Ταξινόμηση λογισμικού packing: Συνδυάζοντας στατικά και δυναμικά χαρακτηριστικά για βέλτιστο αποτέλεσμα

Ευαγγέλου, Σπυρίδων Μιχαήλ; Evangelou, Spyridon Michail

dc.contributor.author	Ευαγγέλου, Σπυρίδων Μιχαήλ	el
dc.contributor.author	Evangelou, Spyridon Michail	en
dc.date.accessioned	2025-11-10T11:17:09Z
dc.date.available	2025-11-10T11:17:09Z
dc.identifier.uri	https://dspace.lib.ntua.gr/xmlui/handle/123456789/62821
dc.identifier.uri	http://dx.doi.org/10.26240/heal.ntua.30517
dc.rights	Αναφορά Δημιουργού 3.0 Ελλάδα	*
dc.rights.uri	http://creativecommons.org/licenses/by/3.0/gr/	*
dc.subject	Packing	en
dc.subject	Hooking	en
dc.subject	Malware	en
dc.subject	Classification	en
dc.title	Ταξινόμηση λογισμικού packing: Συνδυάζοντας στατικά και δυναμικά χαρακτηριστικά για βέλτιστο αποτέλεσμα	el
heal.type	bachelorThesis
heal.classification	Reverse Engineering	en
heal.classification	Information Technology	en
heal.language	el
heal.access	free
heal.recordProvider	ntua	el
heal.publicationDate	2025-03-14
heal.abstract	Το λογισμικό packing στη σύγχρονη εποχή χρησιμοποιείται ευρέως τόσο σε κακόβουλο όσο και σε ασφαλές λογισμικό. Έρευνα που διεξήχθη από τη McAfee το 2017 έδειξε ότι περίπου το 80% του κακόβουλου λογισμικού που εντοπίζεται στο διαδίκτυο χρησιμοποιεί τεχνικές συμπίεσης και packing. Η χρήση packing είναι επίσης δημοφιλής και σε εταιρείες που επιθυμούν την προστασία της πνευματικής τους ιδιοκτησίας. Η συνεισφορά μου στη μελέτη των packers είναι η πρόταση ενός νέου ταξινομητή, ανθεκτικού σε στατικές τροποποιήσεις και μεθόδους προστασίας του εκτελέσιμου, που παράγει δυναμικές υπογραφές μέσα από την καταμέτρηση του αριθμού και του είδους των κλήσεων σε συναρτήσεις του Windows API που πραγματοποιούνται από το packed πρόγραμμα. Στα πλαίσια της παρούσας διπλωματικής, αναπτύχθηκαν δύο επιπλέον μοντέλα στατικής ανάλυσης και ανάλυσης ομοιότητας που μπορούν να συνδυαστούν με τον δυναμικό ταξινομητή για βέλτιστα αποτελέσματα. Για αυτόν το σκοπό, αναπτύχθηκε μια αυτοματοποιημένη διαδικασία συλλογής στατικών και δυναμικών χαρακτηριστικών από περισσότερα από 3000 διαφορετικά packed και μη Windows PE εκτελέσιμα. Χρησιμοποιώντας σύγχρονους αλγόριθμους μηχανικής μάθησης, π.χ. Random Forests, Perceptrons, K-Neighbors Classifiers, XGBoost Classifiers, Gradient Boosting Classifiers και Support Vector Machines κατάφερα να ταξινομήσω τους packers με 99% επιτυχία στη μετρική Accuracy και 99% στη μετρική Macro Average F1 Score για το στατικό μοντέλο και 97% Accuracy και 89% Macro Average F1 Score για το δυναμικό μοντέλο. Με αυτόν τον τρόπο, αποδεικνύω ότι είναι δυνατό να πραγματοποιηθεί ταξινόμηση με χρήση δυναμικών χαρακτηριστικών, η οποία στη συγκεκριμένη περίπτωση είναι πιο ανθεκτική σε τροποποιήσεις του εκτελέσιμου από ό,τι η στατική ταξινόμηση, γεγονός που συχνά δε μελετάται στη σχετική βιβλιογραφία. Το μοντέλο ομοιότητας που αναπτύχθηκε, χρησιμοποιεί την ομοιότητα στα TLSH, SSDEEP και ImpHash μεταξύ των εκτελέσιμων για τον εντοπισμό του packer που χρησιμοποιήθηκε. Το μοντέλο εντοπίζει σωστά τον packer στο 43% το περιπτώσεων, χωρίς να κάνει κάποιο λάθος για όσους packers εντοπίζει. Το γεγονός αυτό το καθιστά ιδανικό για συνδυασμό με τα άλλα δύο μοντέλα δυναμικής και στατικής ανάλυσης.	el
heal.advisorName	Αναγνώστου, Μιλτιάδης	el
heal.committeeMemberName	Αναγνώστου, Μιλτιάδης	el
heal.committeeMemberName	Ρουσσάκη, Ιωάννα	el
heal.committeeMemberName	Πατσάκης, Κωνσταντίνος	el
heal.academicPublisher	Εθνικό Μετσόβιο Πολυτεχνείο. Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών. Τομέας Επικοινωνιών, Ηλεκτρονικής και Συστημάτων Πληροφορικής	el
heal.academicPublisherID	ntua
heal.numberOfPages	78 σ.	el
heal.fullTextAvailability	false