Review of Signature-based Techniques in Antivirus Products

Alasli, Mohammed; Ghaleb, Taher Ahmed

doi:10.1109/iccisci.2019.8716381

Cited by 34 publications

(16 citation statements)

References 40 publications

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…Günümüzde farklı yöntemler temelinde inşa edilen çeşitli antivirüs yazılımları bulunmakla birlikte mevcut antivirüs yazılımlarının en temel bileşenlerinden biri sahip olduğu imza veri tabanıdır [15]. İmza temelli güvenlik çözümlerinde her bir kötücül yazılıma karşılık gelen bir imza, veri tabanında tutulmakta ve tarama esnasında veri tabanında tutulan bu imzalar incelenen dosya ve programlar ile karşılaştırılmaktadır [16].…”

Section: Kötücül Yazılım Tespit Yöntemleri (Malware Detection Methods)unclassified

Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması

Aygör¹,

Aktan²

2021

Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi

View full text Add to dashboard Cite

Kötücül yazılımlar, süregelen evrimi nedeniyle günümüzde de birçok bilgisayarı etkilemeye devam etmektedir. Kötücül yazılımların amacı hedef sistemleri manipüle etmek olduğundan, bu amacın önündeki en büyük engellerden biri konumunda olan antivirüs yazılımlarının atlatılması için birçok yöntem geliştirilmiştir. Bu çalışmada; kod enjeksiyonu, anti-dinamik modifikasyon ve şifreleme adımlarından oluşan deneysel metotla manipüle edilen masum bir programın, imza ve dinamik analiz temelli antivirüs yazılımlarını büyük ölçüde atlatabildiği gösterilmiştir. Masum bir program olarak Notepad++ metin editörü, kötücül kod üretmek için Metasploit zafiyet analiz ve test çatısı, anti-dinamik modifikasyon için Ollydbg hata ayıklayıcısı ve kötücül yazılım analizi için Virustotal platformu kullanılmıştır. Virustotal sonuçlarına bakıldığında; masum program içerisine enjekte edilmiş kötücül kod başlangıçta 30/67 adet antivirüs yazılımı tarafından tespit edilmiş, fakat anti-dinamik modifikasyon ve şifreleme uygulandıktan sonra bu değer, sırasıyla 9/67 ve 4/66 adede düşmüştür. Özetle birçok antivirüs yazılımının, farklı anti-tespit yöntemleri ile atlatılabildiği anlaşılmıştır. Bu sonuç, mevcut antivirüs çözümlerinin yanı sıra kum havuzu teknolojisi gibi farklı güvenlik yaklaşımlarına ihtiyaç olduğunu ortaya koymaktadır.

show abstract

Section: Kötücül Yazılım Tespit Yöntemleri (Malware Detection Methods)unclassified

Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması

Aygör¹,

Aktan²

2021

Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi

View full text Add to dashboard Cite

show abstract

“…Two main types of intrusion detection algorithms can be distinguished: an approach based on the predefined attack’s signature [ 12 ] and methods analysing behaviours to detect anomalies [ 13 , 14 ]. The second group contains heuristic algorithms reviewed by Kenny et al.…”

Section: Related Workmentioning

confidence: 99%

Multivariable Heuristic Approach to Intrusion Detection in Network Environments

Niemiec

Kościej

Gdowski

2021

Entropy

View full text Add to dashboard Cite

The Internet is an inseparable part of our contemporary lives. This means that protection against threats and attacks is crucial for major companies and for individual users. There is a demand for the ongoing development of methods for ensuring security in cyberspace. A crucial cybersecurity solution is intrusion detection systems, which detect attacks in network environments and responds appropriately. This article presents a new multivariable heuristic intrusion detection algorithm based on different types of flags and values of entropy. The data is shared by organisations to help increase the effectiveness of intrusion detection. The authors also propose default values for parameters of a heuristic algorithm and values regarding detection thresholds. This solution has been implemented in a well-known, open-source system and verified with a series of tests. Additionally, the authors investigated how updating the variables affects the intrusion detection process. The results confirmed the effectiveness of the proposed approach and heuristic algorithm.

show abstract

“…In this way, signature-based approaches can be applied for future analysis. 30 During this phase, the EXE is analyzed similarly to the scanner analysis. In detail, heuristic analysis tries to characterize the behavior of a given executable file to identify any potentially dangerous patterns.…”

Section: Heuristic Analysismentioning

confidence: 99%

“…The main advantage of heuristic‐based analysis is that if the malware got identified successfully, its signature would be added to the signatures database . In this way, signature‐based approaches can be applied for future analysis 30 . During this phase, the EXE is analyzed similarly to the scanner analysis.…”

Section: Introductionmentioning

confidence: 99%

On the undetectability of payloads generated through automatic tools: A human‐oriented approach

Carpentieri

Castiglione

Palmieri

et al. 2021

Concurrency and Computation

View full text Add to dashboard Cite

Nowadays, several tools have been proposed to support the operations performed during a security assessment process. In particular, it is a common practice to rely on automated tools to carry out some phases of this process in an automatic or semiautomatic way. In this article, we focus on tools for the automatic generation of custom executable payloads. Then, we will show how these tools can be transformed, through some human-oriented modifications on the generated payloads, into threats for a given asset's security. The danger of such threats lies in the fact that they may not be detected by common antivirus (AVs). More precisely, in this article, we show a general approach to make a payload generated through automated tools run undetected by most AVs. In detail, we first analyze and explain most of the methods used by AVs to recognize malicious payloads and, for each one of them, we outline the relative strengths and flaws, showing how these flaws could be exploited using a general approach to evade AVs controls, by performing simple human-oriented operations on the payloads. The testing activity we performed shows that our proposal is helpful in evading virtually all the most popular AVs on the market. Therefore, low-skilled malicious users could easily use our approach.

show abstract

Review of Signature-based Techniques in Antivirus Products

Cited by 34 publications

References 40 publications

Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması

Kötücül yazılımların tespitinde imza temelli ve dinamik analiz yöntemlerinin zayıflıkları: Örnek olay çalışması

Multivariable Heuristic Approach to Intrusion Detection in Network Environments

On the undetectability of payloads generated through automatic tools: A human‐oriented approach

Contact Info

Product

Resources

About