Key points are not available for this paper at this time.
Leider ist bösartige Software immer noch ein ungelöstes Problem und eine große Bedrohung im Internet. Ein wichtiger Bestandteil im Kampf gegen bösartige Software ist die Analyse von Malware-Proben: Nur wenn ein Analyst das Verhalten einer bestimmten Probe versteht, kann sie geeignete Gegenmaßnahmen entwerfen. Manuelle Ansätze werden häufig verwendet, um bestimmte Schlüsselalgorithmen zu analysieren, wie das Herunterladen von codierten Updates oder das Generieren neuer DNS-Domains für Kommando- und Kontrollzwecke. In diesem Papier präsentieren wir einen neuartigen Ansatz zur automatischen Extraktion des Algorithmus, der mit einer bestimmten Aktivität der Probe aus einer gegebenen Binärdatei verbunden ist. Wir isolieren und extrahieren diese Anweisungen und generieren ein sogenanntes Gadget, d.h. eine eigenständige Komponente, die ein spezifisches Verhalten kapselt. Wir stellen sicher, dass ein Gadget eine spezifische Aufgabe autonom ausführen kann, indem wir allen relevanten Code und Daten in das Gadget einfügen, sodass es in einer eigenständigen Weise ausgeführt werden kann. Gadgets sind nützliche Entitäten bei der Analyse von bösartiger Software: Insbesondere sind sie wertvoll für Praktiker, da das Verständnis einer bestimmten Aktivität, die in einer Binärprobe eingebettet ist (z.B. die Update-Funktion), nach wie vor weitgehend eine manuelle und komplexe Aufgabe ist. Unsere Bewertung mit mehreren realen Proben zeigt, dass unser Ansatz vielseitig und in der Praxis nützlich ist.
Kolbitsch et al. (Fri,) untersuchten diese Frage.
Synapse has enriched 2 closely related papers on similar clinical questions. Consider them for comparative context: