Entwicklung und Evaluierung eines generischen Verfahrens für Malware-Scanner zum Entpacken geschützter Schadprogramme

Abstract

Bekannte Schadprogramme können mittels sogenannter Laufzeitpacker mit minimalem Aufwand vor einer Wiedererkennung durch Malware-Scanner geschützt werden. Damit ist eine nahezu unbegrenzt häufige Wiederverwendung einmal entwickelter Schadprogramme möglich. Das im Rahmen dieser Arbeit entwickelte generische Verfahren soll so geschützte Schadprogramme in ihre ursprüngliche und damit erkennbare Form rücktransformieren. Dies ist nicht in jedem Fall möglich, da einige hierbei zu lösende Probleme auf das nicht lösbare Halteproblem reduziert werden können. Um dennoch in vielen Fällen korrekte Ergebnisse erzielen zu können, wurden die in dieser Arbeit entwickelten Heuristiken angewendet. Anhand der Tests, die mit dem hier entwickelten Prototyp durchgeführt wurden, konnte gezeigt werden, dass eine hohe Erfolgsquote bei der Rücktransformation erreicht werden kann.