Automatikus, memória forensics alapú malware detekció kiegészítése laptípus alapú vizsgálattal

OData támogatás
Konzulens:
Dr. Félegyházi Márk
Hálózati Rendszerek és Szolgáltatások Tanszék

A malware fertőzések detekciójára sokfajta módszer létezik, ezek közül az egyik a nem

permanens adattárolók tartalmának vizsgálata. (Memory forensics) Különböző eszközök

léteznek a memória állapotának lementésére, és analizálására is, azonban az ezekben ta-

lálható úgynevezett artifactok kinyeréséhez egy humán elemző szükséges. Az artifactok a

rendszer különböző tulajdonságai, állapotai lehetnek, melyek információt szolgáltatnak a

rendszer kompromittáltságáról. A nagyszámú malware minta elemzéshez, azonban célszerű

valamiféleképpen automatizálni ezeknek az eszközöknek a működését, így megkönnyítve a

humán szakértő munkáját.

Szakdolgozatomban a Windows platformra jelenleg található memória forensics eszkö-

zöket vizsgálok meg, malware analízis céljára. Majd az egyik ilyen eszközben található

funkciókra, automatizálási és továbbfejlesztési megoldásokat kínálok, nagyméretű kampá-

nyok elemzéséhez. A programot egy automatizált memória forensics analízis céljára kiala-

kított virtuális környezetben fogom tesztelni, amiben a felhasznált detekciós algoritmusok

sikerességét kiértékelem néhány malware családra. Továbbá kiegészítem a toolok egy lé-

nyeges hiányát, miszerint a fizikai memóriában éppen nem jelen lévő információkhoz nem

tudnak hozzáférni. Ezzel lehetővé téve a processzenkénti teljes virtuális memória helyreál-

lítását. Ennek során bemutatom a laptípus alapú malware detekció lehetőségét egy konkrét

malware-re.

Letölthető fájlok

A témához tartozó fájlokat csak bejelentkezett felhasználók tölthetik le.