Αυτοματοποιημένη θωράκιση των κακόβουλων προγραμμάτων μέσω της εφαρμογής επιλεγμένων antidebugging και αντι-vm τεχνικών

Abstract

Τα προγράμματα απασφαλματοποίησης είναι εργαλεία τα οποία χρησιμοποιούνται συνήθως από προγραμματιστές έτσι ώστε να εντοπίσουν σφάλματα (τα λεγόμενα “bugs”) στον κώδικα. Ωστόσο, στον τομέα της ανάλυσης κακόβουλου λογισμικού, αποτελούν βασικό εργαλείο στην διαδικασία αντίστροφης μηχανικής ενός κακόβουλου εκτελέσιμου, βοηθώντας τους αναλυτές να κατανοήσουν τον σκοπό και την λειτουργικότητά του, όταν η στατική ανάλυση δεν είναι αρκετή. Εξαιτίας της σημαντικότητάς τους οι δημιουργοί κακόβουλων προγραμμάτων προσπαθούν να εμποδίσουν τη χρήση τους από τους αναλυτές. Χρησιμοποιώντας ποικίλες τεχνικές (γνωστές ως “anti-debugging”), ένα κακόβουλο πρόγραμμα μπορεί να καθυστερήσει τους αναλυτές και να παρατείνει το χρόνο «ζωής» του. Επιπρόσθετα, η ανάλυση κακόβουλου λογισμικού βασίζεται σε μεγάλο βαθμό στη χρήση τεχνολογιών εικονικοποίησης και εξομοίωσης έτσι ώστε να εξετάσει δείγματα του κακόβουλου προγράμματος, σε απομονωμένο περιβάλλον, για λόγους λειτουργικότητας και ασφάλειας. Ωστόσο οι τεχνολογίες αυτές, αναπόφευκτα, δημιουργούν ίχνη, τα οποία ένα κακόβουλο πρόγραμμα μπορεί να ανιχνεύσει. Στόχος της παρούσας εργασίας είναι να παρουσιάσει επιλεγμένες anti-debugging και anti-vm τεχνικές οι οποίες μέσω ενός εργαλείου θα ενσωματώνονται αυτόματα σε ένα κακόβουλο εκτελέσιμο Windows με σκοπό την θωράκισή του.