Ir al contenido principal

Detección de Malware usando los contadores hardware


Os dejo una parte de mi proyecto de fin de master (muchas gracias a Jordi Serra por ser mi director de proyecto). Se llama Anomaly Detection For Malware Identification Using Hardware Performance Counters.
La idea principal es que es posible, usando aprendizaje automático (machine learning), en concreto las técnicas de detección de anomalías, detectar comportamientos extraños en la ejecución de un software (normalmente el malware trata de desbordar la pila o algún buffer del programa). El algoritmo usa los contadores hardware de los micros modernos para analizar el comportamiento del ejecutable. Os dejo con el artículo.


Comentarios

Publicar un comentario

Entradas populares de este blog

Criptografía en Python con PyCrypto

A la hora de cifrar información con Python, tenemos algunas opciones, pero una de las más fiables es la librería criptográfica PyCrypto, que soporta funciones para cifrado por bloques, cifrado por flujo y cálculo de hash. Además incorpora sus propios generadores de números aleatorios. Seguidamente os presento algunas de sus características y también como se usa.


Desbordamiento de enteros (Integer Overflow)

Ya os he hablado en este blog de posibles problemas potenciales que se pueden dar en los programas y que son susceptibles de ser explotados para hacer que dichos programas se comporten de forma diferente a la que deberían. Uno de estos problemas es el del desbordamiento de la pila. Sin embargo, hay otros posibles errores de programación que, aunque menos obvios, son igual de peligrosos. Uno de ellos es el desbordamiento de enteros o integer overflow. Para entender cómo funciona os presento un ejemplo muy sencillo pero didáctico.

Creando firmas de virus para ClamAV

ClamAv es un antivirus opensource y multiplataforma creado por Tomasz Kojm muy utilizado en los servidores de correo Linux. Este antivirus es desarrollado por la comunidad, y su utilidad práctica depende de que su base de datos de firmas sea lo suficientemente grande y actualizado. Para ello es necesario que voluntarios contribuyan activamente aportando firmas.
El presente artículo pretende describir de manera sencilla cómo crear firmas de virus para ClamAV y contribuir con ellas a la comunidad.