DUCHOŇ, D. Analýza a detekce vysoce obfuskovaných malware hrozeb [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2025.
Student vypracoval analyticky náročnou práci, na jejímž podkladě bylo možné úspěšně vést boj s malware. Svou podstatou vykročil za rámec bakalářského studia. Proto hodnotím A/95.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Práce nenavazuje na projektovou praxi ani nic podobného. Práce je náročná v tom, že vyžaduje hlubší znalosti, než jen na úrovni bakalářského studia, zejména z oboru reverzního inženýrství a malware. Práce byla podle mě splněna ve všech bodech a její výstupy pomohly v boji proti malware. | ||
| Práce s literaturou | Student čerpal informace a hledal zdroje sám, nebo na základě doporučených. Pracoval správně. | ||
| Aktivita během řešení, konzultace, komunikace | Student konzultoval sice občas, ale na konzultace byl připraven a případné problémy řešil vždy v předstihu. | ||
| Aktivita při dokončování | Práce byla dokončena včas, s dostatečnou rezervou, a obsah byl konzultován. | ||
| Publikační činnost, ocenění | Práce je v režimu utajení, takže nelze výstupy, ač prakticky s celosvětovým dopadem, komunikovat. |
Student prokázal dobrou orientaci v problematice, provedená analýza malware a navržená pravidla jsou funkční. Celkou úroveň práce sráží textová část a některé nedostatečně pokryté části.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | |||
| Rozsah splnění požadavků zadání | Všechny body zadání byly splněny. Hlavní výtku mám k realizaci bodu testování efektivnosti pravidel, který byl realizován, ale jeho popsání v práci je extrémně stručné. | ||
| Rozsah technické zprávy | Rozsah technické zprávy odpovídá požadavkům na bakalářskou práci. | ||
| Prezentační úroveň technické zprávy | 65 | Logická struktura práce je na dobré úrovni. Autor vhodným způsobem představuje řešenou bezpečnostní problematiku, nicméně některé části jsou poměrně stručné. Kap. 2 má nevhodnou organizace, obsahuje jen velmi stručný přehled bez detailnějšího zpracování. Nicméně v dalších kapitolách je předložen detailnější popis skupiny malware typu cryptic. Ten je doplněn detailní analýzou vybraných představitelů dané rodiny malware. Následuje analýza, jak lze zjištěné vlastnosti zjištěné během analýzy začlenit to YARA pravidel. Závěrem autor prezentuje výsledky efektivnosti navrřených pravidel, nicméně zcela chybí popis prostředí, kde byla pravidla nasazena, po jakou dobu byla aplikována atp. | |
| Formální úprava technické zprávy | 75 | Jazyková a stylistická stránka práce i úroveň typografie je na dobré úrovni. Obsahuje občasné typografické chyby (např. reference za tečkou ve větě) a malé množství jazykových chyb, nicméně práce je ve slovenštině, takže nejsem schopen posoudit gramatickou stránku práce do hlubšího detailu. | |
| Práce s literaturou | 65 | Použité reference jsou relevantní nicméně je jich spíše menší počet. | |
| Realizační výstup | 85 | Realizačním výstupem práce je 17 YARA pravidel zaměřených na 14 rodin malware typu Cryptic. Efektivita těchto pravidel je pak popsána v kap. 8. kdy byly otestovány nad množstvím vzorků malware. Pravidla jsou funkční nicméně výsledky nejsou prezentovány dobrým způsobem, použitá agregované tabulky by zlepšilo orientaci v textu. Autor uvádí absolutní čísla detekce, bez bližšího vysvětlení prostředí a toho, jak k číslům došel. Zcela chybí popis prostředí, kde byla pravidla nasazena, po jakou dobu byla aplikována atp. Předpokládám, že vše proběhlo na infrastruktuře GEN, nicméně bez toho detailu nelze výsledky nijak ověřit. | |
| Využitelnost výsledků | Z kontextu předpokládám, že výsledky jsou již zapracovány v rámci f. GEN, nicméně autor se k následné aplikaci nevyjadřuje. |
eVSKP id 163358