Получение содержимого удаляемых и изменяемых файлов в среде динамического анализа исполняемых файлов Drakvuf
https://doi.org/10.15514/ISPRAS-2018-30(5)-7
Аннотация
В статье рассматриваются способы получения содержимого файлов, изменяемых в процессе работы известной среды динамического анализа с открытым исходным кодом Drakvuf. В Drakvuf изначально реализована функциональность сохранения файлов, основанная на использовании недокументированных механизмов работы с системным кэшем. Автором данной статьи предложен новый подход получения содержимого файлов в системах семейства Microsoft Windows с помощью Drakvuf. Предложенный подход основан исключительно на использовании публичного интерфейса ядра со стороны гипервизора и обеспечивает переносимость между различными версиями операционной системы. В завершение статьи приведены достоинства и недостатки обоих подходов, предложены направления дальнейших работ.
Ключевые слова
Список литературы
1. Malware. The Independent IT-Security Institute. Доступно по ссылке: https://www.av-test.org/en/statistics/malware/.
2. Kurniadi Asrigo, Lionel Litty, David Lie. Using VMM-Based Sensors to Monitor Honeypots. Department of Electrical and Computer Engineering University of Toronto, 2006. Доступно по ссылке: https://security.csl.toronto.edu/papers/asrigo-vee2006.pdf, дата обращения 17.11.2018.
3. Manpreet Kaur Rangian, Upasna Attri. Design and Implementation of Malware Collection System Based on Client Honeypot. International Journal of Scientific & Engineering Research, 2013.
4. Cuckoo Sandbox. Доступно по ссылке: https://cuckoosandbox.org/, дата обращения 17.11.2018.
5. Carsten Willems, Thorsten Holz, and Felix Freiling. Toward automated dynamic malware analysis using cwsandbox. Security & Privacy, IEEE, 2007.
6. Malware Anti-Analysis Techniques and Ways to Bypass Them. Доступно по ссылке: https://resources.infosecinstitute.com/malware-anti-analysis-techniques-ways-bypass/, дата обращения 02.05.2017.
7. Tal Garfinkel, Mendel Rosenblum. A Virtual Machine Introspection Based Architecture for Intrusion Detection. Computer Science Department, Stanford University, 2003. Доступно по ссылке: https://suif.stanford.edu/papers/vmi-ndss03.pdf, дата обращения 17.11.2018.
8. Классификация вредоносных программ. Доступно по ссылке: https://www.kaspersky.ru/blog/klassifikaciya-vredonosnyx-programm/2200/.
9. What is ransomware?. Доступно по ссылке: https://us.norton.com/internetsecurity-malware-ransomware.html, дата обращения 17.11.2018.
10. Drakvuf. Доступно по ссылке: https://drakvuf.com/, дата обращения 17.11.2018.
11. Tamas Kristof Lengyel. Malware Collection and Analysis via Hardware Virtualization. University of Connecticut, 2015. Доступно по ссылке: https://tklengyel.com/thesis.pdf, дата обращения 17.11.2018.
12. Xen Project. Доступно по ссылке: https://xenproject.org/, дата обращения 17.11.2018.
13. LibVMI. Доступно по ссылке: http://libvmi.com/, дата обращения 17.11.2018.
14. Recall Forensics. Доступно по ссылке: http://www.rekall-forensic.com/, дата обращения 17.11.2018.
15. QEMU. Доступно по ссылке: https://www.qemu.org/, дата обращения 17.11.2018.
16. Rekall Profiles. Доступно по ссылке: http://blog.rekall-forensic.com/2014/02/rekall-profiles.html, дата обращения 17.11.2018.
17. М. Руссинович, Д. Соломон, А. Ионеску. Внутреннее устройство Microsoft Windows. 6-е издание. Основные подсистемы ОС. СПб.: Питер, 2014, 672 с.
18. Джеффри Рихтер, Кристоф Назар. Windows via C/C++. Программирование на языке Visual C++. СПб.: Питер, 2009, 896 с.
19. Building C/C++ Programs. Доступно по ссылке: https://docs.microsoft.com/en-us/cpp/build/building-c-cpp-programs?view=vs-2017, дата обращения 17.11.2018.
20. Specifying Device Types. Доступно по ссылке: https://docs.microsoft.com/en-us/windows-hardware/drivers/kernel/specifying-device-types, дата обращения 17.11.2018.
Рецензия
Для цитирования:
Ковалёв С.Г. Получение содержимого удаляемых и изменяемых файлов в среде динамического анализа исполняемых файлов Drakvuf. Труды Института системного программирования РАН. 2018;30(5):109-122. https://doi.org/10.15514/ISPRAS-2018-30(5)-7
For citation:
Kovalev S.G. Reading the contents of deleted and modified files in the virtualization based black-box binary analysis system Drakvuf. Proceedings of the Institute for System Programming of the RAS (Proceedings of ISP RAS). 2018;30(5):109-122. (In Russ.) https://doi.org/10.15514/ISPRAS-2018-30(5)-7