METHOD OF GENERATING IN-KERNEL HOOK POINT CANDIDATES TO DETECT ROOTKITS AND THE SYSTEM THEREOF

專利類型

發明

專利國別 (專利申請國家)

美國

專利申請案號

14/512,420

專利證號

US 9,747,452 B2

專利獲證名稱

METHOD OF GENERATING IN-KERNEL HOOK POINT CANDIDATES TO DETECT ROOTKITS AND THE SYSTEM THEREOF

專利所屬機關 (申請機關)

國立交通大學

獲證日期

2017/08/29

技術說明

本發明包含三大子系統，「核心內部監控函式定位子系統」透過汙染源分析，取得可以做為監測點的核心內部函式集合，此集合可以讓分析人員快速挑選適當的監控點。「特徵模組建立子系統」則利用這些監控點，自動化的紀錄程式行為，透過分析大量惡意樣本的核心內部函式呼叫序列以及其參數，可以產生惡意程式的特徵模組。最後，「特徵模組辨識子系統」同樣利用「核心內部監控函式定位子系統」找出之監控點對待測程式進行監控，在配合「特徵模組建立子系統」產生之特徵模組辨識待測程式。 The major features of MrKIP can be summarized as follows. 1. We propose a novel approach to profiling program behaviors with invocation of in-kernel function instead of user space APIs or system calls. This feature ensures that our method is able to deal with malware existing purely in kernel-space such as Trojan.Srizbi, which cannot be analyzed by ThreatExpert or Anubis. 2. To distinguish those events actually originated from the subject program from normal background activities, MrKIP adopts a system-wide taint tracker to capture tainted arguments. This feature refines the collected data, producing more an accurate pattern for recognition. 3. A semi-automatic module is devised to identify suitable locations to place hooks. This feature eases the pain for hook developers

備註

連絡單位 (專責單位/部門名稱)

智慧財產權中心

連絡電話

03-5738251

網址