Takaisinmallintamistyökalujen vertailu haittaohjelma-analyysiin
San Miguel, Alexander (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024111928824
https://urn.fi/URN:NBN:fi:amk-2024111928824
Tiivistelmä
Tämän opinnäytetyön tavoitteena oli tarkastella kahta koodin IDA Freen ja Ghidran avulla ja tutkia niiden käytettävyyttä haittaohjelmien analysoinnissa toisiinsa verrattuna. Arviointi perustui aitoon haittaohjelmanäytetteeseen, joka analysoitiin molempia ohjelmia käyttäen.
Haittaohjelmanäytteen analysointia varten käytettiin virtuaalikonetta. Vieraskäyttöjärjestelmänä käytettiin REMnuxia, jota käytetään yleisesti kyberturvallisuusalalla ohjelmien takaisinmallintamiseen. Virtuaaliympäristö on ihanteellinen haittaohjelmien analysointiin, eristyksen ja ympäristön hallinnan takia.
Prosessiin sisältyi haittaohjelmanäyteen lataaminen sekä IDA Freehen että Ghidraan, minkä jälkeen jatkettiin staattista analysointia käyttämällä ohjelmien sisäänrakennettua automatisoitua työkalua, manuaalista analyysiä, sekä takaisinmallintamistekniikoita haittaohjelmanäytteen käyttämien ominaisuuksien ja salauksen tutkimiseen.
Tutkimus osoitti, sekä IDA:n että Ghidran olevan hyödyllisiä työkaluja ja vaikka IDA on paremmin vakiintunut työkalusarja, Ghidra on nykyaikaisempi, avoimempi ja monin tavoin aloittelijaystävällisempi ohjelmisto haittaohjelmien takaisinmallintamiseen ja niiden tutkimiseen.
Haittaohjelmanäytteen analysointia varten käytettiin virtuaalikonetta. Vieraskäyttöjärjestelmänä käytettiin REMnuxia, jota käytetään yleisesti kyberturvallisuusalalla ohjelmien takaisinmallintamiseen. Virtuaaliympäristö on ihanteellinen haittaohjelmien analysointiin, eristyksen ja ympäristön hallinnan takia.
Prosessiin sisältyi haittaohjelmanäyteen lataaminen sekä IDA Freehen että Ghidraan, minkä jälkeen jatkettiin staattista analysointia käyttämällä ohjelmien sisäänrakennettua automatisoitua työkalua, manuaalista analyysiä, sekä takaisinmallintamistekniikoita haittaohjelmanäytteen käyttämien ominaisuuksien ja salauksen tutkimiseen.
Tutkimus osoitti, sekä IDA:n että Ghidran olevan hyödyllisiä työkaluja ja vaikka IDA on paremmin vakiintunut työkalusarja, Ghidra on nykyaikaisempi, avoimempi ja monin tavoin aloittelijaystävällisempi ohjelmisto haittaohjelmien takaisinmallintamiseen ja niiden tutkimiseen.