Index

Autor:  

Willems, Carsten

Titel:  

Instrumenting existing system components for dynamic analysis of malicious software


Dissertation 
URN:  urn:nbn:de:hbz:294-38044
URL:  http://www-brs.ub.ruhr-uni-bochum.de/netahtml/HSS/Diss/WillemsCarsten/diss.pdf
Format:  application/pdf (6.2 M)
Kommentar:  Ruhr-Universität Bochum, Fakultät für Elektrotechnik und Informationstechnik. Tag der mündlichen Prüfung: 2013-04-29

Inhaltsverzeichnis
Datei:  http://www-brs.ub.ruhr-uni-bochum.de/netahtml/HSS/Diss/WillemsCarsten/Inhaltsverzeichnis.pdf
Format:  application/pdf (96.5 k)

Zusammenfassung
Datei:  http://www-brs.ub.ruhr-uni-bochum.de/netahtml/HSS/Diss/WillemsCarsten/Zusammenfassung.pdf
Format:  application/pdf (79.6 k)

Abstract
Datei:  http://www-brs.ub.ruhr-uni-bochum.de/netahtml/HSS/Diss/WillemsCarsten/Abstract.pdf
Format:  application/pdf (52.6 k)

Schlagworte:  Malware; Dynamische Analyse; Instrumentation; Reverse Engineering; Programmanalyse

Inhalt der Arbeit: 

Die Analyse unbekannter Software und Rekonstruktion ihrer Funktionalität ist eine wichtige Aufgabe. Im Kontext von Schadsoftware dient sie der Entwicklung von Schutzmechanismen sowie Sicherheitssoftware und hilft bei der Säuberung infizierter Systeme. Statische Analyseverfahren erlauben eine vollständige Untersuchung, sind jedoch zeitaufwendig und kompliziert und werden erschwert durch Schutzmaßnahmen moderner Schadprogramme, zB Verschlüsselung oder Codeverschleierung. Dynamische Ansätze hingegen beschleunigen die Analyse, können leicht automatisiert und zur Verhaltensanalyse von Software eingesetzt werden. Häufig werden dabei sogenannte Software-Emulatoren eingesetzt, die jedoch aufgrund der Komplexität moderner CISC-Architekturen immer unvollständig sind. Da dieses von Schadsoftware erkannt und ausgenutzt wird, ist der Ansatz dieser Arbeit die Verwendung nativer Systemkomponenten und untersucht, welche Hardware- und Software-Mechanismen dafür instrumentalisiert werden können.


Angaben des Autors:
E-Mail: 
Homepage: 
Teile der Arbeit veröffentlicht in: