Pokročilá analýza toku řízení v malware
Loading...
Date
Authors
Porwolik, Tomáš
Advisor
Referee
Mark
B
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
ORCID
Abstract
Tato bakalářská práce se zabývá nástrojem pro zpětný překlad strojového kódu na vyšší programovací jazyk. Tento nástroj je vyvíjen v rámci projektu Lissom. Cílem práce je zavedení pokročilé analýzy toku řízení. Zaměřuje se především na zpětnou rekonstrukci příkazu switch a volání funkce přes ukazatel. Dané problémy jsou v práci vyřešeny zavedením nových metod analýzy toku řízení. Jsou zde podrobně rozebrány a je navrženo řešení, které je implementováno a otestováno. Vytvořené řešení umožňuje úspěšně zpětně rekonstruovat příkaz switch ve většině případů výskytů, a také volání funkce přes ukazatel v jednodušších případech výskytů. Přínosem této práce je vylepšení nástroje pro zpětný překlad, kdy jsou zpětně překládány programy, které zmíněné pokročilé konstrukce využívají.
This thesis deals with the tool for decompilation of binary code to high-level programming language. This tool is being developed within the project Lissom. The aim of this work is the implementation of advanced analysis in control flow. This work is focused on reconstruction the switch statement and calling function through pointer. These problems are solved by adding new methods to control flow analysis. They are described in detail and solution is proposed, implemented and tested. Created solution allows reconstruct the switch statement in most cases and calling function through pointer in simpler cases. The contribution of this work is an improvement of the tool for decompilation in case that decompiled programs use these advanced structures.
This thesis deals with the tool for decompilation of binary code to high-level programming language. This tool is being developed within the project Lissom. The aim of this work is the implementation of advanced analysis in control flow. This work is focused on reconstruction the switch statement and calling function through pointer. These problems are solved by adding new methods to control flow analysis. They are described in detail and solution is proposed, implemented and tested. Created solution allows reconstruct the switch statement in most cases and calling function through pointer in simpler cases. The contribution of this work is an improvement of the tool for decompilation in case that decompiled programs use these advanced structures.
Description
Keywords
Citation
PORWOLIK, T. Pokročilá analýza toku řízení v malware [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2014.
Document type
Document version
Date of access to the full text
Language of document
cs
Study field
Informační technologie
Comittee
prof. RNDr. Alexandr Meduna, CSc. (předseda)
doc. Ing. Zdeněk Kotásek, CSc. (místopředseda)
Ing. František Grézl, Ph.D. (člen)
Ing. Martin Hrubý, Ph.D. (člen)
RNDr. Marek Rychlý, Ph.D. (člen)
Date of acceptance
2014-06-18
Defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm B. Otázky u obhajoby: Je pri preklade príkazu switch na architektúru Intel x86 nejaký rozdiel medzi prekladačmi založenými na gcc a prekladačom jazyka C v programe Microsoft Visual Studio?
Result of defence
práce byla úspěšně obhájena