Proiectul reprezinta un ansamblu de trei tehnici folosite in domeniul securi

1. Proiectul reprezinta un ansamblu de trei tehnici folosite in domeniul securitatii. Prin integrarea analizei statice automata cu detectia bazata pe comportament si introspectia memoriei se urmareste crearea unei solutii de securitate ce poate fi utilizata de catre cercetatorii din domeniu.
2. Procesul de analizare a unui executabil poate fi impartit in mai multe etape. Prima etapa este dezasamblarea acestuia si extragerea de catre mecanismul de analiza statica a apelurilor catre functiile de sistem(syscalls) si generarea automata de executabile ce intercepteaza apelurile catre aceste functii de sistem. Interceptarea systemcall-urilor va fi realizata cu ajutorul mecanismului kprobe, pus la dispozitie de catre kernelul sistemului de operare Linux. Acest mecanism functioneaza prin inserarea unei instructiuni int3 inainte de apelul catre functia ce se doreste interceptata. Atunci cand instructiunea int3 este executata rutina de tratare a intreruperilor verifica daca pe acea instructiune este inregistrat un kprobe, in caz afirmativ. Controlul este inregistrat catre functia generata automat la inceputul acestei primei etape.
3. A doua etapa este pregatirea mediului pentru a rula procesul ce se vrea analizat. Aceasta pregatire consta in interceptarea functiilor de sistem, care urmeaza sa fie apelate, prin rularea executabilelor generate la pasul anterior. Odata pregatit acest mediu executbailul este rulat si va fi analizat in paralel de mecanismul de detectie bazat pe comportament dar si de cel de introspectia memoriei.