Detecção de variantes metamórficas de Malware por Comparação de Códigos Normalizados

Detalhes bibliográficos
Autor(a) principal: Cozzolino, Marcelo Freire
Data de Publicação: 2012
Tipo de documento: Dissertação
Idioma: por
Título da fonte: Repositório Institucional da UnB
Texto Completo: http://repositorio.unb.br/handle/10482/10421
Resumo: Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012.
id UNB_81685a60e1c58da580ba1524cc9ad274
oai_identifier_str oai:repositorio.unb.br:10482/10421
network_acronym_str UNB
network_name_str Repositório Institucional da UnB
repository_id_str
spelling Detecção de variantes metamórficas de Malware por Comparação de Códigos NormalizadosDetecting metamorphic Malware Using Code NormalizationVírus de computadorDissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012.Malware é um termo usado para descrever todos os tipos de software maliciosos como vírus, worms ou trojan horses. Para combater tais ameaças, muitas técnicas e ferramentas têm sido empregadas como os anti-* (anti-virus, anti-malware, anti-phishing), os firewalls, sistemas de detecção de intrusão, entre outras. Contudo, novos artifícios têm sido empregados pelos desenvolvedores de malware para dificultar o processo de detecção. Um desses artifícios é proporcionar a alteração do código do malware à medida que sua propagação ocorre. Tal técnica, conhecida como “metamorfismo”, visa dificultar o processo de detecção por assinatura. Essas versões metamórficas do malware são usualmente geradas automaticamente por um componente do código (engine de metamorfismo) incorporado no próprio malware. Detecção de malware metamórfico é um desafio. O problema com scanner baseados em assinatura é que mesmo pequenas alterações no código do malware podem conduzir a falhas no processo de detecção e a base de assinaturas requer constante atualização para inserir as variantes recém-criadas. Este trabalho propõe uma metodologia que permite, a partir de um malware conhecido, reconhecer variantes metamórficas deste. O método proposto reverte às ações de metamorfismo para obter a versão original e, assim, facilitar o processo de identificação do mesmo. Um processo de comparação é feito visando determinar se o programa testado possui o malware buscado. Os resultados alcançados mostram a viabilidade da metodologia proposta, tendo identificado 100% dos malware testados sem a ocorrência de falsos positivos. ______________________________________________________________________________ ABSTRACTMalware is a term used to describe all types of malicious software such as viruses, worms or, Trojan horses. To combat these threats, many techniques and tools have been used as anti-* (anti-virus, anti-malware, anti-phishing), firewalls, intrusion detection systems, among others. However, new approaches have been used by malware developers to make them more difficult the detection process. One of them is to provide the code change every time it copies itself. This technique is known as "metamorphism" and aims to defeat string signature based detection. These versions of metamorphic malware are usually generated automatically by a component of the code (metamorphic engine) that is incorporated in the malware itself. Detection of metamorphic malware is a challenge. The problem with simple signature-based scanning is that even small changes in the malware code may cause a scanner to fail and the signature database requires constant updates to detect newly variants. This work proposes a methodology that allows, from a known malware, recognizing its metamorphic variants. The proposed method reverses the actions of metamorphism for the original version, and thus facilitates the process of identifying the same. A comparison process is done to determine if the tested file has the malware sought. To demonstrate the feasibility, the proposed methodology was applied to set metamorphic variants of a malware, which identified 100% of malware tested without the occurrence of false positives. Moreover, we also compare our approach with commercial antivirus and show that our approach is more effective than existing classification systems.Faculdade de Tecnologia (FT)Departamento de Engenharia Elétrica (FT ENE)Programa de Pós-Graduação em Engenharia ElétricaSouto, Eduardo James PereiraDeus, Flávio Elias Gomes deCozzolino, Marcelo Freire2012-05-11T15:21:08Z2012-05-11T15:21:08Z2012-05-112012-02-27info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfCOZZOLINO, Marcelo Freire. Detecção de variantes metamórficas de Malware por Comparação de Códigos Normalizados. 2012. xiv, 38 f. Dissertação(Mestrado em Engenharia Elétrica)-Universidade de Brasília, Brasília, 2012.http://repositorio.unb.br/handle/10482/10421info:eu-repo/semantics/openAccessporreponame:Repositório Institucional da UnBinstname:Universidade de Brasília (UnB)instacron:UNB2024-03-01T16:12:12Zoai:repositorio.unb.br:10482/10421Repositório InstitucionalPUBhttps://repositorio.unb.br/oai/requestrepositorio@unb.bropendoar:2024-03-01T16:12:12Repositório Institucional da UnB - Universidade de Brasília (UnB)false
dc.title.none.fl_str_mv Detecção de variantes metamórficas de Malware por Comparação de Códigos Normalizados
Detecting metamorphic Malware Using Code Normalization
title Detecção de variantes metamórficas de Malware por Comparação de Códigos Normalizados
spellingShingle Detecção de variantes metamórficas de Malware por Comparação de Códigos Normalizados
Cozzolino, Marcelo Freire
Vírus de computador
title_short Detecção de variantes metamórficas de Malware por Comparação de Códigos Normalizados
title_full Detecção de variantes metamórficas de Malware por Comparação de Códigos Normalizados
title_fullStr Detecção de variantes metamórficas de Malware por Comparação de Códigos Normalizados
title_full_unstemmed Detecção de variantes metamórficas de Malware por Comparação de Códigos Normalizados
title_sort Detecção de variantes metamórficas de Malware por Comparação de Códigos Normalizados
author Cozzolino, Marcelo Freire
author_facet Cozzolino, Marcelo Freire
author_role author
dc.contributor.none.fl_str_mv Souto, Eduardo James Pereira
Deus, Flávio Elias Gomes de
dc.contributor.author.fl_str_mv Cozzolino, Marcelo Freire
dc.subject.por.fl_str_mv Vírus de computador
topic Vírus de computador
description Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012.
publishDate 2012
dc.date.none.fl_str_mv 2012-05-11T15:21:08Z
2012-05-11T15:21:08Z
2012-05-11
2012-02-27
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv COZZOLINO, Marcelo Freire. Detecção de variantes metamórficas de Malware por Comparação de Códigos Normalizados. 2012. xiv, 38 f. Dissertação(Mestrado em Engenharia Elétrica)-Universidade de Brasília, Brasília, 2012.
http://repositorio.unb.br/handle/10482/10421
identifier_str_mv COZZOLINO, Marcelo Freire. Detecção de variantes metamórficas de Malware por Comparação de Códigos Normalizados. 2012. xiv, 38 f. Dissertação(Mestrado em Engenharia Elétrica)-Universidade de Brasília, Brasília, 2012.
url http://repositorio.unb.br/handle/10482/10421
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.source.none.fl_str_mv reponame:Repositório Institucional da UnB
instname:Universidade de Brasília (UnB)
instacron:UNB
instname_str Universidade de Brasília (UnB)
instacron_str UNB
institution UNB
reponame_str Repositório Institucional da UnB
collection Repositório Institucional da UnB
repository.name.fl_str_mv Repositório Institucional da UnB - Universidade de Brasília (UnB)
repository.mail.fl_str_mv repositorio@unb.br
_version_ 1810580898512371712

Registros relacionados