Název:
Škálovatelná podobnost binárních spustitelných souborů
Překlad názvu:
Scalable Binary Executable File Similarity
Autoři:
Kubov, Peter ; Kolář, Dušan (oponent) ; Regéciová, Dominika (vedoucí práce) Typ dokumentu: Diplomové práce
Rok:
2021
Jazyk:
eng
Nakladatel: Vysoké učení technické v Brně. Fakulta informačních technologií
Abstrakt: [eng][cze]
Cieľom tejto práce je navrhnúť a implementovať novú službu s názvom YaraZilla pre hľadanie podobností binárnych súborov so známymi malvérovými vzorkami. Veľké množstvo malvéru je iba variáciou existujúceho malvéru upraveného tak, aby unikol pozornosti antimalvérových systémov. Vďaka rozvíjajúcej sa štúdii podobnosti binárnych súborov sme schopní vytvoriť nástroje, ktoré dokážu odhaliť podobnosť binárne líšiacich sa vzoriek, a zaradiť malvér do rodiny, s ktorou zdieľa najviac podobnosti. Cieľom práce je práve poskytnúť takýto nástroj analytikom v Avaste. Služba, navrhnutá v tejto práci, hľadá podobnosť binárnych súborov využitím rozličných metód na rôznych úrovniach abstrakcie binárnych súborov - inštrukcie, základné bloky, funkcie. Navrhnutá služba je schopná spracovávať obrovské množstvo súborov, ktoré poskytujú interné systémy spoločnosti Avast. Výsledkom práce je nová služba, ktorá poskytuje malvérovým analytikom v Avaste obsiahle štatistiky podobností, ktoré je možné využiť v existujúcich službách alebo ich využiť ako základ pre nové nástroje.
This work aims to design and implement a new service searching for binary file similarities within known malware samples called YaraZilla. Studying file similarity has a growing potential in malware analysis. The vast amount of new malware is a polymorphic variation of existing malware created for deceiving anti-malware detections. The newly created service is designed to operate by using various binary file similarity techniques on multiple levels of binary code abstraction - instructions, basic blocks, functions. The service is designed to process immense amounts of files supplied by Avast systems. The result of this work is a service that presents malware analysts at Avast with a comprehensive report on malware similarity. Apart from that, the result of service can be integrated into existing services and provides a foundation for new tools.
Klíčová slova:
Avast; binary file similarity; malware; malware family; reverse engineering; scalable service.; Avast; malvér; malvérové rodiny; podobnosť binárnych súborov; revezné inžinierstvo; škáloveteľná služba.
Instituce: Vysoké učení technické v Brně
(web)
Informace o dostupnosti dokumentu:
Plný text je dostupný v Digitální knihovně VUT. Původní záznam: https://hdl.handle.net/11012/249146