Разработка системы автоматического анализа алгоритма приложений в системах под управлением ОС Windows
Аннотация
Аннотация к выпускной квалификационной работе
Тема: «Разработка системы автоматического анализа алгоритма приложений в системах под управле-нием ОС Windows»
Автор работы: Копейцев Вячеслав Ефимович, студент департамента математики, механики и компь-ютерных наук ИЕНиМ УрФУ.
Научный руководитель: Веретенников Александр Борисович, к.ф.-м.н, доцент кафедры вычислитель-ной математики и компьютерных наук ИЕНиМ УрФУ.
Анализ алгоритма приложения в условиях отсутствия исходного кода программы является одной из
актуальных задач в целом ряде областей компьютерных наук. В частности, решение данной задачи
необходимо для выявления деструктивной активности вредоносного ПО, оценки нагрузки на си-стему, тестирования приложений на соответствие техническим требованиям и сравнения эффектив-ности работы различных приложений.
Автором создана система для решения описанных задач с использованием так называемого «монито-ринга активности». Монитор активности не анализирует непосредственно код программы, а логирует
воздействие программы на систему, что позволяет проводить подобный анализ для приложений в
автоматическом режиме вне зависимости от их специфики и выдавать специалисту готовый отчёт о
действиях программы. Созданная система использует новые возможности современных версий ОС
Windows. В ходе работы обнаружены и решены проблемы, ранее не описанные в соответствующей
литературе, и реализованы возможности, отсутствующие в существующих решениях.
Система включает в себя три драйвера режима ядра, осуществляющих мониторинг файловой си-стемы, сетевой активности и работы с реестром, в ходе создания которых было предложено решение
следующих задач: получение данных о процессе-инициаторе операции, корректное получение сим-вольных имён устройств, оптимизация нагрузки на систему путём организации очередей событий в
пространстве ядра. Кроме того, в работе представлена собственная модификация алгоритма взаимо-действия приложения пользовательского режима и драйверов режима ядра, позволяющая добиться
высокой производительности при передаче больших объёмов данных.
Проведёны эксперименты, два из которых позволили успешно выявить деструктивную активность
вредоносного ПО. Третий эксперимент показал различия в моделях ввода-вывода двух приложений:
Far и Hiew. На представленных результатах видно, что авторы указанных приложений избрали раз-личные стратегии выполнения поиска вхождения последовательности символов в файле.
Тема: «Разработка системы автоматического анализа алгоритма приложений в системах под управле-нием ОС Windows»
Автор работы: Копейцев Вячеслав Ефимович, студент департамента математики, механики и компь-ютерных наук ИЕНиМ УрФУ.
Научный руководитель: Веретенников Александр Борисович, к.ф.-м.н, доцент кафедры вычислитель-ной математики и компьютерных наук ИЕНиМ УрФУ.
Анализ алгоритма приложения в условиях отсутствия исходного кода программы является одной из
актуальных задач в целом ряде областей компьютерных наук. В частности, решение данной задачи
необходимо для выявления деструктивной активности вредоносного ПО, оценки нагрузки на си-стему, тестирования приложений на соответствие техническим требованиям и сравнения эффектив-ности работы различных приложений.
Автором создана система для решения описанных задач с использованием так называемого «монито-ринга активности». Монитор активности не анализирует непосредственно код программы, а логирует
воздействие программы на систему, что позволяет проводить подобный анализ для приложений в
автоматическом режиме вне зависимости от их специфики и выдавать специалисту готовый отчёт о
действиях программы. Созданная система использует новые возможности современных версий ОС
Windows. В ходе работы обнаружены и решены проблемы, ранее не описанные в соответствующей
литературе, и реализованы возможности, отсутствующие в существующих решениях.
Система включает в себя три драйвера режима ядра, осуществляющих мониторинг файловой си-стемы, сетевой активности и работы с реестром, в ходе создания которых было предложено решение
следующих задач: получение данных о процессе-инициаторе операции, корректное получение сим-вольных имён устройств, оптимизация нагрузки на систему путём организации очередей событий в
пространстве ядра. Кроме того, в работе представлена собственная модификация алгоритма взаимо-действия приложения пользовательского режима и драйверов режима ядра, позволяющая добиться
высокой производительности при передаче больших объёмов данных.
Проведёны эксперименты, два из которых позволили успешно выявить деструктивную активность
вредоносного ПО. Третий эксперимент показал различия в моделях ввода-вывода двух приложений:
Far и Hiew. На представленных результатах видно, что авторы указанных приложений избрали раз-личные стратегии выполнения поиска вхождения последовательности символов в файле.