Например, Бобцов

 МЕТОД ОПРЕДЕЛЕНИЯ УПАКОВАННЫХ И ЗАШИФРОВАННЫХ ДАННЫХ ВО ВСТРОЕННОМ ПРОГРАММНОМ ОБЕСПЕЧЕНИИ

Аннотация:

Предмет исследования. Исследование встроенного программного обеспечения на предмет наличия дефектов безопасности может быть затруднено применением различных приемов антиотладки (шифрование) и упаков- щиков кода (сжатия). Представлен обзор существующих инструментов для определения методов антиотладки. Недостатки существующих решений заключаются в применении сигнатурных методов анализа исполняемых файлов, что ограничивает область их применения количеством известных сигнатур. Существующие статисти- ческие методы, основанные на энтропийном анализе файлов, дают неоднозначный результат. Для определения способа преобразования данных предложен метод обнаружения упакованных и зашифрованных данных в исполняемом файле встроенного программного обеспечения. Метод. Экземпляр встроенного программного обеспечения представляется в виде конечной последовательности байтов, где каждый байт может принимать одно из 256 возможных значений. Предложенный метод совмещает подходы, основанные на использовании критерия согласия Пирсона для проверки гипотезы о равномерном распределении байтов в файле, а также применение метода Монте-Карло для аппроксимации числа π с целью вычисления характеристик распределе- ния байтов в файле. Чем выше точность аппроксимации числа π и чем ближе распределение байтов в файле   к равномерному, тем вероятнее применение алгоритмов шифрования для преобразования данных. Основные результаты. Показано, что предложенные критерии более чувствительны к отклонениям равномерно распре- деленной случайной величины, чем энтропийный анализ. Применение этих подходов к экспериментальной выборке файлов с различным размером, которые были подвергнуты различным алгоритмам сжатия/шифрова- ния, показало корреляции, благодаря которым, с высокой степенью уверенности, можно утверждать, какому алгоритму (сжатия или шифрования) было подвергнуто встроенное программного обеспечение. Практическая значимость. Представлен подход для определения упакованных и зашифрованных данных, полученных в ре- зультате использования различных приемов антиотладки. Предложенный метод применим как в рамках анализа вредоносного программного обеспечения, так и в рамках поиска и идентификации дефектов безопасности во встроенном программном обеспечении.

Ключевые слова:

Постоянный URL

Статьи в номере

Содержание © 1993–2024 Университет ИТМО
Разработка © 2015 Университет ИТМО