Конференция - "Информатика и компьютерные технологии" (15.06.2007) ДонНТУ

Акт экспертизы работы

 

Автор работы Егорин А.П.

В докладе рассмотрены пример запутывания вредоносных программ (сложных полиморфных и метаморфных вирусов), которые используют для этого обфускирующие алгоритмы, такие как преобразовании графа выполнения программы, вставка различного рода частей бессмысленного кода, шифрование тела вируса  и т.д. Согласно этому, будет рассмотрен рынок предложенных решений борьбы с такими преобразования (эвристика, метод Михаема Христодореску, эмуляция кода). Большая часть доклада посвящена технологии обнаружения таких программ применением эвристических алгоритмов распознавания эквивалентности программ. Полиморфизм, обфускацию и шифрование имеет смысл рассматривать вместе, поскольку они решают одни и те же задачи, разве что в разных пропорциях. Изначально у модификации кода вредоносной программы было две цели: затруднение файлового детектирования и затруднение анализа кода специалистом. До последних лет работа антивирусов была основана исключительно на анализе кода файла. При этом более ранний сигнатурный способ детектирования опирался на поиск жестко заданных последовательностей байт, зачастую по фиксированному смещению от начала файла, в бинарном коде вредоносной программы. Появившийся несколько позже эвристический способ детектирования также работал с кодом файла, но опирался уже на более свободный, вероятностный поиск характерных для вредоносной программы последовательностей байт. Очевидно, что вредоносная программа легко обойдет такую защиту, если каждая ее копия будет представлять собой новый набор байт.

Задачей доклада является обзор методов детектирования вредоносных программ и разработка комплексных алгоритмов противодействия обфускационным (запутывающим) преобразованиям.