Encadrant Jean Yves Marion équipe CARTE LORIA

dumas_ccsd - Jean-Yves Marion

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

35 pages

Français

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

A propos
Informations
Extrait

Description

Niveau: Supérieur, Master

rapport de stage

mémoire

Rapport de stage Encadrant : Jean-Yves Marion (équipe CARTE, LORIA) Analyse morphologique en temps reel pour la detection de malware Aurelien Thierry Nancy, juin 2011 du m as -0 06 36 81 7, v er sio n 1 - 2 8 O ct 2 01 1

analyse comportementale

ordre d'exécution

analyse morphologique des programmes

problème de la détection

di?érents malware

analyse formelle du problème de détection

code

limites de l'approche par signature

Sujets

Mémoire

Thierry

Marion

Analyse comportementale

Ordre d'exécution

Informations

Publié par	dumas_ccsd
Publié le	01 juin 2011
Nombre de lectures	110
Langue	Français
Poids de l'ouvrage	1 Mo

Extrait

Analysemorphologiqueentempsreel´
pourladetection´ demalware
´Aurelien Thierry
EncadranRappTE,es:orteNancytjuinLORIA)2011CARdestagev,Jean-Y(?quipMarion
dumas-00636817, version 1 - 28 Oct 2011pare-feu.1eauxInasptrol'infectionductionsLalesrapidemorphologiqued?mounecratisationcommedepl'informatiqueortaDetransform?anotrelui-ci.rappvortun?estl'ordinateuractivetetauxapprosleyst?metsded'information.baseLes(fauxpremiershetendengraphetde?d'aregroupd?serstageuned'envlaasteorellesquanalvtit?dansde?tudieronsdonn?esalpth?oriquesersonnellespartiesurderni?releurselopputilisateursmoistandisd?j?que2lesinnosyst?mesad'informationrsonserontnousdev?enparticuli?remenusenuneconcomptosanatehine,opde?rationnelelesetsyst?me.d?ci-psionnellenivn?cessaireta-?faire,toutemisorganisationlesmorappderne.desCesselonsyst?mesformeapparaissanPuis,tnalorsparcommepropdestcmorphologique.iblescptotenlatielles,d'optimisationdespsolutionssous-grapheonmesuretn?t?cinqd?vleeloppsuite?eseloppanlad'hniquesenanprot?gerfait,ladanscondensignatures,tianslit?,arel'pasin).t?grit?t?ressonsetalternativlaapprodispsignature,onibilit?.?Laprogrammepremi?retligneotdeded?fenseleconsisted?tecter?erltreranleslaenseraittr?esoirduarrsyst?med'un(peillanortspusb,nceintr?eterfacesjectifr?seau,d'?tudieretc.)it?gr?cemorphologique?r?seau,ununepare-feusuretour??tudeblodesquer?uvlesanmenaceserformancespd?tecteur.o-esttenUnetielles.ogicielsSiancettecd?fenseet?cprophouepartieetaqpartieu'uunecougnatuplusieurslimites,partiesdi?renduessanalysesyst?metalessonasptpratiquescompromises,derni?ahevdansoirEnn,d?ni5,ettappliqu?cunecptolitiqued'isomorphismedets?curit?Dansconstitueceune?t?s?curit?apr?ssuppl?menstagetaire.j'expliqueraiEncompteeetvcelle-cidansrestreinstage,t?l'acc?stsde?cd?tectionhaquetecutil-d'attaqueisateur,vettes.donccedesjusqu'?ajoutplapldeicationscequ'iltaiutilise,nouvauxmalwressourcesnedutsyst?me.d?tect?sCen?gatifcloisonnemenNoustinpiciermetuxdeesralencettetircetparlimiteretlatcompromissionl'analysedudessyst?me.sLesutilisand?tecteurslededelogicielsdemalvtr?leeilcelanDansts,buoudeantivirusousonstopptl'attaquelevderniertrempartdedansmaccetteilapprosouhaitablecvhe.conscienceIlsl'vion?etprogrammpmalvermettretlasad?tectionr?etelasurclaen-sdusicL'obationdudesestmlaenacesossibilpr?send'utilisertesd?tecteursauureaulapuismacr?aliserhine,impl?menantiondeunstoppPercel'attaque.uneLadeteccomplexit?hniquealgorithmesdeend?tecretionn?cessairelad'am?liorerplusplargementemptduutilCeis?eortconsisteorganis?e?suit.comparerd?nitionunlprogrammemanalys?eill?tsl'ensemleurbleharged'uneebaseleurdeestlogicielsos?emalvlaeillan2.tsdconnnus.laElle3dispoosesdel'appronomhebreuxsiarevsesanettagesoserons:tesellternativedonestlesrapidecometortemeng?n?reetpLeseuectsdeetfauxdepetteosi-retifs,cc'estseron?d?taill?sdirelade4.programmesdansl?gitimespartiefaussemendestecclass?sscommedemalvetteeil-approlanhets.ortanN?ammoins,surseprobl?mebasandetseronuniquemend?vt?s.surladeso?attaquesrappconnaues,reelledun'estdeuxpasd'unadapt?ede?mois,lacommend?tectionjedeutilisernouvtraellesailsoucr?alis?helasdudeetprogramaxesmesd?vmalver.eillanni
dumas-00636817, version 1 - 28 Oct 2011ro2cTviruserminologiehesdesnon.logicielsd'unmalvneeillanatsapproLesicitradevt.auxlesdleedeCohenermet[1]onde,enactions1986petLesAabdlemant?resserons[2]d?terminerendu1988d'?treconstituenlattsleslvfondemenconsistetsancederlatvirologie.utilis?eUndevirus,s'attacaudesensl?depCohen,trap[1]eutducteur?tre3formalis?Nousparcanismesunhercmot?ninsurasplemomenruban(a(zoneex?cut?m?moire)misationd'unedemac?vhinetded?tectionTeturosenirecng,usqunisignature,scecelui-ciduptecllaiquesolutionsouprincipalemensehemocompdie?surlecetemdu?meiruband?tectionlorsqu'ilformaliser.estdeactivce?.auxLasurnotionrdehiner?plicationseautomatiquetesestdeunenouscaract?ristiquequ'auxprimordialclassemenehierdutvirus.estAmalvdlemanparticulier,propd'impl?menosed'analyse,uneo?notionestplusang?n?raledi?dexemple)'hniquesinfection(pinformatique.hercLaparr?plicationtn'enqu?s.tretspasfaitsdansdesalogicielsd?nitionnquiapproest?n?ralesaLalorsl?largiehe?hierstoutaprogrammednuneuisibleextraite.ppourelaanalys?,macd?terminerhinemalvounon.l'utilisateur.estSeetsm?thotralvLaauxorondutrec?t?estreprisheett.compl?t?particuli?remenparationlestreprisesauteursanalys?des'il[3]risquequiAnalyse?tablissemenrtdeunncadre?meformelmalwetslespr?send?monstrationsapdes?renth?oriesauxd'Aodleman.aMalgr?deunbasanfondemend?nitiontptmeh?uneoriquTeioriginaltsolide,Di?renlem?thossapprod?tectioncnehesinfondamenicitalesm?audeprobl?metdescprogrammescmalvhaneillan?tss'ilsonbtouassezeillanrares.EnDanslessonectslivre,tationFiliolprogramme[4]leproptoselelahierd?nitionanalys?1vsuivtanmoteoupparourcommeunetecinfectiond'opti-iutilis?esnfourorecrhemsignatureatiqexemple)ueseronoupasmalwaroeDi?ren.raisonnemenD?nitionon1.?t?Prdansodomainegrlaammedessimplemaoueillaauto-rtseprdeuxocducteur,g?s'oppct.arpremi?react?reneaoensif,hercs'instalsyst?matiquelantcdansconnunparsyst?mevd'information,et?ol'instusignaturedu?t?ouCettedescomutilisateurs,aen?vueaudehierpporterdeatteintesi?estlaeillancouonCettedentialit?,hniquel'int?biengrit?,d?eourestelaprincipaledispdeonibilit?pardeesccommerciales.esec-syst?me,encouesuscteptibledomained'incriminerla?herctort,sonunepcossesseurparouortemenl'utilisateurElledanshelatrl'observ?desalisationen-d'uparnprogrammecrimeanoud?terminerd'unpr?sendun?ouli3.1tformelle.pIlobestme?d?tectnoteroqueLecertainsroblaspdeectsdesdeareleut'attaqueeviraleNouscommetonsleunmoer?udedid'in-tsfectionvnedansserondtmaine.pastrd?taill?svici,fondateursmaisCohenilssesonttlaabd'unord?scommedansroglaamlitt?rature,auto-reprono-surtammenmactdedansuringleoutlivresdenSzor[5].3
dumas-00636817, version 1 - 28 Oct 20112
(parth?or?metsfondateur.hier.Ceslui-cit.stipulepquehierleer.pr?t?oblen?medansdeled?tectionhestDaitifsn-pd?cidable.d'aC'ester,?signaturedirelesqu'il08n'existeppasvderemplieprogrammeuncapableseinsansreerreurunded'd?ciderd?tectionsitructioteleutprogrammelapass?deenremplitenensemtr?ed'unestLamalvlorseillanhexad?cit.b0Et8ced?tecquelleslqueol?rancesoiencer-tdeleslesconnaissancesus?tprioridi?rensurclassandestvirusaoulivredesdeprogrammestandardslesbfaux-p?ninstes.connpus.tPprogrammeardanscons?quence,instructionsaucuneregistreapprosouplessecnhe,Tqu'ellejout?esoithaqueparha?nessignatureexpoubleurcomptortemendoitetale,qneprogramme,pos?seutstituan?tre08compl?te.80L'approb0c,heconduirond'AL'utilisationdlemanen[2]expressionabplusoutitdeauanr?sultatertainessuivdi?reran4tvdansdeslearecasd?tecter.plushierg?n?recrralsignaturesdescilenmalvfecctionspinformatiques.trouvLasd?tectionSzordesemcertainsarianmalwcetteareleetedeobleursminimisationvetari-vandetes,g?n?ral,estd'iunsprobl?nanmeclasserunil?s'agirsuitetionscomplet,cc'esttoutes?diandirealeursoit?cique).nonpluscalculable,prosoitlasemi-jokercalculable.troIlos'agitconditiondeuncedoncfaitd?nitd'undeprobl?merespplusguredicileunequeenceluitdenl'jokarr?tolonned'unlesprogramme,bleurquiinestl'analysed?j?duind?cidable.ctetsLecoprobl?mecodelelacd?tection,57quellecquec3soit57l'approcce8hepr?senth?oriquecr?alis?e?estdudonc,jokformellemen?tret,ttr?splacedicommeciletetsouplesse.souvptions.enltrnonimm?diatescalculable.virus,Lesautorisenahierpenprodecesthaeecssignaturespratiquesdi?rennemalwpconneuv?enScannertcdoncrevienpas??trehercparfaites,em?melessitesdeaunomdubreuseshier,vtoiescd'am?liorationcommeseroneillantlorsqu'une?tudi?es.or3.2sApproondancec?t?he?e.parnexpressionssonrationnelles[5],Une?tablitsen-iblegnaturveteest?simplsignatureemendanstbutuneattsuiteindred'assertionsdeuxsurjeclesdeodesctetsositifsconstitu-laandetarianleUtilisationcojokdeEn?seulesanalyser.euLensproncessussonded?termi-cr?ationtesdesoursignaturesunn?cessite;unepbaussionned'uneconnaissanced'instruc-dudiss?min?escoledehieranalys?exemple(binairelesoumocotdevind'unterpr?t?)spetAndejoutercedefaitauacessusrecoursd?tection,?notiodesdeaaninaduite.lysouttectetslahaumains.parAjokpartiretd'uncprogrammesignatureconnunublecommecmalvlaeillanectant,Lal'analyste1tenosetpartieeprogrammed'eassemxdontrailarcoetienladespluser.pcetitedesuindiqueiinstructionsteassemd'tellesou'ctetsterpr?t?escaract?risandetducecelleprogrammemilieueto?v(d?compenentuellemendetmal)sesnvtarianctes.LesCetteha?nessignature8ddoitae?tre14su-disammene8tcommediscriminan8dt43edbandde0nec3passiclassertes?unthier,otrlattionunvirus.cdehierersaineutcommeg?n?ralis?emalvutilisaneillan?t.aUneunetecrationnellehniquesignature,simpleermettanconsisteencore?deprendreTuned'excesuiteAnd'od?tecterctetsescons?-acutifsidtesadentainssclesignaturescthier.cUne?bl?g?rematslaesignatures
dumas-00636817, version 1 - 28 Oct 2011faiteFiguredans1derevienExuscatraiEntcodeermet.programmecetdessal'original.signaturedu90men:desb0d'ex?cution.3fL'analysemol'utilisa-vface$0x3f,%alde92le:plus41tincdu%ecxutile.93suppl?men:pcdun80R?organisationindutde$0x80c95t:200489faitefbsonmohniquesvL'obfuscati%edi,%ebsxco97di?ren:qu'il8dan4fen08duleable0x8(%edi),%ecx?tre9ade:in8d?57dier1ainitial.lea?tre0x1a(%edi),%edxniv9dseule:sb0.0bdiermomovl'a$0xbt,l'a%alpar9fpro:ducd[6]80ninmassivtcette$0x80ainsia1de:dese8d'c3ideons?callsur69an<psusammeneedur0+p0x69>ea6par:reconnaissan2ftransformationsdascepa7ecter:ini-62l'69sortie6eoriginalbdansoundobfusqu?.%ebp,de0xconsiste6esimplemen(%ecx)caades:sans2fcompdasduaba:en73dans68dejaecomme115me<psyneer0+0x35>aSignaturehangean:co08op8d?57ph**deb0son**assemcdd'instruc-80ae8lec35signaturepprod?nie.heUnsignaturenomdebreduidesdi?rencescommerceedansstend?ni.moPtreartionexemeple,de?appropartirhedequelamanquesignaturerobustesse??6tecosimplesctetsobf07t3don.condc