Code synchronization by morphological analysis

Guillaume Bonfante 1 Jean-Yves Marion 1, * Fabrice Sabatier 1 Aurélien Thierry 1
* Auteur correspondant
1 CARTE - Theoretical adverse computations, and safety
Inria Nancy - Grand Est, LORIA - FM - Department of Formal Methods
Résumé : La rétroconception de programmes malveillants est une tâche difficile, parsemée des embûches préparées par les développeurs du malware. La qualité des logiciels de défense dépendant grandement de l'analyse faite du malware, il est nécessaire de fournir aux analystes des outils automatiques. Nous décrivons ici un outil qui synchronise deux programmes binaires ayant des similarités. Notre outil trouve des instructions assembleur communes et affiche les correspondances dans IDA. Des expériences ont été réalisées sur plusieurs malware tels Stuxnet, Duqu, Sality ou Waledac. Nous avons retrouvé certains liens entre Duqu et Stuxnet ainsi que l'utilisation que Waledac fait d'OpenSSL.
Type de document :
Article dans une revue
7th International Conference on Malicious and Unwanted Software (Malware 2012), IEEE Xplore, 2012
Liste complète des métadonnées

Littérature citée [8 références]  Voir  Masquer  Télécharger

https://hal.inria.fr/hal-00764286
Contributeur : Aurélien Thierry <>
Soumis le : mercredi 12 décembre 2012 - 16:34:15
Dernière modification le : jeudi 11 janvier 2018 - 06:21:25
Document(s) archivé(s) le : dimanche 18 décembre 2016 - 00:23:09

Fichiers

malware2012.pdf
Fichiers produits par l'(les) auteur(s)

Identifiants

  • HAL Id : hal-00764286, version 1

Collections

Citation

Guillaume Bonfante, Jean-Yves Marion, Fabrice Sabatier, Aurélien Thierry. Code synchronization by morphological analysis. 7th International Conference on Malicious and Unwanted Software (Malware 2012), IEEE Xplore, 2012. 〈hal-00764286〉

Partager

Métriques

Consultations de la notice

410

Téléchargements de fichiers

551