|
|
|
|
رویکردی نو در شناسایی بدافزارها با تحلیل تصویر حافظه فضای کاربر
|
|
|
|
|
|
|
|
نویسنده
|
آقایی خیرآبادی معصومه ,فرشچی سید محمدرضا ,شیرازی حسین
|
|
منبع
|
پدافند الكترونيكي و سايبري - 1394 - دوره : 3 - شماره : 1 - صفحه:1 -14
|
|
چکیده
|
روشهای تشخیص بدافزار مبتنی بر تحلیل محتویات حافظه در سالهای اخیر محبوبیت زیادی به�دست آوردهاند. تحقیقات انجامشده در این زمینه پیشرفت زیادی داشته و چهارچوبهای تحلیل قدرتمندی نیز به�وجود آمده است. درحالیکه این چهارچوبها امکان بررسی یک تصویر لحظهای حافظه با جزییات کامل را فراهم میکنند، اما تفسیر و همبستهسازی این جزییات برای استخراج ناسازگاریها نیاز به دانش کاملی از ساختارهای داخلی سیستمعامل دارد. در این پژوهش تمرکز پویشگر پیشنهادی ما بر استخراج اطلاعات از ساختارهای حافظه با پرداختن به ناسازگاریهای ایجادشده توسط روشهای دفاعی مورداستفاده بدافزارها میباشد. درروش ارایهشده، برای اولین بار با استفاده از جرمشناسی حافظه به بررسی عملکرد اصلی بدافزار با استخراج فراخوانی�های آن از فضای کاربر حافظه پرداختیم؛ بهعبارتدیگر در این روش با توصیف ساختارهای حافظه اثرات موثر مربوط به تغییرات رجیستری، دسترسی فایلهای کتابخانهای و فراخوانیهای توابع سیستمعامل استخراج شدند. در انتها برای ارزیابی ویژگی�های استخراجشده، نمونهها را بر�اساس ویژگیهای انتخابشده دستهبندی کردیم، نتایج شامل نرخ تشخیص 98% و نرخ مثبت کاذب 16% میباشند که نشاندهنده موثر بودن روشهای تشخیص مبتنی بر تحلیل محتویات حافظه است.
|
|
کلیدواژه
|
malware analysis ,memory forensic ,digital artifacts ,userspace memory ,volatile data ,feature extraction ,تحلیل بدافزار ,جرمشناسی حافظه ,اثرات دیجیتال ,حافظه فضای کاربر ,داده فرّار ,استخراج ویژگی
|
|
آدرس
|
دانشگاه صنعتی مالک اشتر, کارشناسی ارشد، دانشکده فناوری اطلاعات ارتباطات و امنیت، دانشگاه صنعتی مالک اشتر تهران, ایران, تهران, دانشجوی دکتری، مرکز فرماندهی و کنترل، آزمایشگاه شبکه� های اجتماعی تهران, ایران, دانشگاه صنعتی مالک اشتر, استاد، دانشکده فناوری اطلاعات، ارتباطات و امنیت، دانشگاه صنعتی مالک اشتر تهران, ایران
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Authors
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|