MARC details
| 000 -LEADER |
|---|
| fixed length control field |
07887nam a2200445 i 4500 |
| 003 - CONTROL NUMBER IDENTIFIER |
|---|
| control field |
TR-AnTOB |
| 005 - DATE AND TIME OF LATEST TRANSACTION |
|---|
| control field |
20230908000946.0 |
| 007 - PHYSICAL DESCRIPTION FIXED FIELD--GENERAL INFORMATION |
|---|
| fixed length control field |
ta |
| 008 - FIXED-LENGTH DATA ELEMENTS--GENERAL INFORMATION |
|---|
| fixed length control field |
171111s2018 xxu e mmmm 00| 0 eng d |
| 035 ## - SYSTEM CONTROL NUMBER |
|---|
| System control number |
(TR-AnTOB)200437833 |
| 040 ## - CATALOGING SOURCE |
|---|
| Original cataloging agency |
TR-AnTOB |
| Language of cataloging |
eng |
| Description conventions |
rda |
| Transcribing agency |
TR-AnTOB |
| 041 0# - LANGUAGE CODE |
|---|
| Language code of text/sound track or separate title |
Türkçe |
| 099 ## - LOCAL FREE-TEXT CALL NUMBER (OCLC) |
|---|
| Classification number |
TEZ TOBB FBE BİL YL’19 TEK |
| 100 1# - MAIN ENTRY--PERSONAL NAME |
|---|
| Personal name |
Tekin, Osman Tufan |
| Relator term |
author |
| 9 (RLIN) |
127150 |
| 245 10 - TITLE STATEMENT |
|---|
| Title |
Zararlı yazılımların kullandığı sanallaştırma karşıtı yöntemler ve alınabilecek önlemler / |
| Statement of responsibility, etc. |
Osman Tufan Tekin ; thesis advisor Ali Aydın Selçuk. |
| 246 11 - VARYING FORM OF TITLE |
|---|
| Title proper/short title |
Anti-virtualization technique used by malware and measures that can be taken |
| 264 #1 - PRODUCTION, PUBLICATION, DISTRIBUTION, MANUFACTURE, AND COPYRIGHT NOTICE |
|---|
| Place of production, publication, distribution, manufacture |
Ankara : |
| Name of producer, publisher, distributor, manufacturer |
TOBB ETÜ Fen Bilimleri Enstitüsü, |
| Date of production, publication, distribution, manufacture, or copyright notice |
2019. |
| 300 ## - PHYSICAL DESCRIPTION |
|---|
| Extent |
xiii, 51 pages : |
| Other physical details |
illustrations ; |
| Dimensions |
29 cm |
| 336 ## - CONTENT TYPE |
|---|
| Source |
rdacontent |
| Content type code |
txt |
| Content type term |
text |
| 337 ## - MEDIA TYPE |
|---|
| Source |
rdamedia |
| Media type code |
n |
| Media type term |
unmediated |
| 338 ## - CARRIER TYPE |
|---|
| Source |
rdacarrier |
| Carrier type code |
nc |
| Carrier type term |
volume |
| 502 ## - DISSERTATION NOTE |
|---|
| Dissertation note |
Tez (Yüksek Lisans Tezi)--TOBB ETÜ Fen Bilimleri Enstitüsü Aralık 2019 |
| 520 ## - SUMMARY, ETC. |
|---|
| Summary, etc. |
Zararlı yazılım analizi yıllar içerisinde çok fazla yol kat etmiştir. Dinamik ve statik olarak ikiye ayırabileceğimiz analiz sürecinde, statik analizin davranışsal sonuçları verememesi sebebiyle dinamik analiz süreçleri gelişmiştir. Kum havuzları, otomatik dinamik analizi çok kısa sürelerde yapıp, analiste raporu sunabilmektedir. Bu sebeple günümüz zararlı yazılımları, tespit edilmemek veya tespit edilse de davranışlarının analiz edilme sürelerini uzatmak için analiz karşıtı yöntemler kullanmaya başlamıştır. Zararlı yazılımların bunu yaparken motivasyonu, her türlü kazançlarını arttırmaktır. Bu sebeple bütün analiz tekniklerinden kaçmak için her geçen gün yeni teknikler geliştirilmekte ve bu geliştirilen tekniklerin zararlı yazılımlar tarafından kullanımı da artmaktadır. Sanal ortamların kullanımı, zararlı yazılım analizinde aktif bir yer almaktadır. İsteğe bağlı ortam oluşturulabilmesi, kişisel veri barındırmaması ve analiz adımları arasında kolay geçişler sağlanabilmesinden dolayı manuel analizler için vazgeçilmez bir hal almaktadır. Ayrıca kum havuzları için de aynı kolaylıklar sağlandığı için, onlar tarafından da tercih edilmektedir. v Zararlı yazılımlar, her iki analiz sürecinde de zararlı olduğunu belli etmemek için birçok yöntem kullanmaktadır. Bu yöntemlerden birisi olan sanallaştırma karşıtı yöntemi, kum havuzları içerisinde de sanal ortamlar kullanıldığı için, bütün analiz karşıtı yöntemler arasında çok geniş bir alan kaplamaktadır. Sanallaştırma için kullanılan ürünlerinin kullandığı sanallaştırma tekniklerinin farklı olması da zararlı yazılım geliştiricileri tarafında bu konu üzerine daha fazla çalışmak için motivasyon olmaktadır. Dolayısıyla birçok sanallaştırma karşıtı teknik şu anda zararlı yazılımlar tarafından kullanılmaktadır. Sanal ortam tespiti için donanımsal ve yazılımsal olarak kontroller yapılabilmektedir. Donanımsal olarak sistem kaynakları veya donanım bilgileri içerisinde sanallaştırma platformunun imzaları kontrol edilebilir. Yazılımsal olarak da işletim sistemi içerisinden ulaşılabilen sanallaştırma platformlarına ait bilgiler bulunmaktadır. Özellikle sanal makine içerisinde Windows işletim sistemi varsa, Windows'a ait Kayıt Defteri, Windows Management Instrumantation gibi yapılar, içerisinde çok fazla sanallaştırma platformlarına ait imza barındırdıkları için sanal makine tespitini kolaylaştırmaktadır. Bu çalışmada, sanallaştırma ortamı olarak en çok tercih edilen VMware, işletim sistemi olarak en çok tercih edilen Windows 10 üzerinde zararlı yazılımlar tarafından kullanılan sanallaştırma karşıtı yöntemler incelenmiştir. Bu sanallaştırma karşıtı yöntemlere karşı alınabilecek önlemler anlatılmıştır. Sanallaştırma karşıtı kullanılan bir başka yöntem ise Windows Management Instrumantation'dır. Çoğu kum havuzu tarafından önlem alınmamış bu yöntem incelenmiş ve kancalama tekniği kullanılarak bu yöntemi engelleme yolları anlatılmıştır. Windows Management Instrumantation için kullanılabilecek bir kancalama uygulaması geliştirilmiş ve bu uygulama ile sanallaştırma karşıtı tekniklere önlem alınabileceği gösterilmiştir. |
|
|---|
| Summary, etc. |
Malware analysis has been improved over the years. In the analysis process, which can be divided into dynamic and static, dynamic analysis processes have developed due to the fact that static analysis cannot give behavioral results. Sandboxes can perform automatic dynamic analysis in very short time and present the report to the analyst. Therefore, today's malware has begun to use anti-analysis methods to be not detected or even if they detected they prolong the analysis times of their behavior. The motivation of malware to do this is to increase all kinds of returns. Therefore, in order to avoid all analysis techniques, new techniques are being developed and the use of these techniques by malware is increasing. The use of virtual environments is actively involved in malware analysis. It is essential for manual analysis due to the ability to create an optional environment, does not contain any personal data and transition between analysis steps is simple. Also, they preferred by sandboxes since they provide same facilities. Malware uses many methods to ensure that it is not malicious in both analysis processes. The anti-virtualization method, which is one of these methods, covers a vii wide area among all anti-analysis methods since virtual environments are also used in sandboxes. The difference in the virtualization techniques used by the products used for virtualization is the motivation of malicious software developers to work more on this issue. Therefore, many anti-virtualization techniques are currently being used by malware. Hardware and software controls can be performed for the detection of virtual environment. System resources or the signatures of virtualization platform can be checked by hardware. There is also information about virtualization platforms that can be accessed from within the operating system by software. Structures such as the Windows Registry, Windows Management Instrumentation facilitate the detection of virtual machines since they contain signatures belonging to many virtualization platforms, especially when there is a Windows operating system in the virtual machine. In this study, anti-virtualization methods used by malware are examined on VMware the most preferred virtualization environment and on Windows 10 the most preferred operating system. Measures that can be taken against these virtualization methods are explained. Another method used against virtualization is Windows Management Instrumentation. This method, which was not taken precaution by most sandboxes, was examined and the ways to prevent this method by using hooking technique were explained. A hooking application has been developed that can be used for Windows Management Instrumentation and it has been shown that anti-virtualization techniques can be taken with this application. |
| 650 #7 - SUBJECT ADDED ENTRY--TOPICAL TERM |
|---|
| Topical term or geographic name entry element |
Tezler, Akademik |
| 9 (RLIN) |
32546 |
| 653 ## - INDEX TERM--UNCONTROLLED |
|---|
| Uncontrolled term |
Zararlı yazılım |
|
|---|
| Uncontrolled term |
Kum havuzu |
|
|---|
| Uncontrolled term |
Windows Management Instrumantation |
|
|---|
| Uncontrolled term |
Zararlı yazılım analizi |
|
|---|
| Uncontrolled term |
Sanallaştırma karşıtı teknikler |
|
|---|
| Uncontrolled term |
Malware |
|
|---|
| Uncontrolled term |
Sandbox, Malware analysis |
|
|---|
| Uncontrolled term |
Anti-virtualization |
|
|---|
| Uncontrolled term |
Windows Management Instrumentation |
| 700 1# - ADDED ENTRY--PERSONAL NAME |
|---|
| Personal name |
Selçuk, Ali Aydın |
| 9 (RLIN) |
126357 |
| Relator term |
advisor |
| 710 ## - ADDED ENTRY--CORPORATE NAME |
|---|
| Corporate name or jurisdiction name as entry element |
TOBB Ekonomi ve Teknoloji Üniversitesi. |
| Subordinate unit |
Fen Bilimleri Enstitüsü |
| 9 (RLIN) |
77078 |
| 856 40 - ELECTRONIC LOCATION AND ACCESS |
|---|
| Uniform Resource Identifier |
<a href="https://tez.yok.gov.tr/">https://tez.yok.gov.tr/</a> |
| Materials specified |
Ulusal Tez Merkezi |
| 942 ## - ADDED ENTRY ELEMENTS (KOHA) |
|---|
| Koha item type |
Thesis |
| Source of classification or shelving scheme |
Other/Generic Classification Scheme |
