Ταξινόμηση λογισμικού packing: Συνδυάζοντας στατικά και δυναμικά χαρακτηριστικά για βέλτιστο αποτέλεσμα

Ευαγγέλου, Σπυρίδων Μιχαήλ

National Technical University of Athens

School of Electrical and Computer Engineering

Artemis is Live!

Welcome to our digital repository! The aim of Artemis is the systematic archiving and dissemination of the scientific work produced in the School of Electrical and Computer Engineering, National Technical University of Athens, Greece, using the technology of digital libraries.

Please use this identifier to cite or link to this item: http://artemis.cslab.ece.ntua.gr:8080/jspui/handle/123456789/19559

Title:	Ταξινόμηση λογισμικού packing: Συνδυάζοντας στατικά και δυναμικά χαρακτηριστικά για βέλτιστο αποτέλεσμα
Authors:	Ευαγγέλου, Σπυρίδων Μιχαήλ Αναγνώστου Μιλτιάδης
Keywords:	Packing Malware Classification Reverse Engineering Hooking
Issue Date:	14-Mar-2025
Abstract:	Το λογισμικό packing στη σύγχρονη εποχή χρησιμοποιείται ευρέως τόσο σε κακόβουλο όσο και σε ασφαλές λογισμικό. Έρευνα που διεξήχθη από τη McAfee το 2017 έδειξε ότι περίπου το 80% του κακόβουλου λογισμικού που εντοπίζεται στο διαδίκτυο χρησιμοποιεί τεχνικές συμπίεσης και packing. Η χρήση packing είναι επίσης δημοφιλής και σε εταιρείες που επιθυμούν την προστασία της πνευματικής τους ιδιοκτησίας. Η συνεισφορά μου στη μελέτη των packers είναι η πρόταση ενός νέου ταξινομητή, ανθεκτικού σε στατικές τροποποιήσεις και μεθόδους προστασίας του εκτελέσιμου, που παράγει δυναμικές υπογραφές μέσα από την καταμέτρηση του αριθμού και του είδους των κλήσεων σε συναρτήσεις του Windows API που πραγματοποιούνται από το packed πρόγραμμα. Στα πλαίσια της παρούσας διπλωματικής, αναπτύχθηκαν δύο επιπλέον μοντέλα στατικής ανάλυσης και ανάλυσης ομοιότητας που μπορούν να συνδυαστούν με τον δυναμικό ταξινομητή για βέλτιστα αποτελέσματα. Για αυτόν το σκοπό, αναπτύχθηκε μια αυτοματοποιημένη διαδικασία συλλογής στατικών και δυναμικών χαρακτηριστικών από περισσότερα από 3000 διαφορετικά packed και μη Windows PE εκτελέσιμα. Χρησιμοποιώντας σύγχρονους αλγόριθμους μηχανικής μάθησης, π.χ. Random Forests, Perceptrons, K-Neighbors Classifiers, XGBoost Classifiers, Gradient Boosting Classifiers και Support Vector Machines κατάφερα να ταξινομήσω τους packers με 99% επιτυχία στη μετρική Accuracy και 99% στη μετρική Macro Average F1 Score για το στατικό μοντέλο και 97% Accuracy και 89% Macro Average F1 Score για το δυναμικό μοντέλο. Με αυτόν τον τρόπο, αποδεικνύω ότι είναι δυνατό να πραγματοποιηθεί ταξινόμηση με χρήση δυναμικών χαρακτηριστικών, η οποία στη συγκεκριμένη περίπτωση είναι πιο ανθεκτική σε τροποποιήσεις του εκτελέσιμου από ό,τι η στατική ταξινόμηση, γεγονός που συχνά δε μελετάται στη σχετική βιβλιογραφία. Το μοντέλο ομοιότητας που αναπτύχθηκε, χρησιμοποιεί την ομοιότητα στα TLSH, SSDEEP και ImpHash μεταξύ των εκτελέσιμων για τον εντοπισμό του packer που χρησιμοποιήθηκε. Το μοντέλο εντοπίζει σωστά τον packer στο 43% το περιπτώσεων, χωρίς να κάνει κάποιο λάθος για όσους packers εντοπίζει. Το γεγονός αυτό το καθιστά ιδανικό για συνδυασμό με τα άλλα δύο μοντέλα δυναμικής και στατικής ανάλυσης.
URI:	http://artemis.cslab.ece.ntua.gr:8080/jspui/handle/123456789/19559
Appears in Collections:	Διπλωματικές Εργασίες - Theses

Files in This Item:

File	Description	Size	Format
Διπλωματική Εργασία - Σπυρίδων Μιχαήλ Ευαγγέλου 03118026-2.pdf		2.3 MB	Adobe PDF	View/Open

Show full item record