Generic unpacking using entropy analysis

Jeong, Guhyeon; Choo, Euijin; Lee, Joosuk; Bat-Erdene, Munkhbayar; Lee, Heejo

doi:10.1109/malware.2010.5665789

Cited by 34 publications

(22 citation statements)

References 7 publications

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…Packing algorithms are the double-edged sword; they are extensively used in packing malware (Jeong et al [33], Ugarte-Pedrero et al [25], Bat-Erdene et al [2]) and are also responsible for protecting genuine software from reverse engineering. A packed executable has an encoded data section.…”

Section: To Use Packing Algorithms Benign and Malwarè`mentioning

confidence: 99%

See 1 more Smart Citation

Packer Detection for Multi-Layer Executables Using Entropy Analysis

Bat-Erdene

Kim

Park

et al. 2017

Entropy

Self Cite

View full text Add to dashboard Cite

Packing algorithms are broadly used to avoid anti-malware systems, and the proportion of packed malware has been growing rapidly. However, just a few studies have been conducted on detection various types of packing algorithms in a systemic way. Following this understanding, we elaborate a method to classify packing algorithms of a given executable into three categories: single-layer packing, re-packing, or multi-layer packing. We convert entropy values of the executable file loaded into memory into symbolic representations, for which we used SAX (Symbolic Aggregate Approximation). Based on experiments of 2196 programs and 19 packing algorithms, we identify that precision (97.7%), accuracy (97.5%), and recall ( 96.8%) of our method are respectively high to confirm that entropy analysis is applicable in identifying packing algorithms.

show abstract

Section: To Use Packing Algorithms Benign and Malwarè`mentioning

confidence: 99%

“…Entropy is a method for measuring uncertainty in a series of information units (Jeong et al [33], Bat-Erdene et al [2] and Vapnik et al [41,42]). Measuring the entropy pattern during unpacking process refers to determining the entropy value of re-packed or multi-layer packed executable.…”

Section: Entropy Analysis and Measurementmentioning

confidence: 99%

Packer Detection for Multi-Layer Executables Using Entropy Analysis

Bat-Erdene

Kim

Park

et al. 2017

Entropy

Self Cite

View full text Add to dashboard Cite

show abstract

“…Packer [5,6] là một công cụ phần mềm dùng để đóng gói một tập tin. Packer có 3 mục tiêu cụ thể đƣợc mô tả nhƣ sau.…”

Section: A Giới Thiệu Packerunclassified

Sử Dụng Phương Pháp Hình Thức Để Nhận Dạng Packer

Hải¹,

Phong²,

Thơ³

2017

Fair - Nghiên Cứu Cơ Bản Và Ứng Dụng Công Nghệ Thông Tin - 2016

View full text Add to dashboard Cite

Từ khóa-Phân tích virus, an toàn thông tin, phương pháp hình thức, packer. I. GIỚI THIỆUMalwares là những chƣơng trình máy tính độc hại xâm nhập vào hệ thống một cách trái phép với mục tiêu là ăn cắp thông tin, phá hủy hay làm hƣ hỏng hệ thống [1]. Những chƣơng trình malware này gây ra những thiệt hại to lớn về mặt tiền bạc đối với các cá nhân, tổ chức và các cơ quan chính phủ. Malware đƣợc chia thành nhiều loại khác nhau nhƣ: virus, trojan horse, spammer…Có 2 phƣơng pháp chính để phát hiện malware, có thể kể đến phƣơng pháp nhận diện chữ ký (signature recognition) và mô phỏng (emulation) quá trình thực thi chƣơng trình trong môi trƣờng có kiểm soát, thƣờng là hộp cát (sandbox). Signature recognition là kỹ thuật nhận diện malare thông qua những cấu trúc mẫu bit đặc trƣng của malware này. Kỹ thuật này đƣợc áp dụng rất rộng rãi trong công nghiệp và đạt đƣợc những thành công to lớn. Tuy nhiên, hiện nay signature detection gặp phải khó khăn lớn do những virus thế hệ mới áp dụng những kỹ thuật rắc rối hóa (obfuscation technique) để làm thay đổi chữ ký đặc trƣng [2]. Ý tƣởng chính của emulation là xây dựng một sandbox để khám phá hành vi của malware, bằng cách mô phỏng toàn bộ quá trình thực thi của hệ thống và đặc biệt là hoạt động của APIs [3,15]. Tuy nhiên, đây là một kỹ thuật rất phức tạp, tốn thời gian và đòi hỏi chi phí lớn.Hầu hết các malware hiện nay đều đƣợc đóng gói bằng các chƣơng trình đóng gói (packer) [4]. Packer là một chƣơng trình chuyển đổi mã nhị phân của chƣơng trình thành một chƣơng trình thực thi khác. Chƣơng trình thực thi mới này vẫn gìn giữ những tính năng nguyên bản nhƣng có nội dung hoàn toàn khác nhau khi đƣợc lƣu trữ. Chính vì điều này đã làm cho kỹ thuật quét signature không thể liên kết giữa 2 phiên bản này. Theo thống kê trên [4], 80% malware đƣợc nén bởi rất nhiều loại packers khác nhau. Những packer thông dụng nhất có thể kể đến UPX 1 , PECOMPACT 2 , TELOCK 3 , FSG 4 và YODA"s Crypter 5 . Đa phần các chƣơng trình nhận dạng packer hiện nay nhƣ Peid 6 đều dựa trên chữ ký để kiểm tra. Tuy nhiên, do các hacker có thể tùy chỉnh (modify) chữ ký của packer, phƣơng pháp này sẽ dễ dàng bị đánh bại khi đƣợc áp dụng trong phân tích malware thực.Trong bài báo này, chúng tôi đề xuất một hƣớng tiếp cận mới để nhận diện packer. Chúng tôi sử dụng phƣơng pháp hình thức nhằm nhận dạng packed malware bằng cách kết hợp giữa hai công cụ, BE-PUM để xây dựng CFG và công cụ kiểm tra mô hình NUSMV. Để kiểm chứng tính hiệu quả của hƣớng tiếp cận này, chúng tôi đã tiến hành thí nghiệm trên tập 3250 malware khác nhau. Cấu trúc bài báo đƣợc mô tả nhƣ sau. Phần 2 giới thiệu ngắn gọn những kiến thức nền tảng về Packer, BE-PUM và công cụ NuSMV. Phần 3 trình bày phƣơng pháp đề xuất để nhận dạng packer. Trong phần 4, chúng tôi giới thiệu về thí nghiệm và phần 5 trình bày kết luận và một số hƣớng nghiên cứu trong tƣơng lai.

show abstract

“…Benninger et al [22] and Deng et al [23] independently propose that type of analysis environments by customizing Xen and KVM, respectively. Kawakoya et al [10] focus on memory access 'write', 'read', and 'execute' of packed programs to detect the OEP, and Jeong et al [24] focus on entropy scores in each section of a packed program on the memory to do so. Kim et al [11] focus on a write-execute transition to spot more likely OEP candidates.…”

Section: Related Workmentioning

confidence: 99%

An Original Entry Point Detection Method with Candidate-Sorting for More Effective Generic Unpacking

Isawa

Inoue

Nakao

2015

IEICE Trans. Inf. & Syst.

View full text Add to dashboard Cite

SUMMARYMany malware programs emerging from the Internet are compressed and/or encrypted by a wide variety of packers to deter code analysis, thus making it necessary to perform unpacking first. To do this task efficiently, Guo et al. proposed a generic unpacking system named Justin that provides original entry point (OEP) candidates. Justin executes a packed program, and then it extracts written-and-executed points caused by the decryption of the original binary until it determines the OEP has appeared, taking those points as candidates. However, for several types of packers, the system can provide comparatively large sets of candidates or fail to capture the OEP. For more effective generic unpacking, this paper presents a novel OEP detection method featuring two mechanisms. One identifies the decrypting routine by tracking relations between writing instructions and written areas. This is based on the fact that the decrypting routine is the generator for the original binary. In case our method fails to detect the OEP, the other mechanism sorts candidates based on the most likely candidate so that analysts can reach the correct one quickly. With experiments using a dataset of 753 samples packed by 25 packers, we confirm that our method can be more effective than Justin's heuristics, in terms of detecting OEPs and reducing candidates. After that, we also propose a method combining our method with one of Justin's heuristics.

show abstract

Generic unpacking using entropy analysis

Cited by 34 publications

References 7 publications

Packer Detection for Multi-Layer Executables Using Entropy Analysis

Packer Detection for Multi-Layer Executables Using Entropy Analysis

Sử Dụng Phương Pháp Hình Thức Để Nhận Dạng Packer

An Original Entry Point Detection Method with Candidate-Sorting for More Effective Generic Unpacking

Contact Info

Product

Resources

About