Loading...
- Type of Document: M.Sc. Thesis
- Language: Farsi
- Document No: 45513 (19)
- University: Sharif University of Technology
- Department: Computer Engineering
- Advisor(s): Kharrazi, Mehdi
- Abstract:
- During recent decade huge number of new malware samples and their complexity have caused challenges to malware detection procedure. additionally the use of kernel level rootkit has been grew up. while rootkits usually defeat current security products which are cheifly relied on Operating system for gathering information and also running, existing nti-rootkit solutions can not cover all kinds of rootkits.In this work we have studied the problem of kernel-level rootkits in Windows operating system. we believe that focusing on kernel drivers features, will result in an overall view needs for monitoring kernel activity of the rootkits. Thus with regards to proves for lower volume of obfuscation in kernel modules and distrust assumption to existing OS of the rootkit, static approach is chosen to test the power of this kind of light weight analysis in detection procedure. Thus we have defined 50 static features to classify malicious drivers from the legitimate ones. The features do not consider just malicious behaviours, but either benign and suspected behaviours too. Evaluation of our work on a dataset of 2200 rootkit kernel modules against 2220 several legitimate drivers (consisting those can cause false positive in detection) shows above 94% accuracy by C5 tree classification method, which the induced rules are relatively consistent with found behavioral trends
- Keywords:
- Malwares ; Operating System ; Detection ; Kernel-Level Driver ; Antimalware
-
محتواي کتاب
- view
- مقدمه
- مفاهیم
- بدافزار
- مبهمسازی
- بستهبند
- مجازیسازی
- سطوح IRQL در سیستمعامل ویندوز
- کارهای مرتبط
- رویکردهای مقابله با روتکیتها در ادبیات این حوزه
- موقعیت عامل تشخیص
- مبنای کشف
- مروری بر وضعیت محصولات ضدروتکیت
- جمعبندی و نتیجهگیری
- رویکردهای مقابله با روتکیتها در ادبیات این حوزه
- راهکار ارائه شده
- تحلیل ایستا در سطح هسته
- امکانات مبهم سازی در سطح هسته
- اعتماد پیشفرض به سیستمعامل
- شمای کاربرد عامل تشخیص
- استخراج رفتارهای رایج در روتکیتهای سطح هسته
- تعریف ویژگیها
- تحلیل ایستا در سطح هسته
- ارزیابی
- مجموعه داده
- تحقیق گرایشات رفتاری روتکیتها
- تزریق
- کار با فایل
- فیلتردرایورهای جاسوس
- دور زدن مکانیزمهای حفاظت از حافظه
- دنبال کردن پردازه
- پشته شبکه ای اختصاصی با استفاده از کتابخانههای سطح NDIS
- تحلیل ویژگیها
- جمعبندی و کارهای آتی
- ضمائم
- برنامههای کاربردی مبدأ مثبتخطا
- واژهنامه فارسی به انگلیسی
- مراجع
