Original title:
Vylepšování extrakce informací ze spustitelných souborů
Translated title:
Improving Extraction of Information From Executable Files
Authors:
Hájek, Karel ; Kolář, Dušan (referee) ; Zobal, Lukáš (advisor) Document type: Bachelor's theses
Year:
2021
Language:
cze Publisher:
Vysoké učení technické v Brně. Fakulta informačních technologií Abstract:
[cze][eng]
Práce se zabývá rozšiřováním open-source projektu zpětného překladače RetDec společnosti Avast. Jedná se o vylepšování extrakce informací ze spustitelných souborů, které jsou využitelné při analýze škodlivého softwaru. Navrhuje několik možností rozšíření extrakce v projektu RetDec. Z těchto možností jsou vybrány ty nejužitečnější, které se následně implementují. Mezi vybraná rozšíření patří hlubší analýza formátu Authenticode, což je technologie společnosti Microsoft pro digitální podepisování spustitelných souborů na systémech Windows, a tvorba hashe symbolů pro spustitelné soubory na Linuxových systémech. Výstupem práce je implementace vybraných rozšíření a jejich otestování na skutečných vzorcích škodlivého softwaru.
This thesis deals with extension of an open-source decompiler project called RetDec maintained by the Avast company. The goal is to develop an extension of data extraction from executable files for malware analysis improvement. The thesis proposes several possible improvements on data extraction in the RetDec project. The most useful of these suggested enhancements are then selected and implemented. The selected enhancements involve calculating a hash of symbol names in Linux executable files and a more extensive analysis of Authenticode format, a Microsoft technology for digital signing of executable files for Windows operating systems. The thesis implements the selected additional data extractions in the RetDec project and tests them on real-world malware samples.
Keywords:
Authenticode; ELF; executable files; import hash; malware; PE; RetDec; reverse engineering; telfhash; Authenticode; ELF; import hash; PE; RetDec; reverzní inženýrství; spustitelné soubory; telfhash; škodlivý kód
Institution: Brno University of Technology
(web)
Document availability information: Fulltext is available in the Brno University of Technology Digital Library. Original record: http://hdl.handle.net/11012/199319