قلاب سازی ، یک مفهوم برای به دست آوردن کنترل جریان اجرایی برنامه بدون تغییر و کامپایل مجدد کد منبع آن است .
توسط متوقف سازی فراخوانی تابع و هدایت مجدد آن به کد سفارشیشده ، به دست میآید.
با تزریق کد سفارشی ، هر عملیاتی را میتوان اجرا نمود . پسازآن ، قابلیتهای اصلی تابع می تواند اجراشده و نتیجه میتواند یا بهسادگی برگشت داده شود و یا تغییر داده شود
محمد مهدی احمدیان
2. [1] Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software by Michael Sikorski
and Andrew Honig -2012.(chapter 11)
[2] w.fu,j.rang,r.zhao,y.zhang,and y.guo, “static detection of API-Calling Behavior from malicious binary
Executable ,”in computer and electrical Engineering , ICCEE 2008 .International conference on ,pp.388-
392, 2008.
[3] Wagner, M.E.: Behavior oriented detection of malicious code at run-time. Master’s thesis, Florida
Institute of Technology,2004.
[4] Sebastian Vogl , et al. "Dynamic hooks: hiding control flow changes within non-control data."
Proceedings of the 23rd USENIX conference on Security Symposium. USENIX Association, 2014.
[5] Berdajs, J., and Z. Bosnić. "Extending applications using an advanced approach to dll injection and
api hooking." Software: Practice and Experience 40.7 (2010): 567-584.
]6[مجموعهگزارشاتآپادانشگاهفردوسیمشهد(سوسننادری،مریمنژادکمالی،شهبالدیننمازیخواه)
[10] Toward Automated Dynamic Malware Analysis Using CWSandbox.CARSTEN WILLEMS, THORSTEN
HOLZ,FELIX FREILING, IEEE SECURITY & PRIVACY ,2007 .
م.احمدیان مهدی-امن های سیستم تحلیل و طراحی آزمایشگاه-امیرکبیر صنعتی دانشگاه-
1/40
www.mmAhmadian.ir
29. م.احمدیان مهدی-امن های سیستم تحلیل و طراحی آزمایشگاه-امیرکبیر صنعتی دانشگاه
25/40
(1کد سازی قالب
(2داده سازی قالب
قالب جایگاه انواع
(1Persistent Control Data
(2Transient Control Data
قالب سازی پیاده های روش انواعPersistent Control Data
Transient Control Data
ضعف!؟
[4] Sebastian Vogl , et al. "Dynamic hooks: hiding control flow changes
within non-control data." Proceedings of the 23rd USENIX conference on
Security Symposium. USENIX Association, 2014.
VOGL, S., PFOH, J., KITTEL, T., ANDECKERT, C. Persistent data-only
malware: Function Hooks without Code. In Symposium on Network and
Distributed System Security (NDSS),2014.
پویا سازی قالب
www.mmAhmadian.ir
44. م.احمدیان مهدی-امن های سیستم تحلیل و طراحی آزمایشگاه-امیرکبیر صنعتی دانشگاه
[1] Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software by Michael
Sikorski and Andrew Honig -2012.(chapter 11)
[2] w.fu,j.rang,r.zhao,y.zhang,and y.guo, “static detection of API-Calling Behavior from malicious binary
Executable ,”in computer and electrical Engineering , ICCEE 2008 .International conference on
,pp.388-392, 2008.
[3] Wagner, M.E.: Behavior oriented detection of malicious code at run-time. Master’s thesis, Florida
Institute of Technology,2004.
[4] Sebastian Vogl , et al. "Dynamic hooks: hiding control flow changes within non-control data."
Proceedings of the 23rd USENIX conference on Security Symposium. USENIX Association, 2014.
[5] Berdajs, J., and Z. Bosnić. "Extending applications using an advanced approach to dll injection
and api hooking." Software: Practice and Experience 40.7 (2010): 567-584.
]6[مجموعهگزارشاتآپادانشگاهفردوسیمشهد(سوسننادری،مریمنژادکمالی،شهبالدیننمازیخواه)
[7]کاظم،زادهمیثم؛سیدمجتبیحسینی؛حسینشیرازیومحمدابراهیم،زارعتشخیصهوشمندرفتارهایمخرببدافزارهامبتنیبررفتارپویای،آنها
ششمینکنفرانسملیانجمنعلمیفرماندهیوکنترل،ایران،تهرانانجمنعلمیفرماندهیوکنترل،ایراندانشکدهبرقوکامپیوتردانشگاهشهید
،بهشتی1391ظ
[8]Manuel Egele, Theodoor Scholte, Engin Kirda, and Christopher Kruegel. A survey on automated
dynamic malware-analysis techniques and tools. ACM Computing Surveys(CSUR), 44(2):6, 2012.
[9]Kruegel, C., Kirda, E., Mutz, D., Robertson, W., Vigna, G.: Polymorphic worm detection using
structural information of executables. In: International Symposium on Recent Advances in Intrusion
Detection (RAID) (2005).
[10] Toward Automated Dynamic Malware Analysis Using CWSandbox.CARSTEN
WILLEMS, THORSTEN HOLZ,FELIX FREILING 2007, IEEE SECURITY & PRIVACY .
[11]J. Krinke. Advanced Slicing of Sequential and Concurrent Programs. Issues and Solutions.
Ph.D thesis, University of Passau. April 2003.
40/40
www.mmAhmadian.ir