Title (eng): Functionality analysis of binaries

Author: Kochberger, P. (Patrick F.)

Description (deu): Masterarbeit, Fachhochschule St. Pölten, Studiengang Information Security, 2018

Description (deu): Die Untersuchung von unbekannten Programmen oder Schadsoftware macht es oft notwendig kryptographische oder andere Funktionalität aufzuspüren. Funktionalität als ein bestimmtes, mögliches Verhalten kann verwendet werden, um Software zu klassifizieren oder die Benutzerin/den Benutzer auf etwaige Folgen oder vorhandene nicht erwünschte Bestandteile hinzuweisen. Diese Analyse von Binärdateien kann ein unübersichtlicher und schwieriger Prozess sein. Um diesen zu vereinfachen und angenehmer zu gestalten ist es notwendig, neben Automatisierung, einem Analysten/einer Analystin einen Überblick zu geben. Die Darstellung als Bild kann nicht nur dabei helfen, sondern bietet auch die Möglichkeit visuelle Muster zu erkennen. In dieser Arbeit liegt der Fokus auf statischer Analyse von Binärdateien sowie der Suche nach Funktionalität in ausführbaren Dateien. Der derzeitige Stand der Technik bezüglich Funktionalitätsanalyse und die Charakteristiken von kryptographischen Operationen wurden untersucht und ein neue Methodik zur Unterstützung der Analyse wurde vorgeschlagen. Dabei wird ein Programm durch die graphische Darstellung von LLVM IR Code für einen Analysten oder eine Analystin angezeigt. Hierdurch können für bestimmte kryptographisch Muster für den Menschen sichtbar gemacht werden. Es ist mit der derzeitigen Visualisierung möglich diverse rechenintensive Funktionalität zu erkennen.

Description (eng): The analysis of unknown or malicious software makes it often necessary to detect or identify several types of functionality, in particular cryptographic. In this thesis, the focus lies on static binary analysis and how functionality, represented by cryptography, can be detected in executables. The characteristics of cryptography and the current state-of-the-art for finding cryptography have been researched. A new approach for helping an analyst detect functionality through the visualization of LLVM IR is proposed. The visual aid, that is an output of this process, helps to render patterns visible and assist the analyst. The proof-of-concept implementation shows that the visual detection of certain cryptographic routines is easily possible, even without the necessity of a skilled expert. Analysis also showed that with the currently implemented type of visualization, AES functionality is very hard to detect, while other crypto algorithms can clearly and almost instantly be spotted. Similarly, the calculated ratio between arithmetic, bitwise and other operations provides an easier method for arriving at the same conclusion, but can easily lead to false positive findings.

Object languages: English

Date: 2018

Rights: © All rights reserved

Classification: Kryptologie ; Visualisierung

Permanent Identifier