haku: / yhteensä: 57518
viite: 306 / 57518
| Tekijä: | Helin, Anssi Matti |
| Työn nimi: | Virtual machine introspection in malware analysis |
| Virtuaalikoneintrospektio haittaohjelma-analyysissä | |
| Julkaisutyyppi: | Diplomityö |
| Julkaisuvuosi: | 2016 |
| Sivut: | 58 s. + liitt. 6 Kieli: eng |
| Koulu/Laitos/Osasto: | Perustieteiden korkeakoulu |
| Oppiaine: | Mobile Computing, Services and Security (SCI3045) |
| Valvoja: | Aura, Tuomas |
| Ohjaaja: | Cafasso, Matteo |
| Elektroninen julkaisu: | http://urn.fi/URN:NBN:fi:aalto-201612226272 |
| Sijainti: | P1 Ark Aalto 6068 | Arkisto |
| Avainsanat: | virtualization virtual machine introspection malware analysis software automation virtualisaatio virtuaalikoneet virtuaalikoneintrospektio haittaohjelma-analyysi ohjelmistoautomaatio |
| Tiivistelmä (fin): | Virtuaalikoneintrospektio on nouseva keino haittaohjelma-analyysin saralla. Se mahdollistaa virtuaalikoneessa suoritettavien haittaohjelmien huomaamattomamman analysoinnin. Vaikka introspektioalustoja on julkaistu avoimena lähdekodina, yhtään kokonaista järjestelmää ei ole julkisesti saatavilla, joten otimme tavoitteeksi kokonaisen järjestelmän rakentamisen olemassaolevista osista. Diplomityö kuvaa automaattisen haittaohjelma-analyysijärjestelmän suunnittelua ja käyttöönottoa. Järjestelmä perustuu DRAKVUF-nimiseen ohjelmistoon, joka on Windows-haittaohjelmien analysointiin tarkoitettu työkalu Linux-alustalle, ja käyttää Xeniä virtualisointiin. Järjestelmä tuottaa tarkan seurannan erilaisista tapahtumista, kuten järjestelmäkutsuista ja käyttöjärjestelmän ytimen sisäisistä funktiokutsuista, ja tallentaa levylle kirjoitetut uudet tiedostot analyysiä varten. Tämän jälkeen diplomityö vertaa järjestelmän suorituskykyä sekä synteettisillä että tosielämän kuormituksilla. Diplomityön päätulos on, että on mahdollista rakentaa automaattinen virtuaalikoneintrospektioon perustuva haittaohjelma-analyysijärjestelmä avoimen lähdekoodin komponenteista, ja että näin syntyvä järjestelmä on käyttökelpoinen tosielämässä. |
| Tiivistelmä (eng): | Virtual machine introspection is an emerging method in the area of malware analysis. It allows for more stealthy analysis of malware that are executing inside a virtual machine. While open-source platforms for introspection have been published, there is currently no complete solution that would be publicly available. Thus, we set out to build a complete system from existing components. This thesis describes the design and deployment of an automatic malware analysis system based on DRAKVUF, a malware analysis tool for Windows software that uses Linux as the host platform and Xen for virtualization. The system design and deployment scripts have been published as open source. As its output, the system records a trace of events, such as system calls and internal kernel function calls, and stores new files written to the disk for analysis. The analysis system is then benchmarked using both synthetic and real-world workloads. As the main result of the thesis, we found that it is feasible to put together an automated malware analysis environment based on virtual machine introspection and available open-source software components, and that the resulting system works in practice. |
| ED: | 2017-01-08 |
INSSI tietueen numero: 55310
+ lisää koriin
INSSI