Seguridad en redes y aplicaciones distribuidas: análisis de la detección de emulación basada en tiempos

Abstract

El objetivo de este trabajo de fin de master es analizar las técnicas de detección de emulación basada en el análisis de tiempos de ejecución que podrían ser usadas por el malware, buscar una solución general para evitar las detecciones mencionadas, e implementar una prueba de concepto que permita evaluar la viabilidad de la solución propuesta. Se han desarrollado diversos ejemplos de detección, concluyendo que una solución sería que el emulador incorporase a la emulación aspectos relativos a la implementación de la arquitectura. Se ha desarrollado una prueba de concepto basada en la solución propuesta, y se ha comprobado que dicha prueba de concepto es capaz de evitar la detección de todos los ejemplos presentados.

The goal of this master's thesis is to analyze time based emulation detection techniques who could be used by malware, propose a general solution to avoid those detection techniques and implement a proof of concept to assess the viability of the proposed solution. Several detection examples have been developed, inferring that a plausible solution could be to incorporate arquitectural implementation details to the emulation. A proof of concept has been developed based on the proposed solution, and it has been proven that it is able to avoid the detection of the provided detection examples.

L'objectiu d'aquest treball de fi de màster és analitzar les tècniques de detecció d'emulació basades en l'anàlisi de temps d'execució que podrien ser utilitzades pel malware, buscar un general de solució per evitar les deteccions esmentades i implementar una prova de concepte que permet avaluar la viabilitat de la solució proposta. S'han desenvolupat diversos exemples de detecció, concloent que una solució seria que l'emulador incorporés a l'emulació aspectes relatius a la implementació de l'arquitectura. S'ha desenvolupat una prova de concepte basada en la solució proposta, i s'ha comprovat que aquest prova de concepte és capaç d'evitar la detecció de tots els exemples presentats.