A statikus elemzés önmagában gyakran nem elegendő a modern malware-ek viselkedésének feltárásához, különösen obfuszkált, packelt vagy többfázisú kártevők esetén. A dinamikus elemzés (sandbox alapú futtatás és viselkedés-monitorozás) lehetővé teszi a fájl-, hálózati-, registry- és memória-műveletek megfigyelését kontrollált környezetben.
A modern malware-ek azonban gyakran detektálják a virtualizált vagy sandbox környezeteket, ezért az elemző infrastruktúra tervezése és konfigurálása kritikus fontosságú.
A téma célja egy moduláris, bővíthető dinamikus malware-elemző környezet kialakítása, amely több malware-típus (pl. Windows PE, dokumentumalapú malware, Android APK) vizsgálatára alkalmas.
A hallgató feladata egy kontrollált, izolált, többkomponensű dinamikus elemző környezet megtervezése, implementálása és tesztelése.
A munka főbb elemei:
1. Virtualizált laborarchitektúra kialakítása VirtualBox környezetben.
2. Sandbox rendszer telepítése és konfigurálása (pl. Cuckoo, Assemblyline vagy egyedi megoldás).
3. Monitoring eszközök integrálása.
4. Kiválasztott malware-típus vizsgálata (pl. Windows PE, PDF, Office, Android)
5. Anti-sandbox technikák vizsgálata és detektálása.