Дослідження методів аналізу та можливостей існуючого інструментарію для моніторингу зловмисного програмного забезпечення

Abstract

В ході роботи було описано найбільш відомі та активні типи зловмисного програмного забезпечення, також були розкриті найпоширеніші шляхи його розповсюдження. Розглянуто методи виявлення шкідливого програмного забезпечення, що проводяться на базі сигнатур або на базі евристики. Також було визначено, що основними методами аналізу є статичний, динамічний, гібридний та аналіз пам'яті, які мають достатньо інструментів, що допомагають здійснювати аналіз шкідливого програмного забезпечення. Статичний аналіз може проводитися шляхом наступних методів: багаторазове сканування антивірусом, використання file fingerprinting, пошук по рядках, виявлення пакувальників, перевірка інформації у РЕ-заголовку та аналіз дизасемблерного коду. Динамічний аналіз включає такі методи: моніторинг модифікацій файлів, моніторинг змін реєстру, моніторинг мережевої активності та системних викликів, а також відладку. Дослідження інструментів для аналізу зловмисного програмного забезпечення включало аналіз їх можливостей та ефективності для виявлення шкідливих програм. В результаті проведених досліджень були визначені переваги та недоліки кожного методу аналізу, була проведена оцінка ефективності інструментів для моніторингу зловмисного програмного забезпечення, шляхом порівняння їх можливостей та функцій, та надані рекомендації щодо їх використання. Також в роботі висунуті пропозиції щодо розвитку інструментарію для моніторингу зловмисного програмного забезпечення. Ще були надані рекомендації по використанню різних методів статичного та динамічного методів аналізу.

In the course of the work, the most known and active types of malicious software were described, and the most common ways of its distribution were also revealed. Next, methods of detecting malicious software based on signatures or heuristics were considered. It was also determined that the main analysis methods are static, dynamic, hybrid and memory analysis, which have enough tools to help perform malware analysis. Static analysis can be carried out by the following methods: repeated scanning by antivirus, usage of file fingerprinting, search by lines, detection of packers, verification of information in the РE-header and analysis of disassembling. Dynamic analysis includes the following methods: monitoring file modifications, monitoring registry changes, monitoring network activity and system calls, and debugging. A study of malware analysis tools included an analysis of their capabilities and effectiveness in detecting malware. As a result of the conducted research, the advantages and disadvantages of each analysis method were determined, the effectiveness of tools for monitoring malicious software was evaluated by comparing their capabilities and functions, and recommendations for their use were provided. Also, the paper makes suggestions for the development of tools for monitoring malicious software. Recommendations on the use of various static and dynamic analysis methods were also provided.