REMnux Linux Dağıtımının İncelenmesi ve Örnek bir Kötücül Yazılım Analiz Uygulaması

Halil Özgür Baktır1, Baran Çelik1, Sait Işık1 1 İstanbul Üniversitesi, Fen Bilimleri Enstitüsü Enformatik Bölümü, İstanbul

ozgur.baktir@gmail.com, baran.celik@gmail.com, sait.isik@gmail.com

Özet: Türkiye’de bağımsız, merkezi bir otorite tarafından zararlı yazılımlarla ilgili yeterince istatistik toplanarak paylaşılmamasına rağmen güvenlik yazılımı üretici firmaların yıllık, 6 aylık veya 3 aylık periyotlarla yayımlanan raporları incelendiğinde tüm dünyada olduğu gibi Türkiye’de de zararlı yazılımların artarak büyüyen bir tehdit olduğu görülmektedir. Kötücül yazılımlar, artık sadece masaüstü bilgisayarlar için bir tehdit olmaktan çıkmış, mobil cihazlar, gömülü sistemler gibi internete bağlanabilen her türlü cihaz/sistem için bir tehdit haline gelmiştir. İnternetin uçsuz bucaksız dünyası düşünüldüğünde ülkemizdeki herhangi bir sisteme misafir olan kötücül yazılım, sadece Türkiye’deki diğer bir sistem için değil dünyanın öbür ucundaki bir sistem için de risk oluşturabilmektedir. Bu nedenle kötücül yazılımlardan haberdar olmak, nasıl davrandıklarını ve ne yaptıklarını anlayarak gerekli önlemleri hızlıca almak, bu konudaki bilgi ve tecrübenin paylaşılması çok önemlidir. Bu çalışmada, Linux tabanlı bir kötücül yazılım analiz aracı olan REMnux dağıtımı incelenmiş ve örnek bir analiz çalışması yapılarak tecrübeler paylaşılmıştır.

Anahtar Sözcükler: REMnux, Linux, Kötücül Yazılım, Zararlı Yazılım, Statik Analiz, Dinamik Analiz, Tersine Mühendislik, Siber Güvenlik.

Review of REMnux Linux Distro and a Sample Malware Analysis

Abstract: In Turkey, although there is no independent, central authority that gathers and shares sufficient statistical information about malicious software, when security software manufacturers' annual, semiannual or quarterly published periodic reports are examined that can be seen malware is a growing threat for Turkey as well as the whole world. Malware is now no longer just a threat for desktop computers, but also all kind of devices/systems that can be connected to the internet such as mobile devices, embedded systems, etc. When the boundless world of internet considered, a malware that is a visitor in a system in our country is not a risk for another system in Turkey but also for a system on the other side of the world. For this reason awareness about malwares, understand how they behave and what they are doing, take the necessary measures as quickly as it can, sharing knowledge and experience in this field is very important. In this study, the REMnux distribution, a Linux-based malware analysis tool is examined and experiences about a sample malware analysis is shared.

Keywords: REMnux, Linux, Malware (Malicious Software), Harmful Software, Static Analysis, Dynamic Analysis, Reverse Engineering, Cyber Security.

1. Giriş

Siber Güvenlik konusundan bahsedildiğinde virüs, solucan/kurtçuk (worm), truva atı (trojan), casus yazılım (spyware), reklam ajanı (adware), arka kapı (backdoor), klavye dinleyici (keylogger) veya kök kullanıcı takımı (rootkit) gibi terimleri duymak mümkündür. Bu terimler, bilgisayarlara, mobil cihazlara, vb. bulaşarak siber suçlular tarafından bu cihazları/sistemleri ele geçirmek için kullanılan programcıkları tanımlamaktadır. Günümüzde bu farklı terimlerin hepsi sade ve basit bir biçimde kötü amaçlı (kötücül) yazılım olarak adlandırılmaktadır.

Kötücül yazılım (malware), kötü niyetli eylemleri gerçekleştirmek için kullanılan bir bilgisayar programıdır. Kötücül yazılım terimi gerçekte, zararlı (malicious) ve yazılım (software) kelimelerinden türetilmiştir. Siber suçluların nihai hedefi bilgisayarlar veya mobil cihazlara kötü amaçlı yazılım yüklemektir. Bir defa zararlı yazılım yüklendikten sonra saldırganlar büyük olasılıkla söz konusu cihazın tüm kontrolünü ele geçirmek için gerekli şartlara sahip olurlar [1].

Siber dünyadaki birçok kullanıcı, kötü amaçlı yazılımların sadece Windows tabanlı işletim sistemine sahip bilgisayarları hedef alan bir tehdit olduğu yanılgısındadır. Windows işletim sistemi yaygın olarak kullanıldığı için büyük bir kitle oluşturduğundan kötücül yazılım konusunda oransal olarak göze çarpan istatistiklere sahiptir, ancak kötü amaçlı yazılımlar akıllı telefonlar, tabletler, gömülü sistemler dâhil birçok cihaza ve sisteme bulaşabilir. Hatta mobil dünyadaki yükseliş trendi ile günümüzde mobil cihazları hedef alan kötü amaçlı yazılımların durmadan arttığı söylenebilir.

Kötücül yazılımlar, günümüzde artık sadece meraklılar, amatörler ya da sıradan bilgisayar

korsanları tarafından değil, belli ve özel amaçlara ulaşmak için bilgili ve uzman siber suçlular tarafından tasarlanmakta ve programlanmaktadır. Bu amaçlardan bazıları gizli/kişisel bilgilerin çalınması, kullanıcı adı, şifre ve parolaların toplanması, SPAM e-postaların gönderilmesi, hizmet dışı bırakma (DoS) saldırılarının gerçekleştirilmesi ve para sızdırılmasıdır.

Günümüzde kötücül yazılımları yazan, yayan ve bundan fayda sağlayanlar, bireysel olarak çalışan profesyonellerle iyi organize olmuş siber suç grupları ya da devlet kurumları arasında dağılım göstermektedir.

İnternette dolaşan kötücül yazılımların sayısının ve kabiliyetlerin gün geçtikçe artmasıyla, yapılarının karmaşıklaşmasıyla bu tür zararlı bir yazılımın bir cihaza bulaşması herkesin başına gelebilecek gündelik bir olay haline gelmiştir.

Microsoft’un 6 aylık dönemlerde yayınladığı Güvenlik İstihbarat Raporu’nun en son yayımlanan sayısında (Microsoft Security Intelligence Report, Volume 17) Türkiye ile ilgili önemli tespitler yer almaktadır [2]. Ülkemizdeki bilgisayarlarda tespit edilen kötücül yazılım rakamları/oranları, birçok kategoride dünya ortalamasının hayli üstünde değerlere sahiptir.

Şekil 1. 2014’ün ilk yarısı için, raporlanan bilgisayar sayısı itibarıyla en fazla kötücül yazılımla karşılaşma raporlanan ülkeler ve

karşılaşma oranı eğilimleri [2]

Ülkemizdeki geniş bant internet kullanımına ilaveten mobil abone sayısı ve mobil internet kullanım miktarı da dikkate alındığında bu tehdidin hedef kitlesinin büyüklüğü daha iyi anlaşılmaktadır [3]. Ayrıca her geçen gün gelişmekte olan Nesnelerin İnterneti (Internet of Things) kavramı da dikkate alındığında tehdit, teknolojiyi kullandığımız son noktaya kadar bizi takip edebilecek bir potansiyele sahiptir [4].

Ülkemizi tehdit eden kötücül yazılımlar için alınması gereken ilk önlem, tüm kullanıcıların kötücül yazılımlarla ilgili farkındalıklarını artırmak olmakla birlikte düşmanı tanımak adına başarılı analizler yapabilecek bilgi ve tecrübeye sahip olmak da çok önemlidir.

2. REMnux Linux Dağıtımı

REMnux [5], zararlı yazılımlar için tersine-mühendislik yaparak kötücül yazılım analistlerine yardımcı olmak amacıyla geliştirilmiş Linux tabanlı ücretsiz bir dağıtımdır. Adını da amacını ifade eden İngilizce kelimelerin kısaltılmasından almıştır (Reverse-Engineering Malware Linux). İlk sürümü 2010 yılında yayımlanan REMnux, David Westcott’un kapsamlı yardımlarıyla Lenny Zeltser tarafından geliştirilmektedir. Mevcut son sürüm ise v5 olup 21.05.2014 tarihinde yayımlanmıştır.

Bu araç, adli bilişim müfettişleri ve olay müdahale ekipleri tarafından kötücül yazılım incelemelerine başlamak için özgürce kullanılabilir durumda olup bulunması/ ulaşılması, kurulması ve yapılandırılması zor olabilecek çeşitli araçların kullanımını daha kolay bir hale getirmeyi ve kötücül yazılım analizi yapan kişilerin sadece temel amaca yani analize yönlendirmeyi hedeflemektedir.

Ubuntu tabanlı bu hafif dağıtım, Windows ve Linux platformundaki kötücül yazılımların analizi, karmaşıklaştırılmış JavaScript veya

Flash programcıkları gibi tarayıcı tabanlı tehditlerin incelenmesi, şüpheli dosyaların (PDF, DOC, XLS gibi) keşfi, diğer kötü niyetli objelerin ayrılması/ayıklanması, vb. işlemler için birçok araç içermektedir. Ayrıca araştırmacılar, davranış bazlı kötücül yazılım analizi yaparken şüpheli ağ trafiğini izole bir ortamda kesmek için de bu dağıtımı kullanabilmektedirler.

Ubuntu 11.10 sürümünü temel alarak geliştirilmiş olan REMnux v5 dağıtımı şu an OVF/OVA sanal aygıtı, VMware sanal aygıtı ve canlı CD ISO görüntüsü olarak edinilebilmektedir [6].

REMnux dağıtımı, şu an sadece i386 işlemci mimarisini desteklemekte olup LXDE (Lightweight X11 Desktop Environment) [7] grafik arayüzüne sahiptir.

REMnux dağıtımı ile birlikte gelen varsayılan kullanıcı “remnux”, şifre ise “malware”dir. Ubuntu tabanlı dağıtımlarda alışılageldiği üzere ayrıcalıklı komutların koşturulması için “sudo” komutu kullanılmalıdır. Eğer internet erişimi varsa ilave uygulamaların yüklenmesi için “apt-get” komutu kullanılabilir. Klavye düzenleri arasında geçiş yapmak için “setxkbmap” kullanılmalıdır. Örneğin; Türkçe klavye düzeni için “setxkbmap tr” komutu verilir. Ekran çözünürlüğünü ayarlamak içinse “xrandr” komutu kullanılır. Örneğin; “xrandr -s 1024x768 –r 60” gibi [8].

REMnux'ta hangi araçların ve özelliklerin kullanılabilir olduğunu ve kötücül yazılım analizi yaparken bunlardan nasıl düzgün bir şekilde yararlanılabileceğini bilmek, daha etkin ve etkili bir analiz için farkında olunması gereken anahtar kavramdır [9].

REMnux dağıtımında gündelik işler için birçok dağıtımla olduğu gibi varsayılan olarak gelen metin editörü, hesap makinesi, sistem araçları gibi programların yanı sıra https://remnux.org/remnux-v5-tools.xmind adresinde bir fikir haritası görünümünde

verilmiş olan kötücül yazılım analiz araçları mevcuttur.

Aşağıdaki tabloda birincil işlevleri temel alınarak REMnux v5’te belirtilen kategorilere göre araç sayıları verilmiş olup kötücül yazılım analizi için dağıtım içerisinde 134 tekil aracın bulunduğu görülmektedir. Bazı araçlar ikincil işlevlere de sahip olduklarından bu işlevler dikkate alındığında kategorilere göre kullanılabilir araç sayısı 143’e çıkmaktadır.

Şekil 2. Kategoriye göre dağıtımdaki araç sayıları

REMnux, diğer güvenlik odaklı dağıtımlarda mevcut olan Wireshark [10] gibi araçların yanı sıra web sayfalarının analizi için otomatik olarak yapılandırılmış bir Firefox sürümüne sahiptir.

REMnux, yeni ve deneyimli Linux kullanıcıları için, içerdiği tüm araçların kullanımına, ağ tabanlı kötücül yazılımlarının analizine nasıl başlanacağına, kötü niyetli web sitelerini ve şüpheli çalıştırılabilir dosyaların/belgelerin incelenmesine dair açıklamaları içeren bir referans dokümanı ile birlikte gelmektedir [8].

REMnux dağıtımı, DOC ve PDF belgelerinin enfeksiyonlarını analiz etmek için gereken her şeye sahip olup bir ağa sızmış olan

istismar kaynağının izini sürmeye yardımcı olabilir.

Wine (Wine Is Not an Emulator) [11] da Windows programlarını çalıştırmaya olanak sağlamak üzere dağıtıma dâhil edilmiş olup doğal olarak, herhangi bir Windows-temelli saldırının doğasını belirlemek amacı ile kullanılabilecektir. Ancak Linux işletim sistemi üzerinde Wine ile her programın çalıştırılamadığını da belirtmek gerekir.

REMnux geliştiricisi Lenny Zeltser tarafından bir sonraki büyük REMnux sürümünün Ubuntu'nun Uzun Vadeli Destek (LTS) sürümünü temel alması, böylece modüler paket mimarisini ve artırımsal güncelleştirmeleri destekleyen bir kullanımın mümkün kılınmasının hedeflendiği ifade edilmektedir.

Bu dağıtım, ayrıca Lenny Zeltser tarafından SANS bünyesinde verilen kötücül yazılım analiz eğitimlerinde de kullanılmaktadır [12].

3. Örnek Bir Analiz Uygulaması

Klasik dünyadaki silah kavramından farklı olarak siber silah sadece yok etme amacı taşımamakta, yeri geldiğinde izleri silme, yeri geldiğinde ise hedef sistemlerden bilgi çalma amaçlı olarak kullanılacak yöntem ve araçları kapsamaktadır. Stuxnet kötücül yazılımı, güncel ve ideal bir siber silah örneğidir [13].

Kötücül yazılımlar için kesin bir belirleme yöntemi yoktur. Her kötücül yazılım farklı davranışlar sergileyebilir. Ayrıca kötücül yazılımlar tanınmayı zorlaştırmak için çeşitli yollar denemektedirler. Kötücül yazılımlar, gizlenme, bulaşma, yayılma gibi işlevleri açısından da kendilerini sürekli olarak geliştirmektedirler.

Kötücül yazılımların analizi için birçok farklı yöntem ortaya çıkmıştır. Bu yöntemlere örnek olarak;

- Statik Analiz [14] [15]

- Dinamik/Davranışsal Analiz [16] [17]- Hibrid Analiz [18] [19]- Bellek Analizi [20] [21]- İstatistiksel Analiz [22] [23]- Tersine Mühendislik [24] [25]

verilebileceği gibi ayrıca daha farklı analiz yöntemlerine ait çalışmalar da mevcuttur.

Bu çalışmada, REMnux dağıtımı ile 2013’ün ikinci yarısı ve 2014’te Türkiye’de çok etkili olan ve birçok sisteme bulaşan Kilim Truva Atının [26] analizi gerçekleştirilmiştir.

Analiz için kötücül yazılım örneklerini barındıran https://malwr.com/ web adresinden SHA-256 özeti “08f6fa55509612f3b6fd0bb 57721f2156b050b41e23ce6a119c74fed8a2dbef4” olan örnek dosya indirilmiş ve Oracle Virtualbox [27] sanallaştırma yazılımı üzerinden çalıştırılan canlı CD imajına analiz için kopyalanmıştır.

Şekil 3. Dosyanın SHA-256 HASH değeri alınarak bütünlüğünün teyit edilmesi

3.1. Dosyanın Tanımlanması

Analize başlarken hangi araçların nasıl kullanılacağına karar vermek için dosyanın tanımlanması ve dosya türünün tespit edilmesi gereklidir, bu aşamada dosyanın uzantısına güvenilmemelidir. Bu amaçla “file”, “trid”, “7z”, “yara”, “exiftool” ve “hachoir-metadata” gibi REMnux’ta hâli-hazırda gelen birçok araç kullanılabilir.

Şekil 4. “file”, “trid”, “hachoir-metadata” ve “7z” komutlarının çıktısı

“pev”, REMnux ile gelen ve Windows EXE dosyalarını analiz etmek için kullanılabilecek bir araç setidir. Bu araç setinde bulunan araçlar ve işlevleri aşağıda verilmiştir.

Araç Adı Kullanımpehash PE dosya özet değerini hesaplar.pedis PE çözücü (disassembler)pepack Sıkıştırma (packer) belirleyici

pescanTLS geri aramaları (callbacks) dâhil olmak üzere PEdosyalarındaki şüpheli şeyleri arar.

pesec PE dosyalarındaki güvenlik özelliklerini kontrol eder.

peresKaynak bölümü ile ilgili bilgi verir ve dosyadan kaynaklarıayıklar.

pestr PE dosyalarındaki Unicode ve ASCII dizeleri/metinleri arar.readpe PE dosya başlıklarını, bölümlerini ve daha fazlasını gösterir.

rva2ofsRVA’yı (Relative Virtual Address) ham dosya ofsetlerinedönüştürür.

ofs2rva Ham dosya ofsetlerini RVA’ya dönüştürür.

Şekil 5. "pev" paketinde bulunan araçlar

Şekil 6. Windows PE dosya yapısı

PE başlığının analizi için “readpe”, “pescan” ve “pescanner” komutları kullanılabilir.

Alan Elde Edilen Bilgi

İçe aktarılanlar (Imports)Kötücül yazılım tarafından diğer kütüphanelerden kullanılan fonksiyonlar

Dışa aktarılanlar (Exports)Kötücül yazılımdaki diğer program veya kütüphaneler tarafından çağrılacak fonksiyonlar

Zaman Damgası (Time Date Stamp) Kötücül yazılımın derlenme zamanı

Bölümler (Sections)Dosyadaki bölümlerin isimleri ve bunların diskte ve bellekteki boyutları

Alt sistem (Subsystem)Kötücül yazılımın bir komut satırı veya grafik ara yüz (GUI) uygulaması olup olmadığını gösterir.

Kaynaklar (Resources)Dosyada yer alan dizeler, simgeler, menüler ve diğer bilgileri içerir.

Şekil 7. Kötücül Yazılım PE başlığından elde edilebilecek bilgiler [28]

Dosyanın Win32 PE (Portable Executable) dosyası olduğu tespit edildikten sonra bu dosyanın sıkıştırılmış bir çalıştırılabilir dosya olup olmadığının tespiti için “pepack”, “packerid”, “densityscout” ve “bytehist” komutları kullanılabilir.

Şekil 8. "pepack", "packerid" ve "densityscout" komutlarının çıktısı

DensityScout aracının çıktıları incelenerek;

Tipik bir sıkıştırılmış dosyanın ABS-yoğunluğu < 0.1Tipik bir normal dosyanın ABS-yoğunluğu > 0.9

Tipik bir sıkıştırılmış dosyanın CHI-yoğunluğu < 100.0Tipik bir normal dosyanın CHI-yoğunluğu > 1000.0

ölçütleri dikkate alındığında, YoğunlukABS = 1.27822 ve YoğunlukCHI = 34668.1 değerlerine istinaden bu dosyanın sıkıştırılmamış bir çalıştırılabilir dosya olduğu söylenebilir. Bu durum, “bytehist” aracıyla elde edilen histogram analizi çıktısından da görülebilmektedir.

Şekil 9. "bytehist" komutunun çıktısı

Şifreli veya paketlenmiş/sıkıştırılmış verileri algılamak için istatistik çok iyi bir araç olabilir. Bu şekilde değiştirilmiş verilerde genellikle kullanılan baytlar çok düz/eşit bir dağılıma sahiptir. Aksine normal verilerde genellikle sürekli olarak bazı baytlar kullanılmaktadır. Yani açık metin, veri tabanı dosyaları ve hatta çalıştırılabilir ikili dosyalar gibi şifresiz ve sıkıştırılmamış bayt dağılımlarıyla şifreli ve/veya sıkıştırılmış dosyalar kolaylıkla birbirinden ayırt edilebilmektedir [29].

Şekil 10. İlk histogram normal bir dosyaya, ikincisi ise şifreli/sıkıştırılmış bir dosyaya aittir.

Analiz edilen dosyanın sıkıştırılmamış bir dosya olduğu tespit edildikten sonra genişletme işlemine gerek olmadığı anlaşıldığından dize/metin araması ile dosya içerisinde geçen ve analize yardımcı olacak dizelerin dökümü alınabilir. Bu işlem için “strings”, “srch_strings” ve “pestr” komutları kullanılabilir.

Şekil 11. "pestr" komut çıktısı

“pestr” komut çıktısından görülebileceği üzere kötücül yazılım VB programlama dili ile geliştirilmiştir. Proje geliştirirken kullanılan dosya ve yolu “C:\Documents and Settings\Kartal\Desktop\Temiz\Project1_Generated-2\Project1.vbp” şeklindedir. Ayrıca muhtemelen kötücül yazılımın, cihazlara bulaştıktan sonra http://facetmp.com web adresine bazı dosyalar için istekte bulunduğu görülmektedir. Windows kullanıcısı (Kartal) ve dosya adından (Temiz) kötücül yazılımın bir Türk kullanıcı tarafından geliştirildiğini tahmin etmek mümkündür.

Kötücül yazılım, Wine ile çalıştırılıp davranışsal analizi yapılmak istenmiş ancak program Wine ile çalıştırılamamıştır.

PE dosyası içinde gömülü olan metin, resim, gibi diğer dosyaların/kaynakların tespiti ve çıkarılması için “peres”, “hachoir-subfile” ve “foremost” komutları kullanılabilir.

Şekil 12. “hachoir-subfile” ve “foremost” komutlarının çıktıları

Şekil 13. "foremost" komutuyla PE dosyasından çıkarılan PNG dosyasının görüntülenmesi

Ayrıca dosyanın çözümlenmesi ve Tersine Mühendislik analizleri için ise “objdump”, “udcli” veya “vivbin” araçları kullanılabilir.

4. Sonuç

Düzgün kullanıldığı takdirde REMnux hayat kurtaran ve zaman tasarrufu sağlayan bir araç olabilir. Analist, kötücül yazılım analizinde gerçekten başarılı olabilmek için, hangi adımları atacağını, hangi araçları kullanacağını ve araçların çıktısının ne anlatmak istediğini yorumlamayı bilmek zorundadır. Bu çalışma, REMnux ile birlikte hazır gelen araçlarla/özelliklerle başlangıç düzeyinde gerçekleştirilen statik analiz kısmına değinmekle birlikte biraz daha zaman ve emek harcayarak REMnux’u daha fazla keşfetmek, test etmek ve uzmanlaşmak mümkündür. REMnux’ta nelerin mevcut olduğu ve bu araçlardan etkin şekilde nasıl yararlanılabileceği anlaşılarak, hızlı bir şekilde bir dosyanın kötücül yazılım veya güvenli dosya olduğunu analiz edip raporlamak mümkündür.

REMnux, Linux platformu için tasarlanmış kötücül yazılımların veya PDF, SWF, DOC gibi platform bağımsız dosyaların davranışsal analizine doğal olarak olanak sağlıyorken Windows, Android gibi farklı platformlar için geliştirilmiş çalıştırılabilir dosyaların analizi için izole bir ortam sağlayan ilave araçların kurulup kullanılmasını gerektirmektedir.

5. Kaynaklar

[1] Zeltser, L., "What is Malware", SANS Securing the Human – The Monthly Security Awareness Newsletter for Computer Users, (February 2014).http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201402_en.pdf

[2] Microsoft Security Intelligence Report, Volume 17: http://www.microsoft.com/en-us/download/confirmation.aspx?id=44937

[3] BTK Üç Aylık Pazar Verileri Raporu 2014 Yılı 3. Çeyrek (Temmuz – Ağustos – Eylül): http://www.tk.gov.tr/kutuphane_ve_veribankasi/pazar_verileri/ucaylik14_3.pdf

[4] Kutup, N., “Nesnelerin İnterneti; 4HHer yerden, Herkesle, Her zaman, Her nesne ile bağlantı”, XVI. Türkiye'de İnternet Konferansı, İzmir, 2011, http://inet-tr.org.tr/inetconf16/bildiri/27.pdf

[5] https://remnux.org/[6] http://sf.net/projects/remn ux/files/

[7] http://lxde.org/

[8] http://zeltser.com/reverse-malware/remnux-malware-analysis-tips.pdf

[9] Edwards, G. P Jr., “Using REMnux to analyze PE files”, Hakin9 IT Security Magazine Vol:7 No:06 p52-55, June 2012

[10] https://www.wireshark.org/

[11] https://www.winehq.org/

[12] http://www.sans.org/course/reverse-engineering-malware-malware-analysis-tools-techniques

[13] Önal, H., “Malware Analizi Yöntem ve Araçları”, NetSec Topluluğu Buluşması 2012

[14] Hanov, S. “Static Analysis of Binary Executables”, 2007, http://stevehanov.ca/cs842_project.pdf

[15] Christodorescu, M., & Jha, S. (2006). “Static analysis of executables to detect malicious patterns”. Wisconsin Univ-Madison Dept. of Computer Sciences.

[16] Li, L., & Wang, C. (2013, January). “Dynamic analysis and debugging of binary code for security applications”. In Runtime Verification (pp. 403-423). Springer Berlin Heidelberg.

[17] Bayer, Ulrich, et al. "Dynamic analysis of malicious code." Journal in Computer Virology 2.1 (2006): 67-77.

[18] Roundy, Kevin A., & Barton P. Miller. "Hybrid analysis and control of malware." Recent Advances in Intrusion Detection. Springer Berlin Heidelberg, 2010.

[19] Robiah, Y., et al. "A new generic taxonomy on hybrid malware detection technique.", 2009.[20] Vidas, T. (2007). “The acquisition and analysis of random access memory”. Journal of Digital Forensic Practice, 1(4), 315-323.

[21] Kornblum, J. (2007). “Recovering executables with Windows Memory Analysis”.

[22] Deng, W., LIU, Q., CHENG, H., & QIN, Z. (2011). “A Malware Detection Framework Based on Kolmogorov Complexity”. Journal of Computational Information Systems, 7(8), 2687-2694.

[23] Tabish, S. M., Shafiq, M. Z., & Farooq, M. (2009, June). “Malware detection using statistical analysis of byte-level file content”. In Proceedings of the ACM SIGKDD

Workshop on CyberSecurity and Intelligence Informatics (pp. 23-31). ACM.

[24] Zeltser, L. (2001). “Reverse Engineering Malware”. Retrieved June, 13, 2010.

[25] Burji, S., Liszka, K. J., & Chan, C. C. (2010, July). “Malware analysis using reverse engineering and data mining tools”. In International Conference System Science and Engineering (ICSSE) (pp. 619-624). IEEE.

[26] Rains T., “The Threat Landscape in the Middle East and Southwest Asia – Part 2: Relatively High Malware Encounter Rates”, 13 March 2014.

http://blogs.microsoft.com/cybertrust/2014/03/13/the-threat-landscape-in-the-middle-east-and-southwest-asia-part-2-relatively-high-malware-encounter-rates/

[27] https://www.virtualbox.org/

[28] Sikorski, M., & Honig, A. (2012). “Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software”. No Starch Press.

[29] http://www.cert.at/downloads/software/bytehist_en.html