شناسايي بدافزارهاي فراريخت با تركيب تحليل ايستا و پويا

بدافزارنويسان از فنون متعددي استفاده مي كنند تا روش كشف نرم افزارهاي ضد بدافزار را خنثي كنند. يكي از اين روش هاي مؤثر، فراريخت كردن بدافزار با فنون مبهم سازي است. فراريختي ساختار كد را آن چنان تغيير مي دهد كه ضمن حفظ رفتار بدافزار، ساختار و الگوي كد آن عوض شود. پژوهش گران به تازگي روشي براي كشف بدافزارهاي فراريخت پيشنهاد كرده اند كه بر اساس تحليل ايستاي كد بدافزار كار مي كند. مسئله اينجاست كه كاربست بعضي از فنون مبهم سازي، اثربخشي تحليل هاي ايستا را در كشف بدافزار فرايخت كم مي كند. براي غلبه بر اين مشكل، مقاله حاضر علاوه بر تحليل ايستا، تحليل پويايي نيز روي بدافزار انجام مي دهد. روش جديد، اطلاعاتي از تحليل ايستا و تحليل پويا استخراج و سپس اين دو گونه اطلاع را با هم تركيب مي كند و حاصل براي آموزش يك دسته بند مورد استفاده قرار مي گيرد. دسته بند حاصل براي شناسايي نمونه فراريخت شده جديدي از يك خانواده بدافزار مورد استفاده قرار مي گيرد. در حقيقت، تركيب اطلاعات حاصل از تحليل ايستا و پويا سعي مي كند بر نقاط ضعف هر كدام غلبه كند و در مجموع اثربخشي بهتري داشته باشد. به منظور ارزيابي روش پيشنهادي، آزمايش هايي بر روي 450 فايل متشكل از فايل هاي سالم و پنج خانواده بدافزار فراريخت از ويروس ها و كرم هايG2, MPCGEN, MWOR, NGVCK, VLC انجام شده است. آزمايش ها در سه حالت انجام شده اند: تحليل ايستا، تحليل پويا و تركيب آن دو. نتايج مقايسه نشان مي دهد كه شناسايي بر پايه فقط تحليل ايستا يا پويا اغلب با دقت صددرصد انجام نمي شود. با اين حال، كشف بدافزار فراريخت با تركيب اطلاعات حاصل از تحليل ايستا و پويا به طور سازگار توانسته به دقت كشف صددرصدي دست پيدا كند كه با معيار ROC اندازه گيري شده است.