A study of evasive behaviors in commercial packers

Sandboxes, Virtual machines, Threat intelligence , there are plenty of tools and techniques that could be used to identify and analyze malware. Malicious programs need a way of hiding the code and slowing down forensic analysis. For this purpose, Packers are software used for obfuscating and compressing the code and they are widely used as a countermeasure to forensics tools. In this study, we are not gonna focus on the obfuscation added by packers, but on the anti debugging techniques that may be added to the packed file. The final goal is to demonstrate that the intent of the packers is not only to hide the content of a file but also to prevent the analysis of the program. We first take a pool of 20 packers and we use them to pack a small and basic program. Then, we run the packed files into a framework that is able to identify the anti debugging techniques involved. The results will give an opportunity to prove that packers use multiple anti debugging tools, to identify the most common techniques used and the most uncommon and advanced ones. The output will be used to generate statistics, identify frequent packer behavior, and provide the basis for developing new unpacking and anti-analysis tools based on the findings.

Sanbox, Macchine virtuali, Threat intelligence , ci sono una moltitudine di strumenti e tecniche che potrebbero essere utilizzati per identificare e analizzare malware. Per questo motivo, i virus hanno bisogno di un modo per nascondere il codice e rallentare l'analisi forense. Una delle soluzione adottate per risolvere questo problema sono i Packers, software utilizzati per offuscare e comprimere il codice . In questo studio, non ci concentreremo sull'offuscamento del codice operato dai packer, ma sulle tecniche anti debug che potrebbero implementare nel file compresso. L'obiettivo finale è dimostrare che l'intento dei packers non è solo nascondere il contenuto di un file, ma anche impedire l'analisi del programma. Prenderemo un pool di 20 packers e li useremo per comprimere un programma di origine da usare come test. Quindi, eseguiremo i file compressi in un framework in grado di identificare le tecniche di anti debug coinvolte. I risultati daranno l'opportunità di dimostrare che i packers utilizzano molteplici strumenti di anti debug, per identificare le tecniche più comuni utilizzate e quelle più ricercate ed avanzate. L'output sarà utilizzato per generare statistiche, identificare il comportamento dei packers e fornire la base per lo sviluppo di nuovi strumenti di unpacking ed anti-analisi basati sui risultati.