Betriebssysteme · Institut für Systemarchitektur · Fakultät Informatik · TU Dresden



01. 11. 2013

Auf Rootkit-Spurensuche mit MAS


Marcus Peinado

Microsoft Research


Dynamische Datenstrukturen werden immer häufiger von Rootkits benutzt, um Kontrolle über Computersysteme zu erlangen. Bisher waren Analyseprogramme jedoch nur in der Lage, einen Bruchteil des dynamischen Kernspeichers zu inspizieren.

Dieser Vortrag beschreibt MAS, ein System, das dynamische Kerndaten fast komplett identifizieren kann. Im Gegensatz zu früheren Lösungen, die verkettete Listen, VOID-Pointer und UNIONS außer Acht lassen, benutzt KOP statische Analysemethoden, um die konkreten Datentypen solcher Strukturen zu finden. Ungültige Pointer und die Ausbreitung der daraus resultierenden Fehler sind weitere praktische Probleme. Unsere statische Analyse stattet MAS mit einer verlässlichen partiellen Datentypzuweisung aus und erlaubt es MAS, fehleranfällige Operationen zu vermeiden.

Wir haben mit Hilfe von MAS zwei größere Malwarestudien durchgeführt. In der ersten Studie haben wir hunderte von Windows Kern-Crashdumps mit MAS auf Spuren von Malware untersucht. Die zweite Studie analysiert mehr als 150000 potentielle Malwarefiles.
26. Jun 2018
· Copyright © 2001-2010 Operating Systems Group, TU Dresden | Impressum ·