RYBÁR, M. Skrývání a obfuskace malwaru za účelem obejití antiviru [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2022.

Posudky

Posudek vedoucího

Casanova-Marqués, Raúl

Zadání práce považuji za splněné pouze z části. Student dle zadání implementoval obfuskátor malwaru založený na šifrování. Student se však nedržel pokynů vedoucího práce a při implementaci zvolil vlastní řešení. Toto řešení však nesplňuje požadavky zadání. Při experimentálních testech vykazovaly některé vzorky obfuskovaného malwaru významný nárůst antivirové detekce, tj. nezašifrovaný malware byl detekován menším počtem antivirů. Některé vzorky, které neobsahovaly malware a byly vyhodnoceny dvěma antiviry jako škodlivý kód, byly po obfuskaci vyhodnoceny jako škodlivé více než dvaceti antiviry. Tyto testy však nejsou v textu práce zmíněny. Při výběru šifrovacího algoritmu student vybral algoritmus AES, aniž by analyzoval i jiné možnosti šifrování či kódování (DES, 3DES, XOR, BASE64). Řešení ve formě hledání dešifrovacího klíče hrubou silou (ang. brute-force) nepovažuji za vhodné. Toto řešení pouze zavádí signatury malwaru snadno detekovatelné antiviry. Student investoval značné úsilí do implementace šifrátoru napsaného v jazycích C a ASM. Obfuskační techniky však nejsou v textu práce popsány a žádný z přístupů detekce malware popsaných v dokumentu nebyl brán v potaz v rámci praktické části. Student konzultoval pouze zřídka a nedržel se rad a doporučení vedoucího práce. Po formální stránce je práce na nižší úrovni. Použití literatury v textu je slabší. Kapitola 1 je postavena na jednom zdroji. V seznamu použité literatury student uvádí literaturu, na kterou se v textu neodkazuje. Celkově tedy práci doporučuji k obhajobě s hodnocením D (60 bodů).

Navrhovaná známka
D
Body
60

Posudek oponenta

Dzurenda, Petr

Cíle bakalářské práce považuji za splněné. Student dle zadání nastudoval problematiku souborových formátů PE a PE+, vytvořil aplikaci umožňující obfuskaci škodlivého kódu založenou na šifrování a ověřil její účinnost pomocí nástrojů pestudio a VirusTotal. Oproti požadavkům zadání se však podařilo snížit detekci malware pouze o cca 50 %. Po odborné stránce obsahuje práce několik nedostatků. V teoretické části nejsou rozebrány žádné existující obfuskační techniky nutné pro praktickou část práce. Praktická část je psána velmi obecně bez detailnějších informací o způsobu implementace, tj. jak je generován šifrovací klíč, co bylo implementováno a jak v jazyce C a assembleru, chybí diagramy a části zdrojového kódu popisující samotnou implementaci. Interpretace výsledků a jejich diskuse je slabší. Z experimentálních testů není zřejmé, zda je obfuskovaná aplikace opravu funkční. Na základě výstupů analýzy pomocí VirusTotal došlo pouze k 50 % snížení detekovatelnosti malware. Důvody a řešení však nejsou diskutovány. Po formální stránce má práce několik nedostatků. Nejsou definovány zkratky při prvním výskytu, v textu se objevují překlepy, kapitola 1 (o délce 14 stran) vychází z jednoho zdroje, student používá nejasné citování použitých zdrojů, některé zdroje v použité literatuře nejsou v textu použity viz např. [19], [15], [13], obrázky mají špatné rozlišení. Práci tedy doporučuji k obhajobě s hodnocením D (65 bodů).

Navrhovaná známka
D
Body
65

Otázky

eVSKP id 141348