استخراج ساختار پيام هاي ارسالي توسط برنامه هاي كاربردي شبكه

ويژگيهاي پروتكلهاي لايه كاربرد، در كاربردهاي امنيتي بسياري مورد نياز است. با اين وجود بسياري از برنامههاي كاربردي شبكه، از پروتكلهاي بستهاي استفاده ميكنند كه ويژگيهاي آنها براي عموم موجود نيست. مهندسي معكوس اين برنامهها ميتواند اطلاعات مورد نياز براي فهم پروتكلهاي ناشناخته مورد استفاده آنها را فراهم كند. دسترسي به اين اطلاعات بسياري از وظايف مانند بازنويسي پيامهاي كنترل و فرماندهي شبكههاي بات را تسهيل مينمايد. با وجود اين كه تحقيقات گستردهاي در اين زمينه انجام شده است، بيشتر اين تحقيقات بر اساس مشاهده پيامهاي مبادله شده در شبكه ساختار آنها را استخراج مينمايند و قابليت شناسايي پيامهايي كه در مشاهدات صورت گرفته شده ظاهر نشوند را ندارند. در اين مقاله، روشي جديد براي استخراج ساختار پيامهاي ارسالي توسط برنامه هاي كاربردي شبكه از طريق مهندسي معكوس كد باينري آنها بدون نياز به مشاهده ترافيك پروتكل ارائه شده است. براي اين منظور، الگوريتمي براي ردگيري عقب گرد و بازگشتي ارجاعات به ميانگير خروجي جهت استخراج ساختارهاي داده مورد استفاده در تعيين مقدار ميانگير خروجي ارائه شده است. براي ارزيابي روش پيشنهادي، كد پيادهساز پروتكل شناخته شده TFTP و پروتكل ناشناخته بات فعال ZeroAccess3 تحليل شدند. نتايج آزمايشها نشان ميدهد كه روش پيشنهادي ساختار همه پيامهاي ارسالي را به درستي شناسايي مينمايد.