Детальная информация

Целью работы является автоматизация деобфускации вредоносного программного обеспечения. Объектом исследования являются процессы анализа и трансформации программного обеспечения, направленные на повышение его интерпретируемости, в том числе в условиях применения методов обфускации. Задачи, решаемые в ходе исследования: 1. Исследовать подходы к обфускации вредоносного программного обеспечения. 2. Проанализировать подходы и инструменты деобфускации программного кода. 3. Разработать метод автоматизации процесса деобфускации программного обеспечения на основе промежуточного представления LLVM. 4. Разработать программный прототип, реализующий предложенный метод, и оценить эффективность его работы. В ходе работы были исследованы методы обфускации вредоносного программного обеспечения. Были проанализированы современные исследования в области деобфускации программного обеспечения. На основе анализа предложен и реализован итеративный конвейер деобфускации, ориентированный на восстановление исполняемой семантики и редукцию артефактов защиты на промежуточном представлении LLVM. В результате работы было разработано ПО автоматизирующее деобфускацию программного обеспечения. Данное решения протестировано и используется в отечественной компании «Бастион».

The purpose of the work is to automate the deobfuscation of malicious software. The object of the study is the processes of analysis and transformation of software aimed at increasing its interpretability, including in the context of using obfuscation methods. Tasks to be solved during the research: 1. To investigate approaches to obfuscation of malicious software. 2. Analyze approaches and tools for deobfuscation of program code. 3. To develop a method for automating the software deobfuscation process based on the LLVM intermediate representation. 4. Develop a software prototype implementing the proposed method and evaluate the effectiveness of its work. In the course of the work, methods of obfuscation of malicious software were investigated. Modern research in the field of software deobfuscation was analyzed. Based on the analysis, an iterative deobfuscation pipeline is proposed and implemented, focused on restoring executable semantics and reducing protection artifacts on the LLVM intermediate representation. As a result of the work, software has been developed that automates software deobfuscation. This solution has been tested and is used in the domestic company «Бастион».