Key points are not available for this paper at this time.
Schadhafter Code (oder Malware) wird als Software definiert, die die absichtlich schädliche Absicht eines Angreifers erfüllt. Malware-Analyse ist der Prozess, das Verhalten und den Zweck einer bestimmten Malware-Probe (wie ein Virus, Wurm oder Trojanisches Pferd) zu bestimmen. Dieser Prozess ist ein notwendiger Schritt, um effektive Erkennungstechniken und Entfernungstools zu entwickeln. Derzeit ist die Malware-Analyse größtenteils ein manueller Prozess, der mühsam und zeitintensiv ist. Um dieses Problem zu mindern, wurden eine Reihe von Analysetools vorgeschlagen, die automatisch das Verhalten eines unbekannten Programms extrahieren, indem sie es in einer eingeschränkten Umgebung ausführen und die aufgerufenen Betriebssystemaufrufe aufzeichnen. Das Problem der dynamischen Analysetools besteht darin, dass nur eine einzelne Programmausführung beobachtet wird. Leider ist es jedoch möglich, dass bestimmte schädliche Aktionen nur unter spezifischen Umständen (z. B. an einem bestimmten Tag, wenn eine bestimmte Datei vorhanden ist oder wenn ein bestimmter Befehl empfangen wird) ausgelöst werden. In diesem Papier schlagen wir ein System vor, das es uns ermöglicht, mehrere Ausführungspfade zu erkunden und schädliche Aktionen zu identifizieren, die nur unter bestimmten Bedingungen ausgeführt werden. Dies ermöglicht es uns, ein umfassenderes Bild des zu analysierenden Programms automatisch zu extrahieren und zu identifizieren, unter welchen Umständen verdächtige Aktionen durchgeführt werden. Unsere experimentellen Ergebnisse zeigen, dass viele Malware-Proben je nach Eingaben aus der Umgebung unterschiedliches Verhalten zeigen. Durch die Erkundung mehrerer Ausführungspfade können wir somit ein vollständigeres Bild ihrer Aktionen erhalten.
Moser et al. (Di,) haben diese Frage untersucht.