O’zbekiston Respublikasi Axborot Texnalogiyalari va kommunikatsiyalarini Rivojlantirish Vazirligi Muhammad al-Xorazmiy nomidagi Toshkent Axborot texnalogiyalari universiteti

Download 360,6 Kb. bet 9/9 Sana 07.07.2022 Hajmi 360,6 Kb. #754667

Bog'liq
Mirzakulov S

Bu sahifa navigatsiya:

• Мураккаб динамик таҳлиллар.

Кўрсаткичлар
Изоҳ
jz loc	ZF = 1 бўлганда белгиланган соҳага сакраш
jnz loc	ZF = 0 бўлганда белгиланган соҳага сакраш
je loc	Jz билан бир хил фақат кўп ҳолларда cmp кўрсаткичидан кейин
	ишлатилади. Масофадаги операнд жорий операндга тенг бўлса сакраш
	ҳосил бўлади.
jne loc	Jz билан бир хил фақат кўп ҳолларда cmp кўрсаткичидан кейин
	ишлатилади. Масофадаги операнд жорий операндга тенг бўлмаган
	ҳолда сакраш ҳосил бўлади.
jg loc	Масофадаги операнд жорий операндан катта бўлган ҳолда cmp
	кўрсаткичидан кейин фойдаланилади.
jge loc	Масофадаги операнд жорий операндан катта ѐки тенг бўлган ҳолда
	cmp кўрсаткичидан кейин фойдаланилади.
ja loc	Jg билан бир хил фақат unsigned таққослашларда фойдаланилади.
jae loc	Jge билан бир хил фақат unsigned таққослашларда фойдаланилади.
jl loc	Масофадаги операнд жорий операндан кичик бўлган ҳолда cmp
	кўрсаткичидан кейин фойдаланилади.
jle loc	Масофадаги операнд жорий операндан кичик ѐки тенг бўлган ҳолда
	cmp кўрсаткичидан кейин фойдаланилади.
jb loc	Jl билан бир хил фақат unsigned таққослашларда фойдаланилади.
jbe loc	Jle билан бир хил фақат unsigned таққослашларда фойдаланилади.
jo loc	OF = 1 бўлса олдинги кўрсатмага ўтилади.
js loc	SF = 1 бўлса амалга оширилади.
jecxz loc	ECX = 0 бўлса белгиланган соҳага сакрайди.

107
III. НАЗАРИЙ МАТЕРИАЛЛАР
Динамик таҳлиллаш. Зараркунанда дастурий воситаларнининг содда динамик таҳлили одатда содда статик таҳлил иш бермаган ҳолда фойдаланилиб, таҳлил зараркунанда дастурий восита бевосита юклангандан сўнг амалга оширилади. Бу усул орқали ЗДларнинг вазифалари тўлиқ аниқланади. Қуйида содда динамик таҳлиллаш технологиялари билан танишиб чиқилади.


Sandboxes. Ушбу дастурий воситалар содда динамик таҳлиллаш кенг фойдаланилиб, у ҳост ОТ билан ҳимояланган соҳани ҳосил қилади ва ЗД ушбу соҳада юклайди. Бу турдаги воситаларга Norman SandBox, GFI

Sandbox, Anubis, Joe Sandbox, ThreatExpert, BitBlaze, ва Comodo Instant

Malware Analysis (open source) ларни олиш мумкин. Амалда Norman SandBox

ва GFI Sandboxлардан кенг фойдаланилади.¹

Изоҳ. Амалда кенг фойдаланилаѐтган sandboxes дастурлар пуллик саналади. Умумий ҳолда барча sandboxes дастурий воситалари бир хил ишлаш алгоритмига эга. Яъни, ЗД ҳимояланган соҳада юкланади ва ОТ белгиланган соҳаларидаги ўзгаришларга асосан таҳлил натижалари шакллантирилади. Қуйида GFI Sandboxда олинган PDF туридаги таҳлил натижаси келтирилган.

5.14-расм. GFI Sandboxнинг win32XYZ.exe ЗД учун содда таҳлил натижаси

5.14-расмда кўрсатилганидек, GFI Sandboxнинг таҳлилари олтита бўлимга кўра олинган:

0. 
   Analysis Summary бўлими. Бу бўлида ЗД статик таҳлил натижаси ва
   

0. 
   Michael Sikorski, Andrew Honig. Practical malware analysis. 40 – с.
   

108
III. НАЗАРИЙ МАТЕРИАЛЛАР

динамик таҳлил натижаларининг юқори даражали маълумотлари келтирилади;

0. 
   File Activity бўлими. Бу бўлимда ЗД томонидан ўчирилган, очилган, яратилган ва фойдаланилган барча файллар рўйхати келтирилади;
   

0. 
   Created Mutexes бўлими. Бу бўлимда ЗД томонидан яратилган ресурслар рўйхати келтирилади;
   

0. 
   Registry Activity бўлими. Бу бўлимда регисторда мавжуд бўлган ўзгаришлар келтирилади;
   

0. 
   Network Activity бўлими. Бу бўлимда ЗД томонидан тармоқдан фойдаланиш даражаси ва ҳолати келтирилади;
   

0. 
   VirusTotal Results бўлими. Бу бўлимда ЗД VirusTotal орқали сканерлаш натижаси келтирилади.
   

Sandbox камчиликлари. Кўплаб Sandbox дастурий воситалари бин нечта катта камчиликларга эга. Масалан, Sandboxларда ЗД фақат юклаш орқали таҳлилланади (буйруқлар сатрида буни амалга ошириш имокнияти мавжуд эмас). Агар ЗД буйруқлар сатридан юкланишни сўраса бу ҳолда Sandbox дастурлар бу ЗД юклай олмайди.

Бундан ташқари қуйидаги камчиликлар кузатилади:

– ЗД тез-тез вертуал машина юкланганини аниқлайди ва бу ҳолда ЗД юкланишдан ўзини тўхтатиши ѐки ўзини бошқача тутиши мумкин. Бу барча Sandboxлар учун мос эмас;

– баъзи ЗД юкланишда ОТ махсус файл ва регистор маълумотларини талаб этади. Бу маълумотлар ўз навбатида Sandboxда мавжуд бўлмайди;

– агар ЗДлар dll файл кенгайтмасида бўлса, улар юкланувчи ЗДлар (.exe кенгайтмали) дек тўлиқ Sandboxга юкланмайди;

– Sandbox муҳити ЗД учун мос бўлмаслиги мумкин. Масалан, Windows XP га мос бўлган ЗД, Windows 7 учун мос бўлмаслиги мумкин;

– Sandboxлар ЗД ларни вазифасини аниқласада, аслида нима қилаѐтганинини айтмайди.

ЗД юклаш (running malware). Содда динамик таҳлиллаш технологиялари ЗД юкланмаган ҳолда уларни таҳлиллай олишмайди. ЗДларнинг аксарияти .exe ва .dll файл кенгайтмаларида бўлишларини ҳисобга олиб, қуйида бу икки турдаги файлларни юклаш усулларини қараб чиқилади.


.exe кенгайтмали файл юкланишга осон бўлиб, одатда сичқонча тугмачасини икки марта босиш орқали ѐки буйруқлар сатридан фойдаланган ҳолда юкланади.


.dll кенгайтмали файллар нисбатан хийлакор бўлиб, windows OT буни қандақҳй қилиб автоматик юклашни билмайди.


109
III. НАЗАРИЙ МАТЕРИАЛЛАР

Барча турдаги замонавий Windows OTлари rundll32.exe файлига эга бўлиб, бу файл ўзида DLL ларни юклаш имкониятини сақлайди. Ушбу файл орқали ЗД юклаш тартиби қуйидагича:

C:\>rundll32.exe DLLname, Export arguments

Бу ерда Export қиймати олинган DLL файл ичидан експорт қилиниши керак бўлган функция номи. Статик таҳлиллаш усулида фойдаланилган дастурий воситалар PEview ѐки PE Explorer орқали DLL файл ичидаги функция номи аниқланади. Масалан, rip.dll деб номланувчи файл ўзида Install ва Uninstall деб номланувчи функцияларни олади. Бу ҳолда юқоридаги тартиб қуйидагича бўлиши мумкин:

C:\>rundll32.exe rip.dll, Install

Баъзи ҳолларда DLL шаклидаги ЗДлар хизмат каби ўрнатилишни талаб этади.

C:\>rundll32 ipr32x.dll,InstallService ServiceName C:\>net start ServiceName

Бу ердаги ServiceName DLL файл таркибидан олинади. net start буйруғи эса хизматни Windows OT амалга ошириш учун керак бўлади.

Мураккаб динамик таҳлиллар. Debugger бирор дастурни тестлаш ѐки юклаш учун фойдаланилган қурилма ѐки дастурий таъминот. Debugger ѐзилган дастурий кодда хатолик мавжуд бўлганда ва хатоликни айнан қайерда эканлигини аниқлаш учун фойдаланилади. Debugger дастурий кодни юклагандан сўнг, уни қадамба-қадам таҳлилаш имконини беради. ¹


Код сатҳи ва ассемблер сатҳида Debuggerлаш. Кўплаб дастурчилар дастурий воситаларини код сатҳида debugging қилиш орқали таҳлил этадилар. Бунда дастур қайси кодда ѐзилган бўлса, debugging ҳам шу дастурлаш тили коди доирасида амалга оширилади.

Ассемблер сатҳида debuggerлаш қуйи сатҳда debuggerлаш деб ҳам аталиб, код сатҳидаги каби кетма-кетликларни амалга ошириш имкониятига эга бўлинади. Бунда компиляция қилинган файлларни debuggerлаш амалга оширилади.

Ўзак сатҳи ва фойдаланувчи сатҳи debuggerлари. Фойдаланувчи сатҳида debuggerлаш код сатҳида debuggerлаш каби амалга оширилади. Бу сатҳда debuggerланганда дастур ОТ ажратилган ҳолда амалга оширилади (маълум чекланишлар билан).

Ўзак сатҳида debuggerланганда дастур ҳеч қандай чекланишсиз юкланади. Бунда дастурда breakpoint қўйилса, бошқа ҳеч қандан дастур юкланмайди. Шунинг учун ўзак сатҳида debuggerлаш бирмунча мураккаб.

0. 
   Michael Sikorski, Andrew Honig. Practical malware analysis. 168 – с.
   

110
Debuggerлаш учун кўплаб дастурий воситалар фойдаланилиб, улар фойдаланувчи ѐки ўзак сатҳида юклашни қўллаб-қувватлайди. WinDbg дастурий ҳар иккала сатҳни қўллаб қувватласа, OllyDbg эса фақат фойдаланувчи сатҳини қўллаб-қувватлайди. IDA Pro дастури ҳам бу debuggerлаш имкониятини қўллаб қувватласада, имкониятлари юқоридаги икки дастурдаги каби эмас.


Бир қадамли debuggerлаш. Бу усулда debug қилинганда ҳар бир қатор учун тўхталиб ўтилади. Бу усулда таҳлиллаш яхши натижа берсада, жуда кўп вақт олади.


Батафсил ва сакраб ўтишли debuggerлаш. Бу усулда кўра фойдаланувчи талабига кўра функция ичидаги қаторлар таҳлилланади ѐки функциядан кейинги жойлашган қаторга ўтилади.

Download 360,6 Kb.

Do'stlaringiz bilan baham: