Imaging and evaluating the memory access for malware
| dc.contributor.advisor | Koltuksuz, Ahmet Hasan | |
| dc.contributor.author | Yücel, Çağatay | |
| dc.date.accessioned | 2021-05-08T12:06:58Z | |
| dc.date.available | 2021-05-08T12:06:58Z | |
| dc.date.submitted | 2019 | |
| dc.date.issued | 2020-01-06 | |
| dc.identifier.uri | https://acikbilim.yok.gov.tr/handle/20.500.12812/698135 | |
| dc.description.abstract | Kötü amaçlı yazılım analizi adli bilişsel bir süreçtir. Zararlı yazılım; başarılıbir şekilde hedef bilgisayara bulaştıktan, amaçladığı zarar hedef bilgisayardaoluştuktan ve yazılım kendini tam ölçekte gösterdikten sonra ancak çalıştırılabilirdosyanın hedefi ve yapısı gerçek anlamda anlaşılabilir. Zararlı yazılım analizi ile eldeedilen bu bulgular kötü amaçlı yazılım imzalarına dönüştürülmekte; antivirüsveritabanları ve tehdit istihbarat değişim platformları arasında paylaşılmaktadır. Buçok değerli bilgiler daha sonra kötü amaçlı yazılımların daha fazla yayılmasınıönlemek amacıyla saptama/önleme mekanizmalarında kullanılır. Bu süreçte kötüamaçlı yazılım örneğinin analizi iki kategoriye ayrılır: statik analiz ve dinamik analiz.Statik analizde çalıştırılabilir dosya, tersine mühendislik yazılımları aracılığıylakaynak koduna geri döndürülüp analiz edilirken, dinamik analiz, çalıştırılabilirdosyanın dışarıya kapalı bir ortamda çalıştırılmasını ve davranışlarının analizini içerir.Hem statik hem de dinamik analiz, paketleme, perdeleme, ölü kod ekleme, sanalmakinenin algılanması ve hata ayıklama önleme teknikleri gibi analiz önlemeteknikleriyle sınırlıdır. Öte yandan bellek üzerinden gerçekleştirilen analiz işlemleribu sınırlamalarla gizlenemez ve bilgisayar sistemlerinin modellerinin icadından buyana herhangi bir yazılım için kaçınılmazdır. Bu nedenle, bu araştırmada, kötü niyetlieylemler için bellek işlemleri ve bellek erişim örüntüleri incelenmiş, bellek erişimgörüntülerinin çıkarılması için yeni bir yaklaşımın katkısı litaretüre sunulmuştur. Buçıkarma yöntemine ek olarak, bu görüntülerin tespiti ve karşılaştırma için nasılkullanılabileceği görüntü karşılaştırma tekniği ile ortaya konulmuştur. | |
| dc.description.abstract | Malware analysis is a forensic process. After infection and the damage representeditself with the full scale, then the analysis of the attack, the structure of the executableand the aim of the malware can be discovered. These discoveries are converted intoanalysis reports and malware signatures and shared among antivirus databases andthreat intelligence exchange platforms. This highly valuable information is thenutilized in the detection mechanisms in order to prevent further dissemination andinfections of malware. The types of analysis of the malware sample in this process canbe grouped into two categories: static analysis and dynamic analysis. In static analysis,the executable file is reverted to the source code through disassemblers and reverseengineering software and analyzed whereas dynamic analysis includes running thesample in an isolated environment and analyzing its behavior. Both static and dynamicanalysis have limitations such as packing, obfuscation, dead code insertion, sandboxdetection, and anti-debugging techniques. Memory operations, on the other hand, arenot possible to hide by these limitations and inevitable for any software since theinventions of the computational models. Therefore, in this research, memoryoperations and access patterns for the malicious acts are examined and a contributionof a novel approach for extracting of memory access images is presented. In additionto extraction, methods of how these images can be used for detection and comparisonis introduced through an image comparison technique. | en_US |
| dc.language | English | |
| dc.language.iso | en | |
| dc.rights | info:eu-repo/semantics/openAccess | |
| dc.rights | Attribution 4.0 United States | tr_TR |
| dc.rights.uri | https://creativecommons.org/licenses/by/4.0/ | |
| dc.subject | Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol | tr_TR |
| dc.subject | Computer Engineering and Computer Science and Control | en_US |
| dc.title | Imaging and evaluating the memory access for malware | |
| dc.title.alternative | Zararlı yazılımlar için bellek erişimlerinin görüntülenmesi ve değerlendirilmesi | |
| dc.type | doctoralThesis | |
| dc.date.updated | 2020-01-06 | |
| dc.contributor.department | Bilgisayar Mühendisliği Ana Bilim Dalı | |
| dc.identifier.yokid | 10295757 | |
| dc.publisher.institute | Fen Bilimleri Enstitüsü | |
| dc.publisher.university | YAŞAR ÜNİVERSİTESİ | |
| dc.identifier.thesisid | 599734 | |
| dc.description.pages | 133 | |
| dc.publisher.discipline | Diğer |
Files in this item
This item appears in the following Collection(s)
Except where otherwise noted, this item's license is described as info:eu-repo/semantics/openAccess