Kerneltason haittaohjelmien tunnistusmenetelmät

Kandidaatintutkielma
avoin
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
Lataukset9

Verkkojulkaisu

DOI

Tiivistelmä

Tietokoneen käyttöjärjestelmän ytimen eli kernelin tehtävänä on hallita järjestelmän resursseja. Tämän vuoksi kerneltasolla toimivat haittaohjelmat ovat erittäin vaarallisia, sillä niillä on rajoittamattomat käyttöoikeudet järjestelmässä. Käyttöoikeuksien ansiosta myös niiden tunnistaminen on haastavampaa kuin perinteisten haittaohjelmien. Kerneltasolla toimiva haittaohjelma pystyy piilottamaan omaa toimintaansa, joten perinteiset haittaohjelmien tunnistusmenetelmät eivät havaitse niitä. Tässä kirjallisuuskatsauksessa tarkastellaan kerneltason haittaohjelmien tunnistusmenetelmiä. Työssä käydään läpi, millaisia tekniikoita kerneltason haittaohjelmat käyttävät sekä millaisin menetelmin kerneltason haittaohjelmat voidaan tunnistaa. Tavoitteena on muodostaa kokonaiskuva menetelmien toimintaperiaatteista, vahvuuksista ja keskeisistä rajoitteista. Työssä tunnistusmenetelmät jaettiin neljään kategoriaan: muistianalyysiin perustuva tunnistaminen, allekirjoituspohjainen tunnistaminen, toimintaperusteinen tunnistaminen sekä kernelobjekteihin perustuva tunnistautuminen. Tarkastelun perusteella yksittäinen tunnistusmenetelmä ei riitä kattamaan kaikkia kerneltason haittaohjelmien tunnistamiseen liittyviä tilanteita. Jokaisella menetelmällä on omat rajoitteensa ja työssä todettiin, että kattava tunnistus edellyttää kokonaisuuksia, jotka yhdistävät menetelmiä.

item.page.okmtext