رویکردی نو در شناسایی بدافزارها با تحلیل تصویر حافظه

Abstract

روش‌های تشخیص بدافزار مبتنی بر تحلیل محتویات حافظه در سال‌های اخیر محبوبیت زیادی به دست آورده‌اند. تحقیقات انجام‌شده در این زمینه پیشرفت زیادی داشته‌ و چهار‌چوب‌های تحلیل قدرتمندی نیز بوجود آمده است. درحالی‌که این چهارچوب‌ها امکان بررسی یک تصویر لحظه‌ای حافظه با جزئیات کامل را فراهم می‌کنند، اما تفسیر و همبسته‌سازی این جزئیات برای استخراج ناسازگاری‌ها نیاز به دانش کاملی از ساختارهای داخلی سیستم‌عامل دارد. در این پژوهش تمرکز پویش‌گر پیشنهادی ما بر استخراج اطلاعات از ساختار‌های حافظه با پرداختن به ناسازگاری‌های ایجادشده توسط تکنیک‌های دفاعی مورد استفاده بدافزارها می‌باشد. در روش ارائه شده با توصیف ساختارهای حافظه به استخراج اثرات مؤثر مربوط به تغییرات رجیستری، دسترسی فایل‌های کتابخانه‌ای و فراخوانی‌های توابع سیستم‌عامل پرداخته‌ایم. برای ارزیابی ویژگی‌های استخراج شده، نمونه‌ها‌ را براساس ویژگی‌های انتخاب‌شده دسته‌بندی کردیم، بهترین نتایج شامل نرخ تشخیص 98% و نرخ مثبت کاذب 16% می‌باشند که نشان‌دهنده مؤثر بودن روش‌های تشخیص مبتنی بر تحلیل محتویات حافظه است.