Ghostware and rootkit detection techniques for windows

Abstract

Spyware programları bilgisayar kullanıcıları işin ünemli bir problem teşkil et-co smektedirler. Genel olarak ?spyware? terimi kullanıcılara reklam güstermek veyaointernet tarayıcılarından alışkanlıklarını takip etmek işin kullanılan ?adware? adlıs ckütü niyetli programlar ile aynı anlamda kullanılır. Bu üzelliklerine ek olarak spy-ou oware programları varlıklarını gizleme eğilimleri ile de bilinirler, fakat bugüne kadarg ubu konudaki yeteneklerini ya kullanmadılar ya da oldukşa kıstlı kullandılar. Diğerc gbir deyişle, kullanıcıyı takip etmede oldukşa gelişmiş olan spyware programlarıs c sskendilerini saklama konusunda bu kadar başarılı değillerdi. Bu sebepten dolayı das gdosya tarama veya windows kütüğu tarama teknikleri ile kolayca yakalanabiliyor-u ugülardı. Yeni spyware programları ?rootkit? denilen kendilerini saklama konusundauzman programlarla birleşerek kendilerini ustaca saklayabilen spyware'ler ha-sline geldiler. Kısaca ?ghostware? adını verdiğimiz bu programlar işletim sistem-g slerinin uygulamalara sunduğu programlama arayüzlerini etkileyerek kendilerini veg ukaynaklarını saklayabilemektedirler. Bu şalışmamızda ghostware programlarınıncskullandıkları teknikleri ve onlara karşı kullanılabilecek karşı teknikleri inceledik.s sAyrıca popüler anti-virüs ve anti-spyware programlarına ve karşı teknik kullananu u saraşlara karşı etkililiklerini araştırdık. Sonuşlara güre anti-virüs ve anti-spywarec s s c o uprogramları ghostware programlarını yakalamada ve kaldırmada yetersiz kaldı.Karşı teknik kullanan araşlar nispeten başarılıydı fakat bu araşlar sadece enfek-s c s csiyon sonrası kullanılabildiğinden ve sorundan kurtulmak işin herhangi bir yüntemg c oişermediğinden, ghostware programlarının tehlikelerini ve kullanım alanlarını an-c glayarak yeni yakalama teknikleri geliştirilmesi zorunluluğunu güsterdik.Anahtar süzcükler : spyware, ghostware, rootkit.

Spyware is a signiï¬cant problem for most computer users. In public, the termspyware is used with the same meaning as adware, a kind of malicious softwareused for showing advertisements to the user against his will. Spyware programsare also known for their tendency to hide their presence, but advanced stealthtechniques used to be either nonexistent or relatively primitive in terms of eï¬ec-tiveness. In other words, most of the spyware programs were eï¬cient at spyingbut not very eï¬cient at hiding. This made spyware easily detectable with sim-ple ï¬le-scanning and registry-scanning techniques. New spyware programs havemerged with rootkits and gained stealth abilities, forming spyware with advancedstealth techniques. In this work we focus on this important subclass of spyware,namely ghostware. Ghostware programs hide their resources from the Operat-ing System Application Programming Interfaces that were designed to query andenumerate them. The resources may include ï¬les, Windows Registry entries,processes, and loaded modules and ï¬les. In this work, we enumerated thesehiding techniques and studied the stealth detection methodologies. We also in-vestigated the eï¬ectiveness of the hiding techniques against popular anti-virusprograms and anti-spyware programs together with publicly available ghostwaredetection and rootkit detection tools. The results show that, anti-virus programsor anti-spyware programs are not eï¬ective for detecting or removing ghostwareapplications. Hidden object detection or rootkit detection tools can be useful,however, these tools can only work after the computer is infected and they donot provide any means for removing the ghostware. As a result, our work showsthe need for understanding the potential dangers and applications of ghostwareand implementing new detection and prevention tools.Keywords: spyware, ghostware, rootkit, stealth, detection.