Skrývání a obfuskace malwaru za účelem obejití antiviru

Loading...
Thumbnail Image
Date
ORCID
Mark
D
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií
Abstract
Počas hodnotenia bezpečnosti je pomerne nezvyčajné, aby bol niekto presvedčený, že antivírusový softvér neposkytuje úplnú bezpečnosť. Keď penetračný tester narazí na antivírusový softvér, sú chvíle, kedy musí konať rýchlo. Z týchto a iných dôvodov boli vyvinuté rôzne spôsoby obchádzania antivírusového softvéru. Niektoré z týchto prístupov obsfukácie majú za cieľ uniknúť statickej analýze úpravou a manipuláciou s formátom Portable Executable, čo je štandardizovaný formát spustiteľného súboru Windows. Niekoľko typov malvéru mení formát súboru PE, aby sa zabránilo statickej detekcii antivírusu. Táto práca sa zaoberá formátom súborov PE, detekciou malvéru a statickou detekciou obfukačných techník. Výsledkom tejto práce je scantime crypter Persesutor, ktorý zašifruje vstupný súbor a následne po spustení zašifrovaný súbor dešifruje a načítá v pamäti.
During security assessments, it is fairly uncommon for someone to be persuaded that antivirus software does not provide total security. When a penetration tester comes across antivirus software, there are times when he or she must act quickly. For these and other reasons, a variety of methods for getting around antivirus software have been devised. Some of these obfuscation approaches aim to escape static analysis by modifying and manipulating the Portable Executable file format, which is a standardized Windows executable file format. Several types of malware change the PE file format to avoid static antivirus detection. This thesis delves into the PE file format, malware detection, and static detection of obfuscation techniques. This thesis's result is a scantime crypter Persesutor, which encrypts the input file and then decrypts and loads the encrypted file into memory after execution.
Description
Citation
RYBÁR, M. Skrývání a obfuskace malwaru za účelem obejití antiviru [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2022.
Document type
Document version
Date of access to the full text
Language of document
en
Study field
bez specializace
Comittee
doc. Ing. Václav Zeman, Ph.D. (předseda) doc. Ing. Ivo Lattenberg, Ph.D. (místopředseda) Ing. Petr Jedlička (člen) Ing. Vlastimil Člupek, Ph.D. (člen) Mgr. Jakub Vostoupal (člen) Ing. Ondřej Pavelka (člen)
Date of acceptance
2022-06-14
Defence
Student prezentoval výsledky své práce a komise byla seznámena s posudky. Otázky oponenta: 1) Výpočet dešifrovacího klíče umožňuje snadnou detekci malware pomocí signatur. Proč jste neuložil dešifrovací klíč (který by byl různý při každém spuštění obfuskátoru) přímo do spustitelného souborů? 2) Jakým způsobem je generován šifrovací klíč pro AES, jakou má délku a jaký mód blokové šifry je použit? Co přesně se jím šifruje a jak se vypočítá dešifrovací klíč? 3) Byla účinnost vytvořeného obfuskačního nástroje porovnávána s jinými již existujícími nástroji? Pokud ano, jaké byly výsledky? Pokud ne, proč ne? Otázky komise: 1) Proč jste používal assembler? 2) Jaké nástroje a kompilátory jste použil? 3) Jakou ochranu představuje obfuskace při ochraně intelektuálního vlastnictví? Student odpověděl na otázky členů komise a oponenta a obhájil bakalářskou práci s výhradami
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení
DOI
Collections
Citace PRO