evaluate the proposed method, experiments on 450 files including benign files and 5 families of metamorphic malwares, namely MPCGEN, G2, VLC, NGVCK, and MWOR, have been conducted. The experiments were performed in three cases: static analysis, dynamic analysis, and the combination of both. The results of comparison among three cases show that metamorphic malware detection is not reached to 100 percent precision via either static or dynamic analysis individually. However, using the combination of both static and dynamic information could have consistently led to detection with 100 percent precision, which have been measured using ROC metric.