خلاصة:
این مقاله یک محیط تحلیلگر مبتنی بر جعبه شن در سمت کاربر برای اجرای بیخطر و ایمن یک برنامه مشکوک و ناشناس بهمنظور تعیین بدخواه یا بیخطر بودن و همچنین اجرای کنترل شده یک بدافزار برای تشخیص نحوه عملکرد و الگوی آلودگی آن برای مدلسازی رفتار بهمنظور ارائه راهکار خنثیسازی و رفع آلودگی را ارئه میکند. اهمیت اجرا و تحلیل بدافزار بهصورت پویا در رفع مشکلات موجود برای کشف و تحلیل بدافزارهای مبهم شده، دگردیس و چندریخت که با روشهای مبتنی بر امضاء و تحلیلهای رفتار ایستا قابل کشف نیستند غیرقابل چشمپوشی است و هدف اصلی این مقاله که فراهم کردن بستر لازم برای تحلیل رفتار پویا است را شامل میشود. جعبه شن پیشنهادی با نظارت، رهگیری و کنترل درخواستها و تعاملات برنامه تحت تحلیل در سطح کاربر و هسته سیستم عامل امکان استخراج رفتار را فراهم میکند در طول فرآیند تحلیل جعبه مسئول پاسخگویی به درخواستهای برنامه تحت تحلیل است این مقاله با مکاشفه بروی تعداد 21000 نمونه بدافزار و برنامه بیخطر امکان دستهبندی درخواستها را در 8 خانواده برای پاسخگویی مناسب فراهم کرده است جعبه شن پیشنهادی درخواستهای وارده را با 5 سیاست شامل ثبت تنها، منحرفسازی، محدودسازی، فریب دادن و مجازیسازی منابع سیستم عامل پاسخ میدهد و تضمین میکند در طی اجرا و تحلیل بدافزار به سیستم کاربر هیچگونه آسیبی وارد نشود. این مقاله همچنین چالشهای موجود بر محیطهای تحلیل را مورد آسیبشناسی قرار داده و راهکارهایی برای عبور از آنها بیان میکند این چالشها عمدتا راههای شناسایی و خروج از محیط تحلیلگر میباشند. این مقاله در پایان جعبه شن پیشنهادی را از حیث توانایی و قابلیتهای رهگیری رفتار و میزان مصرف منابع سیستمی ارزیابی و با برترین نمونههای خارجی مقایسه میکند.
ملخص الجهاز:
محیط ماشین مجازی<FootNote No="103" Text=" Virtual Machine Environment"/> ماشینهای مجازی محیطهای مناسبی برای اجرای بیخطر یک بدافزار یا برنامه مشکوک بهمنظور تحلیل آن میباشد در این روش یک سیستم عامل در یک ماشین مجازی توسط یکی از ابزارهای مجازیسازی نظیر VM-Ware ، Hyper-V ، Xen و VirtualBox تحت عنوان ماشین میهمان بر روی یک سیستم عامل و ماشین دیگر تحت عنوان ماشین میزبان نصب و راهاندازی میشود ]7[ سپس بدافزار یا برنامه مشکوک در محیط ماشین میهمان اجرا میشود و نتایج اجرا و خروجی آن برای تحلیل به ماشین میزبان فرستاده میشود این محیط بهدلیل اینکه تمام امکانات یک سیستم عامل را در اختیار برنامه قرار میدهد امکان رهگیری و تشخیص دقیق تر بدافزار را نسبت به سایر روشها ممکن میسازد و همچنین امکان تشخیص جعلی بودن محیط را برای بدافزارهایی که قصد جلوگیری از اجرا و افشای عملکرد خود در این محیطها دارند را نیز سختتر میکند این محیطهای امن در پایان اجرا در صورت تشخیص بدافزار و آسیب وارد شدن به ماشین میهمان اقدام به نصب و راهاندازی مجدد سیستم عامل روی ماشین میهمان مینمایند و همواره تعدادی ماشین آماده برای تحلیل در اختیار خواهند داشت این روش بهدلیل حجم منابع مورد نیاز برای راهاندازی امکان استفاده در سمت کاربر بسیار سخت میکند لذا این روش غالبا در سمت سرور ارائه میشود که اغلب با تعریف وب سرویس امکان استفاده را برای کاربران فراهم میکنند ]8[ از جمله پرکاربردترین این تحلیلگرها میتوان به Anubis و Cuckoo اشاره کرد، محیط تحلیلگر Cuckoo از یک ماشین میزبان لینوکس اوبونتو و یک ماشین میهمان ویندوز XP sp3 بهره میبرد البته این محیط قابلیت استفاده از سیستم عامل MAC بهعنوان میزبان و ویندوز 7 بهعنوان میهمان را نیز دارد] 9[.