(3.238.174.50) 您好!臺灣時間:2021/04/17 05:28
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果

詳目顯示:::

我願授權國圖
: 
twitterline
研究生:許勝堯
研究生(外文):Sheng-Yao Hsu
論文名稱:基於動態程式結構的軟體相似度偵測技術
論文名稱(外文):Detection of Software Similarity Based on Run-Time Program Structures
指導教授:黃俊穎黃俊穎引用關係
指導教授(外文):Chin-Ying Huang
學位類別:碩士
校院名稱:國立臺灣海洋大學
系所名稱:資訊工程學系
學門:工程學門
學類:電資工程學類
論文種類:學術論文
論文出版年:2012
畢業學年度:100
語文別:中文
論文頁數:47
中文關鍵詞:code obfuscationcall graphmalwarepackerPin-tool
相關次數:
  • 被引用被引用:0
  • 點閱點閱:91
  • 評分評分:系統版面圖檔系統版面圖檔系統版面圖檔系統版面圖檔系統版面圖檔
  • 下載下載:6
  • 收藏至我的研究室書目清單書目收藏:0
近年來網際網路與日常生活已經是密不可分。網際網路的無遠弗屆帶給了人們許多方便,同時惡意程式的傳播與成長速度也越來越驚人。現今大多數的防毒軟體都是以特徵碼偵測來防止惡意程式入侵個人電腦。但是,現今許多惡意程式都是藉由改寫原有的惡意程式產生。經由程式碼混淆技巧和加殼工具可以規避防毒軟體的偵測。
程式混淆過後,若其功能不變,其動態執行時的資訊應與其原有的程式相差無幾。因此,本研究使用了Pin-tool,基於動態分析的技術實際讓未知是否有混淆過的軟體運作,擷取其運行時的資訊並轉換成有向圖call graph。藉由比較call graph中的節點,可以得知這些未知軟體之間的相似度程度。本研究所測試的執行檔與被加殼後的執行檔皆可成功區分出來,而且實際以現有的惡意程式家族做比較所得出的結果也是正確的。並且在我們的資料集內可以偵測出一些防毒軟體所無法偵測出的惡意程式,達到100%的偵測率。最後讓良性軟體與惡意程式互相比較,也可以正確區分好人與壞人。

Internet has been one of the most important parts in our daily life. Although it brings a lot of benefits to people, it is also a convenient platform for attackers to spread software. Most existing techniques used to detect malicious software are based on patterns and signatures of malware codes. However, it can be evaded by rewriting malware or even using automatic tools such as a packer to obfuscate the codes.
The goal of this thesis is to detect codes obfuscated by packers. The basic idea is that an obfuscated code should have similar program structure to the original version. Therefore, we use pin-tool, a dynamic instrument tool, to monitor the execution of a program and extract its run-time program structure by construction call graphs. We then identify program similarity by comparing nodes in the call graphs. The proposed solution is able to successfully match packed software with its original version. Experiments on both malicious and benign programs show that all evaluated software with it’s a proper configuration.

第一章 緒論
第一節 前言
第二節 研究動機
第三節 論文架構
第二章 相關研究
第一節 Function-call graph方法
第二節 Code graph方法
第三節 Malware indexing方法
第三章 研究方法
第一節 Pin-tool
第二節 研究方案
第三節 定義call graph
第四節 圖形生成演算法
第五節 節點比較演算法
4.5.1 最長共同子序列(Longest Common Subsequence)
4.5.2 呼叫者與被呼叫者
4.5.3 單純節點相對位址與大小比較
第四章 實驗數據與討論
第一節 初步實驗
6.1.1 Call graph的建構
6.1.2 Call graph的相似度比較
6.1.3 良性軟體與惡意程式的比較
第二節 相似度門檻σ的選擇
第三節 未知惡意程式比較
第四節 良性軟體與惡意程式比較
第五節 Pintool的額外負荷
第五章 結論與未來展望
參考文獻
[1] K. Rieck, P. Trinius, C. Willems and T. Holz. Automatic Analysis of Malware Behavior using Machine Learning. In Journal of Computer Security Volume 19 Issue 4, 2011.
[2] Annual Report PandaLabs 2009 , http://www.pandasecurity.com/img/enc/Annual_Report_Pandalabs_2009.pdf.
[3] ASPack v2.28, http://www.aspack.com/.
[4] D. Bruschi, L. Martignoni, and M. Monga. Code normalization for self-mutating malware. In IEEE Security and Privacy - Volume 5, 2007.
[5] S. Cesare and Y. Xiang. A fast flowgraph based classification system for packed and polymorphic malware on the endhost. In IEEE International Conference on Advanced Information Networking and Applications (AINA) , 2010.
[6] M. Christodorescu and S. Jha. Static analysis of executables to detect malicious patterns. In Proceedings of the 12th conference on USENIX Security Symposium - Volume 12, 2003.
[7] IDA Pro, http://www.hex-rays.com/.
[8] J. Lee, K. Jeong, and H. Lee. Detecting metamorphic malwares using code graphs. In Proceedings of the 2010 ACM Symposium on Applied Computing, 2010.
[9] R. Lyda nad J. Hamrock. Using entropy analysis to find encypted and packed malware. In IEEE Security and Privacy, 2007.
[10] TrID v2.10, http://mark0.net/soft-trid-e.html, 2012
[11] MEW 11 SE v1.2, http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/MEW-SE.shtml/.
[12] PEiD 0.95, http://www.peid.info/.
[13] Pin-tool 2.10, http://www.pintool.org/.
[14] G. Salton and M. J. McGill. Introduction to modern information retrieval. McGraw-Hill, Inc, New York, 1986.
[15] S. Shang, N. Zheng, J. Xu, M. Xu, and H. Zhang. Detecting malware variants via function-call graph similarity. In International Conference on Malicious and Unwanted Software (MALWARE) 2010 5th, 2010.
[16] UPX 3.08, http://upx.sourceforge.net/.
[17] X. Hu, T.-c. Chiueh, K. G. Shin. Large-Scale Malware Indexing Using Function-Call Graphs. In Proceedings of CCS 2009, 2009.
[18] Symantec, Internet Security Threat Report 2011 Trends Volume 17.
[19] A. Stcpan. Improving proactive detection of packed malware, March 2006.
[20] ASProtect 1.64, http://www.aspack.com/asprotect.html
[21] Themida v2.1.8.0, http://www.oreans.com/themida.php

連結至畢業學校之論文網頁點我開啟連結
註: 此連結為研究生畢業學校所提供,不一定有電子全文可供下載,若連結有誤,請點選上方之〝勘誤回報〞功能,我們會盡快修正,謝謝!
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top
系統版面圖檔 系統版面圖檔