دانش رسان |
مرکز علم و دانش کشور تشخیص هوشمند بدافزارهای چند ریخت جدید براساس مقایسه الگوی بلوک های دستورالعمل
در حال بارگذاری
توجه : به همراه فایل word این محصول فایل پاورپوینت (PowerPoint) و اسلاید های آن به صورت هدیه ارائه خواهد شد
تشخیص هوشمند بدافزارهای چند ریخت جدید براساس مقایسه الگوی بلوک های دستورالعمل دارای ۴۹ صفحه می باشد و دارای تنظیمات در microsoft word می باشد و آماده پرینت یا چاپ است
فایل ورد تشخیص هوشمند بدافزارهای چند ریخت جدید براساس مقایسه الگوی بلوک های دستورالعمل کاملا فرمت بندی و تنظیم شده در استاندارد دانشگاه و مراکز دولتی می باشد.
توجه : در صورت مشاهده بهم ریختگی احتمالی در متون زیر ،دلیل ان کپی کردن این مطالب از داخل فایل ورد می باشد و در فایل اصلی تشخیص هوشمند بدافزارهای چند ریخت جدید براساس مقایسه الگوی بلوک های دستورالعمل،به هیچ وجه بهم ریختگی وجود ندارد
بخشی از متن تشخیص هوشمند بدافزارهای چند ریخت جدید براساس مقایسه الگوی بلوک های دستورالعمل :
تعداد صفحات :۴۹
چکیده مقاله:
یکی از بخش های حوزه امنیت نرم افزار، تشخیص بد افزار می باشد. دو روش کلی برای شناسایی بد افزار وجود دارد که شامل ایستا (Static) و پویا (Dynamic) هست. در روش ایستا بدون اجرای بد افزار و با پویش فایل اجرایی قابل حمل (Portable Executable) کار شناسایی صورت می گیرد و در روش پویا با استفاده از اجرای فایل کار شناسایی بدافزار انجام می شود. جهت شناسایی بدافزار به روش پویا لازم است بدافزار در شبیه ساز (Emulator) اجرا می گردد تا با اجرای عملکرد تخریبی خود و بدون آسیب رسانی، تغییر، تزریق کد و… به سیستم، شناسایی شود. اما به دلیل وجود پارامترهای زیاد در شبیه ساز، امکان فریب خوردن آن توسط بدافزارها بسیار زیاد می باشد. به طوری که بد افزار محیط شبیه ساز را رد کرده و مستقیم به سیستم دسترسی دارد. بنابراین روش پویا دارای امنیت نسبی بود ولی روش ایستا امن ترین روش برای پویش بد افزار می باشد.یکی از انواع جدید بدافزارها که در اکثر ضد بدافزاریاب ها شناخته نمی شود بدافزارهای است که دارای ظاهری چندریختی (Polymorph) می باشد. این نوع از بدافزارها، نسخه جدیدی از خود را تولید می کنند که به دلیل تغییر در ترتیب اجرای دستورالعمل ها و جابجایی عملکردهای اصلی برنامه، شیوه های شناسایی بدافزار فعلی پاسخگو نبوده و نمی تواند همه اعضای خانواده این نوع بدافزارها را به طور کامل شناسایی کند. چراکه با ایجاد جهش در ترتیب دستورالعمل ها مشابهت فایل جدید با فایل قبلی بدافزار از بین می رود. بدافزارها دو رویکرد برای استفاده از فایل چندریختی جدید دارند، شیوه اول استفاده از الگوریتم چندریختی(Polymorph Engine) در خود فایل و روش دوم استفاده از الگوریتم در سرور می باشد. شناسایی بدافزارهایی که از شیوه دوم استفاده می کنند به دلیل عدم دسترسی به الگوریتم بسیار سخت بوده و درنتیجه چنین بدافزارهایی به ندرت شناسایی می شوند. به عنوان مثال Microsoft اعلام کرد از بدافزار Gumaro 800 میلیون بدافزار موجود است که تنها قادر به شناسایی یک درصد آن ها هستیم. در روش پیشنهادی این پایان نامه، از مفهوم جدید بنام بلوک پایه (بلوک های پایه) جهت شناسایی بدافزارهایی که از چندریختی سمت سرور سود می برند، استفاده شده است. هر بلوک پایه تکه کدی است که قبل و بعد آن JMP به بیرون ندارد، مانند یک تابع که با استثناء کردن Return و فراخوانی اولیه آن بلوک پایه به دست می آید. با استفاده از روش پیشنهادی این مقاله مقایسه هایی بین بلوک های پایه، توابع و در نهایت فایل ها صورت می گیرد تا احتمال تشابه بین فایل پویش شده و بدافزار موجود به دست آید. بر طبق نتایج به دست آمده از این مقاله، بدافزارهایی که از الگوریتم چندریختی استفاده می کنند، با احتمال بیش از ۰.۹ شناسایی می شوند.
- در صورتی که به هر دلیلی موفق به دانلود فایل مورد نظر نشدید با ما تماس بگیرید.
