Detail výsledku

Design of a Retargetable Decompiler for a Static Platform-Independent Malware Analysis

ĎURFINA, L.; KŘOUSTEK, J.; ZEMEK, P.; KOLÁŘ, D.; HRUŠKA, T.; MASAŘÍK, K.; MEDUNA, A. Design of a Retargetable Decompiler for a Static Platform-Independent Malware Analysis. The 5th International Conference on Information Security and Assurance. Communications in Computer and Information Science, Volume 200. Brno: Springer Verlag, 2011. p. 72-86. ISBN: 978-3-642-23140-7.
Typ
článek ve sborníku konference
Jazyk
anglicky
Autoři
Ďurfina Lukáš, Ing., Ph.D., UIFS (FIT)
Křoustek Jakub, Ing., Ph.D., UIFS (FIT)
Zemek Petr, Ing., Ph.D., UIFS (FIT)
Kolář Dušan, doc. Dr. Ing., UIFS (FIT)
Hruška Tomáš, prof. Ing., CSc., CIS ‒ Kancelář ředitele (CIS), UIFS (FIT)
Masařík Karel, Ing., Ph.D., UIFS (FIT)
Meduna Alexandr, prof. RNDr., CSc., UIFS (FIT)
Abstrakt

Together with the massive expansion of smartphones, tablets, and other smart devices, we can notice a growing number of malware threats targeting these platforms. Software security companies are not prepared for such diversity of target platforms and there are only few techniques for platform-independent malware analysis. This is a major security issue these days. In this paper, we propose a concept of a retargetable reverse compiler (i.e. a decompiler), which is in an early stage of development. The retargetable decompiler transforms platform-specific binary applications into a high-level language (HLL) representation, which can be further analyzed in a uniform way. This tool will help with a static platform-independent malware analysis. Our unique solution is based on an exploitation of two systems that were originally not intended for such an application - the architecture description language (ADL) ISAC for a platform description and the LLVM Compiler System as the core of the decompiler. In this study, we show that our tool can produce highly readable HLL code.

Klíčová slova

decompilation, reverse engineering, malware, LLVM, Lissom, ISAC

URL
Rok
2011
Strany
72–86
Sborník
The 5th International Conference on Information Security and Assurance
Řada
Communications in Computer and Information Science, Volume 200
Konference
The 5th International Conference on Information Security and Assurance
ISBN
978-3-642-23140-7
Vydavatel
Springer Verlag
Místo
Brno
DOI
10.1007/978-3-642-23141-4_8
BibTeX 
@inproceedings{BUT76329,
  author="Lukáš {Ďurfina} and Jakub {Křoustek} and Petr {Zemek} and Dušan {Kolář} and Tomáš {Hruška} and Karel {Masařík} and Alexandr {Meduna}",
  title="Design of a Retargetable Decompiler for a Static Platform-Independent Malware Analysis",
  booktitle="The 5th International Conference on Information Security and Assurance",
  year="2011",
  series="Communications in Computer and Information Science, Volume 200",
  pages="72--86",
  publisher="Springer Verlag",
  address="Brno",
  doi="10.1007/978-3-642-23141-4\{_}8",
  isbn="978-3-642-23140-7",
  url="http://link.springer.com/chapter/10.1007%2F978-3-642-23141-4_8"
}
Projekty
National Support for Project Smart Multicore Embedded SYstems, MŠMT, Společné technologické iniciativy, 7H10014, zahájení: 2010-02-01, ukončení: 2013-01-31, řešení
Pokročilé rozpoznávání a prezentace multimediálních dat, VUT, Vnitřní projekty VUT, FIT-S-11-2, zahájení: 2011-01-01, ukončení: 2013-12-31, ukončen
Systém pro podporu platformě nezávislé analýzy škodlivého kódu ve spustitelných souborech, TAČR, Program aplikovaného výzkumu a experimentálního vývoje ALFA, TA01010667, zahájení: 2011-01-01, ukončení: 2013-12-31, ukončen
Systém pro programování a realizaci vestavěných systémů, MPO, TIP, FR-TI1/038, zahájení: 2009-07-01, ukončení: 2013-06-30, ukončen
Výzkum informačních technologií z hlediska bezpečnosti, MŠMT, Institucionální prostředky SR ČR (např. VZ, VC), MSM0021630528, zahájení: 2007-01-01, ukončení: 2013-12-31, řešení
Výzkumné skupiny
Výzkumná skupina formálních modelů (VZ FM)
Výzkumná skupina Hardware-Software Codesign (VZ LISSOM)
Pracoviště
Ústav informačních systémů (UIFS)
Nahoru