Empirische Studie zum Reverse Engineering von Windows-Malware

Abstract

Diese Arbeit beschäftigt sich mit der geringen Anwendbarkeit von bestehenden Vorgehensmodellen zum Reverse Engineering für Personen mit wenig Vorerfahrung in diesem Bereich. Über die Durchführung einer empirischen Studie zum Reverse Engineering von Windows-Malware anhand einer aktuellen Malwarevariante werden Erkenntnisse darüber gesammelt, welche Schwierigkeiten eine solche unerfahrene Person bei der Durchführung einer Analyse dieser Art entgegenstehen. Diese Erkenntnisse werden dann in ein angepasstes Vorgehensmodell übertragen, dass zur Verminderung dieser Schwierigkeiten beitragen soll. Die Ergebnisse der empirischen Studie zeigen, dass auch eine unerfahrene Person mit der in dem Vorgehensmodell eingearbeiteten Vorgehensweise bereits viele Erkenntnisse erzielen kann und die Ergebnisse in großen Teilen sogar auch mit denen einer professionellen Analyse vergleichbar sind.

This thesis deals with the limited applicability of existing reverse engineering models for people with little prior experience in this area. By conducting an empirical study on the reverse engineering of malware for Windows using a current malware variant, insights are gained into the difficulties that an inexperienced person faces when performing such an analysis. These findings are then transferred into an adapted procedure model that should help to reduce these difficulties. The results of the empirical study show that even an inexperienced person can achieve a great deal of knowledge using the procedure model and that the results are largely comparable with those of a professional analysis.