Malware Analysis Environment for Windows Targeted Malware
Hakkarainen, Jani (2015)
Hakkarainen, Jani
Jyväskylän ammattikorkeakoulu
2015
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2015061613468
https://urn.fi/URN:NBN:fi:amk-2015061613468
Tiivistelmä
Opinnäytetyön tavoitteena oli luoda haittaohjelma-analyysiympäristö 32-bittisille Windowsiin
suunnatuille haittaohjelmille. Analyysiympäristön tavoitteena oli myös taata turvallinen
haittaohjelmien käsittely ilman vaaraa niiden leviämisestä. Vaatimuksia ympäristölle
olivat kyky kerätä haittaohjelmanäytteestä kiinteät ominaisuudet ja valmiudet suorittaa
käyttäytymisanalyysi, dynaaminen koodianalyysi ja staattinen koodianalyysi niin, että
kerätyistä tiedoista pystyy päättelemään haittaohjelman toiminnallisuudet ja mahdollisesti
myös haittaohjelman tekijän tavoitteet.
Haittaohjelma-analyysiympäristö rakennettiin vaatimusten mukaisesti ja niiden täyttyminen
testattiin lopputuotteesta analysoimalla itse tehtyä yksinkertaista ohjelmaa, joka käytti
yleisesti haittaohjelmissa käytettyjä metodeita. Analyysiprosessina käytettiin vaatimuksista
muodostuneita vaiheita.
Rakennetulla haittaohjelma-analyysiympäristöllä pystyttiin keräämään kaikki tarvittava
tieto esimerkkiohjelmasta niin, että näytteen ominaisuudet ja näytteen tekijän tavoitteet
pystyttiin päättelemään, joten haittaohjelma-analyysiympäristö täytti sille asetetut vaatimukset.
Todettiin, että haittaohjelma-analyysiympäristö ei ole kiinteä ratkaisu vaan pikemminkin
runko, jota voi laajentaa tai päivittää tarvittaessa. On siis tärkeää ymmärtää, miten haittaohjelma-
analyysiympäristö rakennetaan, koska se muuttuu aina tarpeen vaatiessa. On
myös hyvä pitää mielessä, että analyysiympäristö mahdollistaa analyysien tekemisen eikä
tee niitä. Tärkein tekijä haittaohjelma-analyyseissä on ammattitaitoinen analysoija.
suunnatuille haittaohjelmille. Analyysiympäristön tavoitteena oli myös taata turvallinen
haittaohjelmien käsittely ilman vaaraa niiden leviämisestä. Vaatimuksia ympäristölle
olivat kyky kerätä haittaohjelmanäytteestä kiinteät ominaisuudet ja valmiudet suorittaa
käyttäytymisanalyysi, dynaaminen koodianalyysi ja staattinen koodianalyysi niin, että
kerätyistä tiedoista pystyy päättelemään haittaohjelman toiminnallisuudet ja mahdollisesti
myös haittaohjelman tekijän tavoitteet.
Haittaohjelma-analyysiympäristö rakennettiin vaatimusten mukaisesti ja niiden täyttyminen
testattiin lopputuotteesta analysoimalla itse tehtyä yksinkertaista ohjelmaa, joka käytti
yleisesti haittaohjelmissa käytettyjä metodeita. Analyysiprosessina käytettiin vaatimuksista
muodostuneita vaiheita.
Rakennetulla haittaohjelma-analyysiympäristöllä pystyttiin keräämään kaikki tarvittava
tieto esimerkkiohjelmasta niin, että näytteen ominaisuudet ja näytteen tekijän tavoitteet
pystyttiin päättelemään, joten haittaohjelma-analyysiympäristö täytti sille asetetut vaatimukset.
Todettiin, että haittaohjelma-analyysiympäristö ei ole kiinteä ratkaisu vaan pikemminkin
runko, jota voi laajentaa tai päivittää tarvittaessa. On siis tärkeää ymmärtää, miten haittaohjelma-
analyysiympäristö rakennetaan, koska se muuttuu aina tarpeen vaatiessa. On
myös hyvä pitää mielessä, että analyysiympäristö mahdollistaa analyysien tekemisen eikä
tee niitä. Tärkein tekijä haittaohjelma-analyyseissä on ammattitaitoinen analysoija.