Geri Dön

Wındows sistem işlemleri üzerinde bellek analizi ile zararlı yazılım tespiti

Malware detection with memory analysis on windows system processes

  1. Tez No: 712099
  2. Yazar: MUSTAFA ÇETİNKAYA
  3. Danışmanlar: DR. ÖĞR. ÜYESİ ÖZGÜR CAN TURNA
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2022
  8. Dil: Türkçe
  9. Üniversite: İstanbul Üniversitesi-Cerrahpaşa
  10. Enstitü: Lisansüstü Eğitim Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Bilgisayar Mühendisliği Bilim Dalı
  13. Sayfa Sayısı: 65

Özet

Bellek analizi; adli bilişim, zararlı yazılım ve izinsiz giriş gibi incelemelerin tamamlayıcı bir araştırma yöntemidir ve sistemdeki uçucu bellek üzerinde gerçekleştirilir. Sistem hakkında diğer analizlerden elde edilemeyen eşsiz bilgilere erişilmesini sağlar ve vakaların çözümünde kritik rol oynar. Bellek analizinin zararlı yazılım analizindeki önemi ise zararlı yazılımların kendisine verilen görevi yerine getirebilmek için çalışmak zorunda olmasıdır. Çünkü çalışan her komut bellek üzerinde bulunmak zorundadır. Zararlı yazılımlar her geçen gün saldırı tekniklerini geliştirmekte ve bazen uzun bir süre sonra tespit edilebilmektedir. Bu durum zararlı yazılımların verdiği hasarı artırmaktadır. Saldırı tekniklerini tespit etmek ise bazen samanlıkta iğne aramaya dönebilir. Bu yüzden bu araştırma zararlı yazılım tespitine bu tekniklerin karşıt açısından bakmayı, yani; sistemi daha iyi tanımayı, çalışan işlemleri ve gerçekleşen etkinlikleri daha iyi anlamayı, sistem hakkında farkındalık oluşturmayı amaçlamıştır. Literatüre daha fazla katkı sağlamak amacıyla günümüzde en çok kullanılan işletim sistemi olan Windows 10 üzerinde yapılan araştırma; Idle, System, Registry, Memory Compression, Smss, Csrss, Wininit, Services, Svchost, Lsass, Winlogon, Logonui, Userinit ve Explorer olmak üzere 14 adet sistem işleminin normallerini belirlemeye ve zararlı yazılım analizinde normalden sapmaların nasıl tespit edilebileceğini göstermeye çalışmıştır. Araştırmada Sorebrect fidye zararlı yazılımı ve XMRig kripto para madenciliği zararlı yazılımı günümüzün en gelişmiş bellek analizi aracı olan Volatility Framework ile incelenmiştir.

Özet (Çeviri)

Memory analysis is a complementary investigation method of investigations such as digital forensics, malware and intrusion and is carried out on volatile memory in the system. It provides access to unique information about the system that cannot be obtained from other analysis methods and plays a critical role in resolving cases. The importance of memory analysis in malware analysis is that malware has to run in order to fulfill its assigned task. Because every running command has to be on memory. Malware develops attack techniques every day and can sometimes be detected after a long time. This increases the damage done by malicious software. Detecting attack techniques can sometimes turn into looking for a needle in a haystack. Therefore, this research aims to look at malware detection from the opposite perspective of these techniques, namely; It aimed to get to know the system better, to better understand the running processes and events, and to raise awareness about the system. The research was carried out on Windows 10, which is the most used operating system today, in order to contribute more to the literature; Idle tried to identify the normals of 14 system processes namely System, Registry, Memory Compression, Smss, Csrss, Wininit, Services, Svchost, Lsass, Winlogon, Logonui, Userinit, and Explorer showed how deviations from normal can be detected in malware analysis. In the research, Sorebrect ransomware and XMRig cryptocurrency mining malware were analyzed with Volatility Framework, the most advanced memory analysis tool available today.

Benzer Tezler

  1. Detection of common IoT authentication attacks and design of a lightweight authentication and key management protocol

    Nesnelerin internetinde yaygın asıllama saldırılarının belirlenmesi ve hafifsıklet asıllama ve anahtar yönetimi protokolünün tasarımı

    IŞIL ÇETİNTAV

    Doktora

    İngilizce

    İngilizce

    2023

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ MEHMET TAHİR SANDIKKAYA

  2. SIP phone application on single board computer with arm microprocessor

    Arm mikroişlemcili bir mini bilgisayarda SIP telefon uygulaması

    TUNCAY ALTUN

    Yüksek Lisans

    İngilizce

    İngilizce

    2010

    Elektrik ve Elektronik MühendisliğiÇukurova Üniversitesi

    Elektrik-Elektronik Mühendisliği Ana Bilim Dalı

    YRD. DOÇ. DR. MURAT AKSOY

  3. Juvenil Myoklonik Epilepsili hastalarda MR Spektroskopi ve kognitif fonksiyonların değerlendirilmesi

    Evaluation of MR Spectroscopy and cognitive functions in Juvenile Myoclonic Epilepsy Patients

    NESRİN ÇEVİK

    Tıpta Uzmanlık

    Türkçe

    Türkçe

    2011

    NörolojiSağlık Bakanlığı

    Nöroloji Ana Bilim Dalı

    DR. AYTEN DİRİCAN