Contradef: Uma Ferramenta de Instrumentação Binária Dinâmica para Análise de Malware Evasivo

Henrique B. Campelo; Francisco S. S. Neto; Eduardo L. Feitosa

doi:10.5753/sbseg_estendido.2025.10498

Henrique B. Campelo UFAM
Francisco S. S. Neto UFAM
Eduardo L. Feitosa UFAM

DOI: https://doi.org/10.5753/sbseg_estendido.2025.10498

Resumo

A Contradef é uma ferramenta DBI, desenvolvida sobre o Intel Pin, para a análise de software evasivo, por meio de técnicas de tracing. Ela registra, em arquivos, o fluxo de instruções, os acessos à memória, as chamadas de API e outros estados internos, permitindo que esses dados sejam investigados depois da execução. Desta forma, a análise desses registros permite revelar técnicas de ofuscação e evasão, empregadas por empacotadores de software, como o VMProtect.

Referências

Coccia, G., Polino, M., Carminati, M., and Zanero, S. (2021-2022). A study of evasive behaviors in commercial packers. Master’s thesis, Politecnico di Milano.

Intel (2024). Pin 3.31 user guide. [link]. Acessado em: 21-07-2024.

Peterson, N. and Khoury, A. (2023). Evading acpi checks in commercial virtualization platforms. [link].

Polino, M., Martignoni, L., and Lanzi, A. (2017). Droidtrace: A dynamic analysis tool for android malware detection. In Proceedings of the 2017 IEEE Symposium on Security and Privacy Workshops (SPW), pages 179–185. IEEE.

Rodríguez, P. A., Santos, I., Bringas, P. G., Sanz, B., and Alvarez, G. (2016). Pintracer: A dbi-based framework for tracing malware behavior. In Proceedings of the 11th International Conference on Malicious and Unwanted Software (MALWARE), pages 107–114. IEEE.

Zhang, Q., Chen, Y., Wang, Y., Wang, S., Fan, Y., and Zeng, Q. (2023). Hermes: A dynamic binary instrumentation framework for the arm platform. ACM Transactions on Architecture and Code Optimization (TACO), 20(1):1–25.

Contradef: Uma Ferramenta de Instrumentação Binária Dinâmica para Análise de Malware Evasivo

Resumo

Referências

Artigos mais lidos do(s) mesmo(s) autor(es)