Сборники трудов ИСП РАН


Получение содержимого удаляемых и изменяемых файлов в среде динамического анализа исполняемых файлов Drakvuf

Ковалёв С.Г. (Positive Technologies, Москва, Россия)

Аннотация

В статье рассматриваются способы получения содержимого файлов, изменяемых в процессе работы известной среды динамического анализа с открытым исходным кодом Drakvuf. В Drakvuf изначально реализована функциональность сохранения файлов, основанная на использовании недокументированных механизмов работы с системным кэшем. Автором данной статьи предложен новый подход получения содержимого файлов в системах семейства Microsoft Windows с помощью Drakvuf. Предложенный подход основан исключительно на использовании публичного интерфейса ядра со стороны гипервизора и обеспечивает переносимость между различными версиями операционной системы. В завершение статьи приведены достоинства и недостатки обоих подходов, предложены направления дальнейших работ.

Ключевые слова

вредоносная программа; динамический анализ; инъекция; Drakvuf; Virtual Machine Introspection

Издание

Труды Института системного программирования РАН, том 30, вып. 5, 2018, стр. 109-122.

ISSN 2220-6426 (Online), ISSN 2079-8156 (Print).

DOI: 10.15514/ISPRAS-2018-30(5)-7

Для цитирования

Ковалёв С.Г. Получение содержимого удаляемых и изменяемых файлов в среде динамического анализа исполняемых файлов Drakvuf. Труды Института системного программирования РАН, том 30, вып. 5, 2018, стр. 109-122. DOI: 10.15514/ISPRAS-2018-30(5)-7.

Полный текст статьи в формате pdf (на английском) Вернуться к содержанию тома