Désassemblage et détection de logiciels malveillants auto-modifiants - TEL - Thèses en ligne Accéder directement au contenu
Thèse Année : 2015

Disassembly and detection of self-modifying malwares

Désassemblage et détection de logiciels malveillants auto-modifiants

Aurélien Thierry
  • Fonction : Auteur
  • PersonId : 980156
Theoretical adverse computations, and safety

Résumé

This dissertation explores tactics for analysis and disassembly of malwares using some obfuscation techniques such as self-modification and code overlapping. Most malwares found in the wild use self-modification in order to hide their payload from an analyst. We propose an hybrid analysis which uses an execution trace derived from a dynamic analysis. This analysis cuts the self-modifying binary into several non self-modifying parts that we can examine through a static analysis using the trace as a guide. This second analysis circumvents more protection techniques such as code overlapping in order to recover the control flow graph of the studied binary. Moreover we review a morphological malware detector which compares the control flow graph of the studied binary against those of known malwares. We provide a formalization of this graph comparison problem along with efficient algorithms that solve it and a use case in the software similarity field.
Cette thèse porte en premier lieu sur l'analyse et le désassemblage de programmes malveillants utilisant certaines techniques d'obscurcissement telles que l'auto-modification et le chevauchement de code. Les programmes malveillants trouvés dans la pratique utilisent massivement l'auto-modification pour cacher leur code utile à un analyste. Nous proposons une technique d'analyse hybride qui utilise une trace d'exécution déterminée par analyse dynamique. Cette analyse découpe le programme auto-modifiant en plusieurs sous-parties non auto-modifiantes que nous pouvons alors étudier par analyse statique en utilisant la trace comme guide. Cette seconde analyse contourne d'autres techniques de protection comme le chevauchement de code afin de reconstruire le graphe de flot de contrôle du binaire analysé. Nous étudions également un détecteur de programmes malveillants, fonctionnant par analyse morphologique : il compare les graphes de flot de contrôle d'un programme à analyser à ceux de programmes connus comme malveillants. Nous proposons une formalisation de ce problème de comparaison de graphes, des algorithmes permettant de le résoudre efficacement et détaillons des cas concrets d'application à la détection de similarités logicielles.

Domaines

Informatique et langage [cs.CL]
Fichier principal
Vignette du fichier
DDOC_T_2015_0011_THIERRY.pdf (2.23 Mo) Télécharger le fichier

Aurélien Thierry  : Connectez-vous pour contacter le contributeur

https://theses.hal.science/tel-01751411

Soumis le : mercredi 23 mars 2016-14:58:51

Dernière modification le : lundi 11 septembre 2023-17:41:18

Archivage à long terme le : vendredi 24 juin 2016-13:32:36

Télécharger pour visualiser

Dates et versions

tel-01751411 , version 2 (23-03-2016)
tel-01751411 , version 1 (29-03-2018)

Identifiants

  • HAL Id : tel-01751411 , version 2

Citer

Aurélien Thierry. Désassemblage et détection de logiciels malveillants auto-modifiants. Informatique et langage [cs.CL]. Université de Lorraine, 2015. Français. ⟨NNT : 2015LORR0011⟩. ⟨tel-01751411v2⟩

Exporter

BibTeX XML-TEI Dublin Core DC Terms EndNote DataCite

Collections

CNRS INRIA UNIV-LORRAINE INRIA2 LORIA LORIA-FM THESES-UL
387 Consultations
1638 Téléchargements

Partager

Gmail Facebook X LinkedIn More