Wındows sistem işlemleri üzerinde bellek analizi ile zararlı yazılım tespiti
Malware detection with memory analysis on windows system processes
- Tez No: 712099
- Danışmanlar: DR. ÖĞR. ÜYESİ ÖZGÜR CAN TURNA
- Tez Türü: Yüksek Lisans
- Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
- Anahtar Kelimeler: Belirtilmemiş.
- Yıl: 2022
- Dil: Türkçe
- Üniversite: İstanbul Üniversitesi-Cerrahpaşa
- Enstitü: Lisansüstü Eğitim Enstitüsü
- Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
- Bilim Dalı: Bilgisayar Mühendisliği Bilim Dalı
- Sayfa Sayısı: 65
Özet
Bellek analizi; adli bilişim, zararlı yazılım ve izinsiz giriş gibi incelemelerin tamamlayıcı bir araştırma yöntemidir ve sistemdeki uçucu bellek üzerinde gerçekleştirilir. Sistem hakkında diğer analizlerden elde edilemeyen eşsiz bilgilere erişilmesini sağlar ve vakaların çözümünde kritik rol oynar. Bellek analizinin zararlı yazılım analizindeki önemi ise zararlı yazılımların kendisine verilen görevi yerine getirebilmek için çalışmak zorunda olmasıdır. Çünkü çalışan her komut bellek üzerinde bulunmak zorundadır. Zararlı yazılımlar her geçen gün saldırı tekniklerini geliştirmekte ve bazen uzun bir süre sonra tespit edilebilmektedir. Bu durum zararlı yazılımların verdiği hasarı artırmaktadır. Saldırı tekniklerini tespit etmek ise bazen samanlıkta iğne aramaya dönebilir. Bu yüzden bu araştırma zararlı yazılım tespitine bu tekniklerin karşıt açısından bakmayı, yani; sistemi daha iyi tanımayı, çalışan işlemleri ve gerçekleşen etkinlikleri daha iyi anlamayı, sistem hakkında farkındalık oluşturmayı amaçlamıştır. Literatüre daha fazla katkı sağlamak amacıyla günümüzde en çok kullanılan işletim sistemi olan Windows 10 üzerinde yapılan araştırma; Idle, System, Registry, Memory Compression, Smss, Csrss, Wininit, Services, Svchost, Lsass, Winlogon, Logonui, Userinit ve Explorer olmak üzere 14 adet sistem işleminin normallerini belirlemeye ve zararlı yazılım analizinde normalden sapmaların nasıl tespit edilebileceğini göstermeye çalışmıştır. Araştırmada Sorebrect fidye zararlı yazılımı ve XMRig kripto para madenciliği zararlı yazılımı günümüzün en gelişmiş bellek analizi aracı olan Volatility Framework ile incelenmiştir.
Özet (Çeviri)
Memory analysis is a complementary investigation method of investigations such as digital forensics, malware and intrusion and is carried out on volatile memory in the system. It provides access to unique information about the system that cannot be obtained from other analysis methods and plays a critical role in resolving cases. The importance of memory analysis in malware analysis is that malware has to run in order to fulfill its assigned task. Because every running command has to be on memory. Malware develops attack techniques every day and can sometimes be detected after a long time. This increases the damage done by malicious software. Detecting attack techniques can sometimes turn into looking for a needle in a haystack. Therefore, this research aims to look at malware detection from the opposite perspective of these techniques, namely; It aimed to get to know the system better, to better understand the running processes and events, and to raise awareness about the system. The research was carried out on Windows 10, which is the most used operating system today, in order to contribute more to the literature; Idle tried to identify the normals of 14 system processes namely System, Registry, Memory Compression, Smss, Csrss, Wininit, Services, Svchost, Lsass, Winlogon, Logonui, Userinit, and Explorer showed how deviations from normal can be detected in malware analysis. In the research, Sorebrect ransomware and XMRig cryptocurrency mining malware were analyzed with Volatility Framework, the most advanced memory analysis tool available today.
Benzer Tezler
- Detection of common IoT authentication attacks and design of a lightweight authentication and key management protocol
Nesnelerin internetinde yaygın asıllama saldırılarının belirlenmesi ve hafifsıklet asıllama ve anahtar yönetimi protokolünün tasarımı
IŞIL ÇETİNTAV
Doktora
İngilizce
2023
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik ÜniversitesiBilgisayar Mühendisliği Ana Bilim Dalı
DR. ÖĞR. ÜYESİ MEHMET TAHİR SANDIKKAYA
- A Database application on inter user communication vehicle (IUCV) in VM/SP environment for IBM 4381
Başlık çevirisi yok
FARUK KOCABIYIK
Yüksek Lisans
İngilizce
1991
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik ÜniversitesiY.DOÇ.DR. NADİA ERDOĞAN
- A Parallel computer hardware and software architecture for digital signal processing
Başlık çevirisi yok
HALUK GÜMÜŞKAYA
Doktora
İngilizce
1995
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik ÜniversitesiDOÇ.DR. BÜLENT ÖRENCİK
- SIP phone application on single board computer with arm microprocessor
Arm mikroişlemcili bir mini bilgisayarda SIP telefon uygulaması
TUNCAY ALTUN
Yüksek Lisans
İngilizce
2010
Elektrik ve Elektronik MühendisliğiÇukurova ÜniversitesiElektrik-Elektronik Mühendisliği Ana Bilim Dalı
YRD. DOÇ. DR. MURAT AKSOY
- Juvenil Myoklonik Epilepsili hastalarda MR Spektroskopi ve kognitif fonksiyonların değerlendirilmesi
Evaluation of MR Spectroscopy and cognitive functions in Juvenile Myoclonic Epilepsy Patients
NESRİN ÇEVİK