Εμφάνιση απλής εγγραφής

Process injection techniques and detection using the Volatility Framework

dc.contributor.advisorΝταντογιάν, Χριστόφορος
dc.contributor.authorΜπαλαούρα, Σωτηρία
dc.contributor.authorBalaoura, Sotiria
dc.date.accessioned2018-11-19T11:49:19Z
dc.date.available2018-11-19T11:49:19Z
dc.date.issued2018-11
dc.identifier.urihttps://dione.lib.unipi.gr/xmlui/handle/unipi/11578
dc.description.abstractΤα κακόβουλα λογισμικά συνήθως περιλαμβάνουν μηχανισμούς αποφυγής της ανίχνευσής τους. Η εισαγωγή (injection) σε διεργασία είναι μία τεχνική η οποία προκαλεί την εκτέλεση κακόβουλου κώδικα μέσω της εισαγωγής του κώδικα σε μια άλλη ενεργή διεργασία εξαναγκάζοντας την διεργασία να τον εκτελέσει με ένα τρόπο που δεν είναι προφανής στο χρήστη. Το πρόγραμμα που εισάγει τον κακόβουλο κώδικα ονομάζεται εισαγωγέας (injector). Ο σκοπός αυτής της μεταπτυχιακής διατριβής είναι να προτείνει μεθοδολογίες ανίχνευσης κακόβουλου λογισμικού στη μνήμη. Όσο αφορά τον τύπο του κακόβουλου λογισμικού επικεντρώνεται σε δύο τεχνικές εισαγωγής σε διεργασία : Δημιουργία κοιλότητας στη διεργασία (Hollow process) και εισαγωγή απομακρυσμένου DLL (Remote DLL- Dynamic Link Library injection). Προκειμένου να επιτευχθεί η εισαγωγή, χρησιμοποιήθηκαν διάφορα προγράμματα (injector). Τα κακόβουλα λογισμικά εκτελέστηκαν σε εικονικές μηχανές με Windows 10 και πάρθηκαν αντίγραφα της μνήμης τους. Εκτελέστηκε Δυναμική Ανάλυση Μνήμης χρησιμοποιώντας το εργαλείο Volatility. Η δημιουργία κοιλότητας στη διεργασία (Hollow process) παρουσιάζεται με λεπτομέρεια και εφαρμόστηκε παράγοντας διάφορα αντίγραφα μνήμης για δοκιμή. Προτείνεται μία πλήρης μεθοδολογία ανίχνευσης χρησιμοποιώντας το εργαλείο Volatility, η οποία αποκαλύπτει και ανιχνεύει τις ανωμαλίες που προκαλεί αυτή η τεχνική στη μνήμη. Αυτή η μεθοδολογία περιλαμβάνει και οργανώνει σε διακριτά βήματα την περισσότερη από τη βιβλιογραφία, σχετικά άρθρα στον παγκόσμιο ιστό και έρευνα πάνω στο θέμα. Εκτελέστηκε στα παραχθέντα αντίγραφα μνήμης και τα αποτελέσματά της επιβεβαιώθηκαν. Η εισαγωγή απομακρυσμένου DLL (remote DLL injection) αναλύθηκε και εφαρμόστηκε σε διάφορα συστήματα παράγοντας διάφορα αντίγραφα μνήμης. Μια εντελώς νέα μεθοδολογία ανίχνευσης προτάθηκε, ελέγχθηκε, υλοποιήθηκε και δοκιμάστηκε. Η ιδέα υλοποιήθηκε με ένα script περίπου 200 γραμμών κώδικα δημιουργημένο με python. Αυτό εκτελείται μέσω του περιβάλλοντος του Volatility volshell πρόσθετου. Τα αποτελέσματα του κώδικα που δοκιμάστηκε σε 12 αντίγραφα μνήμης, τα οποία παρουσιάζονται σε σχετικό πίνακα, αποδεικνύουν ότι ο κώδικας λειτουργεί ικανοποιητικά.el
dc.format.extent90el
dc.language.isoenel
dc.publisherΠανεπιστήμιο Πειραιώςel
dc.rightsAttribution-NonCommercial-NoDerivatives 4.0 Διεθνές*
dc.rights.urihttp://creativecommons.org/licenses/by-nc-nd/4.0/*
dc.titleProcess injection techniques and detection using the Volatility Frameworkel
dc.title.alternativeΤεχνικές εισαγωγής σε διεργασία και ανίχνευσή τους με τη χρήση του εργαλείου Volatilityel
dc.typeMaster Thesisel
dc.contributor.departmentΣχολή Τεχνολογιών Πληροφορικής και Επικοινωνιών. Τμήμα Ψηφιακών Συστημάτωνel
dc.description.abstractENMalware usually incorporate mechanisms to avoid their detection. Process Injection is a technique that causes malicious code execution by injecting the code into a remote running process and forcing the process to execute it, in such a way that is concealed from the user. The program that performs the injection is called injector. The purpose of this thesis is to propose methodologies to detect malware in memory. Regarding the malware type, it focuses on two different process injection techniques: Hollow process and Classic DLL (Dynamic Link Library) or otherwise called, Remote DLL. Various injectors are used. The malwares are executed on Windows 10 VMware virtual machines and their memory is acquired. Dynamic malware analysis is performed using the Volatility Framework. The Hollow process injection technique is presented in detail and applied producing various testing memory images. A complete methodology of detection using the Volatility Framework is proposed that reveals and detects the anomalies that hollow process injection causes to the memory. This methodology has incorporated and organized in distinct steps most of the current literature, relevant articles on the web and research on the subject. The described steps are performed on the test images and the results are confirmed. The Remote DLL injection is analyzed and injections are performed in various systems resulting various test memory images. A completely new methodology of detection is proposed, verified, implemented and tested. The whole idea is implemented in a python script of approximately 200 lines of code that has to be executed inside Volatility’s volshell plugin environment. The results of the script executed on 12 distinct memory images, presented in the relative table, indicate that the script works satisfactory.el
dc.contributor.masterΑσφάλεια Ψηφιακών Συστημάτωνel
dc.subject.keywordRemote or Classic DLL Injectionel
dc.subject.keywordHollow Process Injectionel
dc.subject.keywordVolatility Frameworkel
dc.subject.keywordPE fileel
dc.subject.keywordIAT (Import Address Table)el
dc.subject.keywordProcess injectionel
dc.subject.keywordProcess replacementel
dc.subject.keywordMemory analysisel
dc.subject.keywordInjection detectionel
dc.date.defense2018-11-05


Αρχεία σε αυτό το τεκμήριο

Thumbnail
Name:
Balaoura_MTE1623.pdf
Μέγεθος:
5.643Mb
Τύπος:
PDF
Description:
Μεταπτυχιακή διατριβή
Προβολή/Άνοιγμα

Αυτό το τεκμήριο εμφανίζεται στις ακόλουθες συλλογές

Εμφάνιση απλής εγγραφής

Attribution-NonCommercial-NoDerivatives 4.0 Διεθνές
Εκτός από όπου διευκρινίζεται διαφορετικά, το τεκμήριο διανέμεται με την ακόλουθη άδεια:
Attribution-NonCommercial-NoDerivatives 4.0 Διεθνές
Βιβλιοθήκη Πανεπιστημίου Πειραιώς
Επικοινωνήστε μαζί μας
Στείλτε μας τα σχόλιά σας
Created by ELiDOC
Η δημιουργία κι ο εμπλουτισμός του Ιδρυματικού Αποθετηρίου "Διώνη", έγιναν στο πλαίσιο του Έργου «Υπηρεσία Ιδρυματικού Αποθετηρίου και Ψηφιακής Βιβλιοθήκης» της πράξης «Ψηφιακές υπηρεσίες ανοιχτής πρόσβασης της βιβλιοθήκης του Πανεπιστημίου Πειραιώς»