@ARTICLE{Vahidi asl, author = {golbaghi, hadi and vahidi asl, mojtaba and khalilian, alireza and }, title = {Metamorphic Malware Identification Combining Static and Dynamic Analyzes}, volume = {7}, number = {1}, abstract ={بدافزارنویسان از فنون متعددی استفاده می­کنند تا روش کشف نرم­افزارهای ضد بدافزار را خنثی کنند. یکی از این روش­های مؤثر، فراریخت‌کردن بدافزار با فنون مبهم­سازی است. فراریختی ساختار کد را آن­چنان تغییر می­دهد که ضمن حفظ رفتار بدافزار، ساختار و الگوی کد آن عوض شود. پژوهش‌گران به­تازگی روشی برای کشف بدافزارهای فراریخت پیشنهاد کرده­اند که بر اساس تحلیل ایستای کد بدافزار کار می­کند. مسئله اینجاست که کاربست بعضی از فنون مبهم­سازی، اثربخشی تحلیل­های ایستا را در کشف بدافزار فرایخت کم می­کند. برای غلبه بر این مشکل، مقاله حاضر علاوه ‌بر تحلیل ایستا، تحلیل پویایی نیز روی بدافزار انجام می­دهد. روش جدید، اطلاعاتی از تحلیل ایستا و تحلیل پویا استخراج و سپس این دو گونه اطلاع را با هم ترکیب می­کند و حاصل برای آموزش یک دسته­بند مورد استفاده قرار می­گیرد. دسته­بند حاصل برای شناسایی نمونه فراریخت‌شده جدیدی از یک خانواده بدافزار مورد استفاده قرار می­گیرد. در‌حقیقت، ترکیب اطلاعات حاصل از تحلیل ایستا و پویا سعی می­کند بر نقاط ضعف هر کدام غلبه کند و در‌مجموع اثربخشی بهتری داشته باشد. به­منظور ارزیابی روش پیشنهادی، آزمایش‌هایی بر روی 450 فایل متشکل از فایل‌های سالم و پنج خانواده بدافزار فراریخت از ویروس­ها و کرم­هایG2, MPCGEN, MWOR, NGVCK, VLC انجام شده است. آزمایش­ها در سه حالت انجام شده­­اند: تحلیل ایستا، تحلیل پویا و ترکیب آن­دو. نتایج مقایسه نشان می­دهد که شناسایی بر پایه فقط تحلیل ایستا یا پویا اغلب با دقت صددرصد انجام نمی­شود. با این حال، کشف بدافزار فراریخت با ترکیب اطلاعات حاصل از تحلیل ایستا و پویا به­طور سازگار توانسته به دقت کشف صددرصدی دست پیدا کند که با معیار ROC اندازه­گیری شده است. }, URL = {http://monadi.isc.org.ir/article-1-113-fa.html}, eprint = {http://monadi.isc.org.ir/article-1-113-fa.pdf}, journal = {Biannual Journal Monadi for Cyberspace Security (AFTA)}, doi = {}, year = {2018} }