چکیده:
بدافزارهای هوشمند دو رفتار دفاع از خود و بدخواهانه دارند. این دو نوع رفتار تحت شرایط محیطی ظاهر میشوند. هدف از این مقاله ارائه راهکاری جهت تشخیص شرایط محیطی برای نمایش رفتار بدخواهانه بدافزارهای هوشمند است. میتوان با توجه به عملکرد توابع سیستمی که در لیست فهرست جدول IAT یک بدافزار موجود است و در بین این توابع آنهایی که در عمل در زمان اجرا فراخوانی نشدهاند، به بدافزار مشکوک شد. با تحلیل عملکرد هر تابعی که وجود منبعی در محیط را بررسی میکند و با فراهم کردن منبع مورد درخواست میتوان بهمرور منابع و شرایط لازم برای اجرای رفتار بدخواهانه را مشخص کرد. درواقع با توجه به اینکه در یک اجرا، تابع سیستمی مورد فراخوانی وجود چه منبع و شرایط محیطی را بررسی میکند و با ایجاد آن منابع و شرایط میتوان در طی اجراهای متوالی هر چه بیشتر و بهمرور شرایط محیطی و منابع لازم برای برقراری این شرایط را مشخص نمود تا اینکه نهایتا بعد از چند اجرا این شرایط و منابع مربوطه مشخص شوند. ارزیابیهای انجامشده در یک محیط جعبه شن، کارایی روش پیشنهادی را مشخص کرده است.
خلاصه ماشینی:
با تحلیل عملکرد هر تابعی که وجود منبعی در محیط را بررسی میکند و با فراهم کردن منبع مورد درخواست میتوان بهمرور منابع و شرایط لازم برای اجرای رفتار بدخواهانه را مشخص کرد.
برای رفع این مشکل در این مقاله از مقایسه توابع سیستمی مورد دسترسی در زمان اجرا و لیست توابع مظنون به خطر سیستمی موجود در فایل کد اجرایی، مشخص میشود که کد اجرایی رفتار احتمالاً بدخواه خود را پنهان کرده است.
2- کارهای مرتبط علیرغم تأکید و تحقیقات زیاد در مورد شناسایی بدافزارهای هوشمند و آگاه از محیط، هنوز محیط جعبه شن مناسب جهت ایجاد شرایط محیطی لازم برای شناسایی این دسته از بدافزارها ارائه نشده است.
لذا، درصورتیکه نام یک تابع API حساس در جدول IAT درون فایل کد اجرایی موجود باشد، اما، در زمان اجرا این تابع API عملاً مورد فراخوانی قرار نگیرد، موتور تصمیمگیری برای ردگیری مسیرهای پنهان دستور تغییر شرایط محیط را میدهد.
Y. Kim, “Detecting Trigger-based Behaviors in Botnet Malware,” In Proceedings of the 2015 Conference on research in adaptive and convergent systems, ACM, 2015.
, “An automatic approach to detect anti-debugging in malware analysis,” International Conference on Trustworthy Computing and Services, Springer, Berlin, Heidelberg, 2012.
Y. Kim, “Detecting Trigger-based Behaviors in Botnet Malware,” In Proceedings of the 2015 Conference on research in adaptive and convergent systems, 2015.
Kang Kim, “A novel approach to detect malware based on API call sequence analysis,” International Journal of Distributed Sensor Networks, vol.