M174. Malicious Behavior Monitoring System
1. Tema proiectului
Realizează analiza dinamica a unei aplicaţii malware.
2. Obiective
Va monitoriza în timp real:
- modificarea fişierelor şi a registrilor
- activitatea pe porturi TCP sau UDP
- pachetele trimise şi primite
- memoria consumată
- ocuparea procesorului
Fiind o aplicaţie de monitorizare, va necesita o interfaţă grafică unde se pot vizualiza toate activităţile monitorizate
Va consturi log-uri cu diferite formate pentru a putea vizualiza efectele aplicatiei malware intr-un mod cantitativ:
tabele cu evolutia in timp a parametrilor vizualizati
grafice cu evolutia in timp a parametrilor vizualizati
Va fi implementata si o interfata separata, care permite incarcarea unor astfel de fisiere de log pentru mai multe aplicatii malware si realizarea unei comparatii. O astfel de comparatie poate fi utila, de exemplu, pentru compararea a mai multe versiuni ale aceluiasi tip de malware.
[ bonus] Sistemul trebuie sa aiba un nivel minim de protectie proprie. Astfel, daca aplicatia urmarita ataca chiar sistemul de monotorizare, acesta ar trebui sa reziste macar la atacuri de baza.
sa previna inchiderea sa. O posibilitatea pentru a realiza acest lucru este una folosita de unele solutii de antivirus: mai multe procese care ruleaza simultan si se monotorizeaza reciproc. In momentul in care virusul inchide aplicatia, unul dintre procesele de monotorizare va repornii aplicatia (se merge pe ideea ca virusul nu are cum sa inchida toate procesele simultan, in mod atomic).
sa previna stergerea si / sau modificarea fisierelor de log create. Exista multe abordari posibile, care vor trebui analizate inainte de implementare: back-up-uri multiple(pe partitii diferite daca se poate), lock pe drepturi de scriere, lock pe fisier.
3. Bibliografie
[1] Bayer, U., Moser, A., Kruegel, C., Kirda, E., Dynamic Analysis of Malicious Code, Journal of Computer Virology, 2006
[2] http://www.securityfocus.com/infocus/1610
[3] http://www.blackhat.com/presentations/bh-dc-07/Kendall_McMillan/Paper/bh-dc-07-Kendall_McMillan-WP.pdf
[4] http://anubis.iseclab.org/?action=home
[5] http://www.malwarechallenge.info/results/gaddam.pdf
4. Detalii de desfasurare
- coordonator proiect: conf. dr. ing. Razvan Rughinis
- echipa: NICOARA Radu-Lucian, SALAJAN Alexandru
- cunostinte necesare: retelistica, securitate, programare in limbajul C, programare kernel (optional)
- sala: EG106b
- program: 6 ore pe saptamana, doua semestre
