Назва статті

РОЗШИРЕНИЙ МЕТОД АНАЛІЗУ ШКІДЛИВОГО ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ З МЕТОЮ СТВОРЕННЯ СИГНАТУР

Номер віснику

24

DOI:

10.36994/2707-4110-2020-1-28-14

Автори

Єгоров С. В., Шкварницька Т. Ю.

Ключові слова

Кібербезпека, інформаційна безпека, статичний аналіз, дизасемблювання, зворотна розробка.

Анотація

Розглянуто метод базового статичного аналізу шкідливого програмного забезпечення, що базується на пошуку та аналізі строк в файлах, що побудовані з використанням формату PE (Portable Executable). Розглянуто метод базового статичного аналізу шкідливого програмного забезпечення, що базується на аналізі заголовків файлів, що виконуються та динамічних бібліотек, які побудовані з використанням формату PE. Розглянуто розширений метод статичного аналізу, який крім аналізу строк та заголовків файлів використовує дизасемблювання файлів, що виконуються та динамічних бібліотек і подальший аналіз отриманого ассемблерного тексту. З метою проникнення в операційну систему, зловмисники використовують спеціалізоване програмне забезпечення та мережеві атаки. Причому мережева атака не обов’язково повинна бути масивною та широкомасштабною. Для проникнення в окрему взяту операційну систему, наприклад, можна скористатись уразливостями як самої операційної системи так і програмного забезпечення, яке встановлено на такій операційній системі. Причому успішні атаки такого типу часто робляться тихими та малопомітними. Для запобігання хакерським атакам які супроводжуються прихованим встановленням програмного забезпечення та мінімізації шкоди від таких атак необхідно вчасно вживати адекватні контрзаходи. Одним із самих розповсюджених та легких методів боротьби з хакерами це своєчасне оновлення програмного забезпечення, вірусних баз, інсталяція та налаштування брандмауера. Все що пов’язано з оновленням програмного забезпечення – це реакція на вже виявлені загрози. Тому оновлення програмного забезпечення на надає захист від щойно виявлених загроз. Саме тому сигнатури вірусних баз створюються в результаті аналізу виявлених шкідливих програм. Для підсилення виявлення шкідливого програмного забезпечення також антивірусними програмами використовується аналіз поведінки програм. Але навіть у цьому випадку необхідно аналізувати дизасембльований текст шкідливих програм для виявлення нових типів аномальної активності. Тому аналіз шкідливого програмного забезпечення є задачею актуальною та визначає напрям дослідження.

PDF version