Development of the method and program model of the static analyzer of harmful files

Abstract

Предметом дослідження в даній статті є методи аналізу шкідливого програмного забезпечення. Мета статті полягає в підвищенні безпеки функціонування комп'ютерних систем (КС) і захисту їх від впливу комп'ютерних вірусів. Завдання: дослідження сучасних засобів антивірусного захисту програмного забезпечення; аналіз методів формування сигнатури файлів; розробка програмної моделі статичного детектування файлів, що базується на аналізі PE-структури; формування таблиць ознак, притаманних родин вірусів типу Worms, Backdor, Trojan; отримання довічних сигнатур шкідливого і безпечного програмного забезпечення. Використовуваними методами є: аналіз коду в Hex-файлі, алгоритми хешування файлів. Отримані наступні результати. Проаналізовано РЕ-структуру файлу, обрані секції для подальшого аналізу. Розроблена програмна модель статичного детектування файлів і виконано аналіз безпечних і шкідливих файлів. Обрані ознаки у вигляді рядків і API функцій, сформована бітова маска для подальшого аналізу файлів. Виконано сканування 3500 файлів шкідливого і безпечного програмного забезпечення, проведено їх аналіз. Сигнатури кожного шкідливого файлу закодовані і збережені в базі сигнатур, За допомогою розробленої програмної моделі виконано дослідження можливості виявлення модифікацій шкідливого програмного забезпечення. Висновок. Розроблено метод і програмну модель статичного детектування шкідливих файлів, що дозволяє отримати набір ознак файлу в автоматичному режимі і зробити висновок про шкідливість файлу.