Code synchronization by morphological analysis - Inria - Institut national de recherche en sciences et technologies du numérique Accéder directement au contenu
Communication Dans Un Congrès Année : 2012

Code synchronization by morphological analysis

Guillaume Bonfante
  • Fonction : Auteur
  • PersonId : 830993
Theoretical adverse computations, and safety
Jean-Yves Marion
Connectez-vous pour contacter l'auteur
Theoretical adverse computations, and safety
Fabrice Sabatier
  • Fonction : Auteur
  • PersonId : 934048
Theoretical adverse computations, and safety
Aurélien Thierry
  • Fonction : Auteur
  • PersonId : 934049
Theoretical adverse computations, and safety

Résumé

Reverse-engineering malware code is a difficult task, usually full of the traps put by the malware writers. Since the quality of defense softwares depends largely on the analysis of the malware, it becomes crucial to help the software investigators with automatic tools. We describe and present a tool which synchronizes two related binary programs. Our tool finds some common machine instructions between two programs and may display the correspondence instruction by instruction in IDA. Experiments were performed on many malware such as stuxnet, duqu, sality or waledac. We have rediscovered some of the links between duqu and stuxnet, and we point out OpenSSL's use within waledac.
La rétroconception de programmes malveillants est une tâche difficile, parsemée des embûches préparées par les développeurs du malware. La qualité des logiciels de défense dépendant grandement de l'analyse faite du malware, il est nécessaire de fournir aux analystes des outils automatiques. Nous décrivons ici un outil qui synchronise deux programmes binaires ayant des similarités. Notre outil trouve des instructions assembleur communes et affiche les correspondances dans IDA. Des expériences ont été réalisées sur plusieurs malware tels Stuxnet, Duqu, Sality ou Waledac. Nous avons retrouvé certains liens entre Duqu et Stuxnet ainsi que l'utilisation que Waledac fait d'OpenSSL.

Domaines

Informatique et langage [cs.CL]
Fichier principal
Vignette du fichier
malware2012.pdf (658.78 Ko) Télécharger le fichier
Origine : Fichiers produits par l'(les) auteur(s)

Aurélien Thierry  : Connectez-vous pour contacter le contributeur

https://inria.hal.science/hal-00764286

Soumis le : mercredi 12 décembre 2012-16:34:15

Dernière modification le : lundi 11 septembre 2023-17:41:18

Archivage à long terme le : dimanche 18 décembre 2016-00:23:09

Télécharger pour visualiser

Dates et versions

hal-00764286 , version 1 (12-12-2012)

Identifiants

  • HAL Id : hal-00764286 , version 1

Citer

Guillaume Bonfante, Jean-Yves Marion, Fabrice Sabatier, Aurélien Thierry. Code synchronization by morphological analysis. MALWARE 2012 - 7th International Conference on Malicious and Unwanted Software, Oct 2012, Fajardo, United States. ⟨hal-00764286⟩

Exporter

BibTeX XML-TEI Dublin Core DC Terms EndNote DataCite

Collections

CNRS INRIA UNIV-LORRAINE INRIA2 LORIA LORIA-FM LHS
283 Consultations
711 Téléchargements

Partager

Gmail Facebook X LinkedIn More