01. 11. 2013Auf Rootkit-Spurensuche mit MASMarcus PeinadoMicrosoft ResearchDieser Vortrag beschreibt MAS, ein System, das dynamische Kerndaten fast komplett identifizieren kann. Im Gegensatz zu früheren Lösungen, die verkettete Listen, VOID-Pointer und UNIONS außer Acht lassen, benutzt KOP statische Analysemethoden, um die konkreten Datentypen solcher Strukturen zu finden. Ungültige Pointer und die Ausbreitung der daraus resultierenden Fehler sind weitere praktische Probleme. Unsere statische Analyse stattet MAS mit einer verlässlichen partiellen Datentypzuweisung aus und erlaubt es MAS, fehleranfällige Operationen zu vermeiden. Wir haben mit Hilfe von MAS zwei größere Malwarestudien durchgeführt. In der ersten Studie haben wir hunderte von Windows Kern-Crashdumps mit MAS auf Spuren von Malware untersucht. Die zweite Studie analysiert mehr als 150000 potentielle Malwarefiles. |
28. Oct 2020
|
|
· Copyright © 2001-2022 Operating Systems Group, TU Dresden | Impressum · |