Καταγραφή κλήσεων συστήματος Windows για την ανάλυση κακόβουλου λογισμικού

Abstract

Η έλευση αυτοματοποιημένων μεθόδων ανάλυσης κακόβουλου λογισμικού, είχε εκτός των άλλων, ως αποτέλεσμα την περαιτέρω ανάδειξη της σπουδαιότητας των κλήσεων συστήματος για την κατανόηση της συμπεριφοράς ενός κακόβουλου δείγματος. Όμως, η εκτέλεση κάποιου προγράμματος σε μία σύγχρονη έκδοση των Windows, έχει αναπόφευκτη συνέπεια, την πραγματοποίηση ενός πολύ μεγάλου αριθμού κλήσεων συναρτήσεων συστήματος. Η όποια λοιπόν μέθοδος, η οποία θα καταγράφει αυτές τις κλήσεις, στα πλαίσια πάντα της ανάλυσης κακόβουλου λογισμικού, θα πρέπει να έχει κάποια συγκεκριμένα χαρακτηριστικά. Θα πρέπει να είναι στοχευμένη, να καταγράφει δηλαδή μόνο τις κλήσεις που θα βοηθήσουν σε μία τέτοια ανάλυση. Να είναι παράλληλα πλήρης, να επιστρέφει δηλαδή όλες τις απαραίτητες για ενδελεχή ανάλυση πληροφορίες. Επίσης να μην δημιουργεί περιττό υπολογιστικό φόρτο, στο σύστημα στο οποίο εφαρμόζεται και τέλος θα πρέπει να είναι δυσανιχνεύσιμη, ώστε να καθίσταται δύσκολη ή και ιδανικά αδύνατη, η ανακάλυψή της από πιθανούς υποστηρικτικούς μηχανισμούς του κακόβουλου λογισμικού. Σκοπός της εργασίας αυτής, είναι η μελέτη και παρουσίαση, των υπαρχουσών μεθόδων με τις οποίες επιτυγχάνεται η καταγραφή των κλήσεων συστήματος, αλλά και η προσπάθεια ανάλυσης κάποιων περισσότερο πειραματικών τεχνικών. Η μελέτη περιορίζεται σε ένα υπολογιστικό σύστημα το οποίο, χρησιμοποιεί κάποια έκδοση των Windows της Microsoft. Αρχικά λοιπόν, γίνεται μία θεωρητική τεκμηρίωση για τα σημεία ενός υπολογιστικού συστήματος, στα οποία μπορεί να λάβει χώρα κάποιου είδους παρέμβαση, για την επίτευξη αυτού του στόχου. Στην συνέχεια αναλύονται πιο διεξοδικά οι μέθοδοι αυτές και επιχειρείται μία σύγκριση των πλεονεκτημάτων και μειονεκτημάτων που η κάθε μία μπορεί να έχει.