Detail publikace
Extraction of Information from .NET Executable Files
reverzné inženýrství, spustitelné soubory, .NET, rekonstrukce typů, typelib
Výskyt škodlivýho softvéru napsaného v .NET jazycích prudce roste. Extrakce informací ze spustitelných souborů v .NET formátu je proto nutný krok k boji proti takovéhlemu druhu škodlivého softvéru. V tomhle článku navrhujeme metódy pri extrakci informací z .NET souborů, které jsou bezpečné a platformově nezávislé. Tyhle metody zahrňují typovou rekonstrukci, ale také extrakci unikátních rysů ako jsou TypeLib identifikátor, nebo Module Version identifikátor. V tomhle článku jsme také vytkli chyby, které jse dělají v tomhle oboru. Implementaci navrhnutých metod jsme porovnali s již existujícími .NET disassemblermi s dobrými výsledky. Extraktované informace jse plánují použít ve tvorbě detekčných vzorů, zhlukování a jiných oblastí ve firmě Avast Software.
@INPROCEEDINGS{FITPUB11564,
author = "Marek Milkovi\v{c}",
title = "Extraction of Information from .NET Executable Files",
pages = "1--9",
booktitle = "Sborn\'{i}k p\v{r}\'{i}sp\v{e}vk\r{u} Mezin\'{a}rodn\'{i} Masarykovy konference pro doktorandy a mlad\'{e} v\v{e}deck\'{e} pracovn\'{i}ky 2017",
year = 2017,
location = "Hradec Kr\'{a}lov\'{e}, CZ",
publisher = "Akademick\'{e} sdru\v{z}en\'{i} MAGNANIMITAS Assn.",
ISBN = "978-80-87952-22-1",
language = "english",
url = "https://www.fit.vut.cz/research/publication/11564"
}