Получение содержимого удаляемых и изменяемых файлов в среде динамического анализа исполняемых файлов Drakvuf

В статье рассматриваются способы получения содержимого файлов, изменяемых в процессе работы известной среды динамического анализа с открытым исходным кодом Drakvuf. В Drakvuf изначально реализована функциональность сохранения файлов, основанная на использовании недокументированных механизмов работы с системным кэшем. Автором данной статьи предложен новый подход получения содержимого файлов в системах семейства Microsoft Windows с помощью Drakvuf. Предложенный подход основан исключительно на использовании публичного интерфейса ядра со стороны гипервизора и обеспечивает переносимость между различными версиями операционной системы. В завершение статьи приведены достоинства и недостатки обоих подходов, предложены направления дальнейших работ.

1. Malware. The Independent IT-Security Institute. Доступно по ссылке: https://www.av-test.org/en/statistics/malware/.

2. Kurniadi Asrigo, Lionel Litty, David Lie. Using VMM-Based Sensors to Monitor Honeypots. Department of Electrical and Computer Engineering University of Toronto, 2006. Доступно по ссылке: https://security.csl.toronto.edu/papers/asrigo-vee2006.pdf, дата обращения 17.11.2018.

3. Manpreet Kaur Rangian, Upasna Attri. Design and Implementation of Malware Collection System Based on Client Honeypot. International Journal of Scientific & Engineering Research, 2013.

4. Cuckoo Sandbox. Доступно по ссылке: https://cuckoosandbox.org/, дата обращения 17.11.2018.

5. Carsten Willems, Thorsten Holz, and Felix Freiling. Toward automated dynamic malware analysis using cwsandbox. Security & Privacy, IEEE, 2007.

6. Malware Anti-Analysis Techniques and Ways to Bypass Them. Доступно по ссылке: https://resources.infosecinstitute.com/malware-anti-analysis-techniques-ways-bypass/, дата обращения 02.05.2017.

7. Tal Garfinkel, Mendel Rosenblum. A Virtual Machine Introspection Based Architecture for Intrusion Detection. Computer Science Department, Stanford University, 2003. Доступно по ссылке: https://suif.stanford.edu/papers/vmi-ndss03.pdf, дата обращения 17.11.2018.

8. Классификация вредоносных программ. Доступно по ссылке: https://www.kaspersky.ru/blog/klassifikaciya-vredonosnyx-programm/2200/.

9. What is ransomware?. Доступно по ссылке: https://us.norton.com/internetsecurity-malware-ransomware.html, дата обращения 17.11.2018.

10. Drakvuf. Доступно по ссылке: https://drakvuf.com/, дата обращения 17.11.2018.

11. Tamas Kristof Lengyel. Malware Collection and Analysis via Hardware Virtualization. University of Connecticut, 2015. Доступно по ссылке: https://tklengyel.com/thesis.pdf, дата обращения 17.11.2018.

12. Xen Project. Доступно по ссылке: https://xenproject.org/, дата обращения 17.11.2018.

13. LibVMI. Доступно по ссылке: http://libvmi.com/, дата обращения 17.11.2018.

14. Recall Forensics. Доступно по ссылке: http://www.rekall-forensic.com/, дата обращения 17.11.2018.

15. QEMU. Доступно по ссылке: https://www.qemu.org/, дата обращения 17.11.2018.

16. Rekall Profiles. Доступно по ссылке: http://blog.rekall-forensic.com/2014/02/rekall-profiles.html, дата обращения 17.11.2018.

17. М. Руссинович, Д. Соломон, А. Ионеску. Внутреннее устройство Microsoft Windows. 6-е издание. Основные подсистемы ОС. СПб.: Питер, 2014, 672 с.

18. Джеффри Рихтер, Кристоф Назар. Windows via C/C++. Программирование на языке Visual C++. СПб.: Питер, 2009, 896 с.

19. Building C/C++ Programs. Доступно по ссылке: https://docs.microsoft.com/en-us/cpp/build/building-c-cpp-programs?view=vs-2017, дата обращения 17.11.2018.

20. Specifying Device Types. Доступно по ссылке: https://docs.microsoft.com/en-us/windows-hardware/drivers/kernel/specifying-device-types, дата обращения 17.11.2018.