OEP自動検出によるマルウェアアンパック手法(マルウェア対策,インターネットセキュリティ,一般)
スポンサーリンク
概要
- 論文の詳細を見る
多くのマルウェアは逆アセンブラやデバッガによる解析を妨害する目的で、自身のコードに難読化を施している。このため、マルウェアの解析を行う場合は初めにマルウェアのオリジナルコードを取り出す必要がある。このオリジナルコードの抽出を自動で行うため、マルウェアを隔離環境にて実行させ、メモリヘの書き込みアクセスと実行が行われた個所をオリジナルエントリポイントとし、当該プロセスのメモリダンプを生成する手法が提案されている。しかし、多くの難読化ツールの場合、この手法では複数のオリジナルコード候補が生成され、一意にオリジナルコードを特定することができない。そこで本論文では、メモリアクセス傾向の変化に基づきオリジナルコードを特定する手法を提案する。メモリアクセス傾向が最も変化した時点をオリジナルエントリポイント実行時点と定義し、その時点で生成されたメモリダンプを、複数あるオリジナルコード候補から本来のオリジナルコードとする。本提案手法を既存の5種の難読化ツールで難読化したマルウェアで実験したところ、全てのマルウェアのオリジナルコードの抽出に成功し、4種のマルウェアにおいてオリジナルエントリポイントを正確に検出することに成功した。
- 2010-06-10
著者
-
岩村 誠
NTT情報流通プラットフォーム研究所
-
伊藤 光恭
NTT情報流通プラットフォーム研究所
-
川古谷 裕平
NTT情報流通プラットフォーム研究所
-
岩村 誠
日本電信電話株式会社
-
伊藤 光恭
日本電信電話株式会社ntt情報流通プラットフォーム研究所
関連論文
- 9.研究用データセット:マルウェア検体編 : 機械語命令列の類似性に基づく自動マルウェア分類システム(マルウェア)
- 検索エンジンによるマルウェア接続先評価手法の提案 (情報通信システムセキュリティ)
- プロバイダによるWebサイトへのマルウェア配布防御方式(ネットワークセキュリティ,自律分散ネットワーク,グリッドコンピューティング,VPN,DDoS,ネットワークセキュリティ,PAN,センサーネットワーク及び一般)
- B-7-40 ハニーネットを用いたプロバイダによるWebサイト踏み台防止方式(B-7.情報ネットワーク,一般セッション)
- DNSクエリグラフを用いた悪性ドメイン名リスト評価(パラレル,インターネットと情報倫理教育,一般)
- Virtual Smartphone over IP技術 (特集 ネットワークセキュリティ技術の動向)
- マルウェアのエントリポイント検出後におけるコード領域識別手法 (情報通信システムセキュリティ)
- マルウェアのエントリポイント検出後におけるコード領域識別手法 (インターネットアーキテクチャ)
- OEP自動検出によるマルウェアアンパック手法 (情報通信システムセキュリティ)
- OEP自動検出によるマルウェアアンパック手法 (インターネットアーキテクチャ)
- スパムメールに起因するWeb型受動攻撃の実態調査(一般)
- 機械語命令列の類似性に基づく自動マルウェア分類システム
- 悪性URL群の木構造に着目したURLフィルタリングの粒度決定 (情報通信システムセキュリティ)
- マルウエア対策技術 (特集 ネットワークセキュリティ技術の動向)
- Webサイトへのマルウェア配布の実態調査(セキュリティ関係,一般)
- A-7-6 IP電話におけるVoIPスパム検知技術の検討(A-7.情報セキュリティ,一般セッション)
- B-7-47 クライアント型ハニーポットによる悪意あるWebサイトの検出について(B-7. 情報ネットワーク,一般セッション)
- A-7-9 隠れマルコフモデルに基づく新規逆アセンブル手法(A-7. 情報セキュリティ,一般セッション)
- SIPプロトコルに対するFuzzing攻撃の検知システムとその実証実験
- B-7-115 Honey Patch : Honeypotにおける攻撃検知手法の提案(B-7.情報ネットワーク,一般講演)
- B-7-69 VPN環境におけるセキュアNWアクセス制御方式の提案(B-7. 情報ネットワーク)
- マルウェアのエントリポイント検出後におけるコード領域識別手法(マルウェア対策,インターネットセキュリティ,一般)
- 機械語命令列の類似性に基づく自動マルウェア分類システム
- Gumblarの長期観測による分析(ネットワークセキュリティ,インターネットセキュリティ,一般)
- Webサイト向けマルウェアダウンロードサイトの生存期間監視方式(ネットワークセキュリティ,インターネットセキュリティ,一般)
- OEP自動検出によるマルウェアアンパック手法(マルウェア対策,インターネットセキュリティ,一般)
- DNSクエリグラフを用いた悪性ドメイン名リスト評価(パラレル,インターネットと情報倫理教育,一般)
- DNSクエリグラフを用いた悪性ドメイン名リスト評価(パラレル,インターネットと情報倫理教育,一般)
- Webサイト向けマルウェア検知方式(トラヒック計測・異常検知・一般)
- 能動的攻撃と受動的攻撃に関する調査および考察
- Gumblarの長期観測による分析(ネットワークセキュリティ,インターネットセキュリティ,一般)
- マルウェアのエントリポイント検出後におけるコード領域識別手法(マルウェア対策,インターネットセキュリティ,一般)
- OEP自動検出によるマルウェアアンパック手法(マルウェア対策,インターネットセキュリティ,一般)
- 検索エンジンによるマルウェア接続先評価手法の提案(セキュリティ関係,一般)
- 検索エンジンによるマルウェア接続先評価手法の提案(セキュリティ関係,一般)
- 検索エンジンによるマルウェア接続先評価手法の提案(セキュリティ関係,一般)
- Webサイトに対するマルウェアダウンロードサイトの生存期間監視方式(ネットワークセキュリティ,インターネットセキュリティ,一般)
- R&Dホットコーナー 不正侵入,ウイルス,ワームから情報システムを守るセキュリティ機能強化OS
- 複数のドメインに配置されたハニーポットを用いたWebサイトへの攻撃の実態調査
- ハイブリッド型WebハニーポットWeb Phantomの設計(ホームネットワーク,ユビキタスネットワーク,クラウドコンピューティング,コンテキストアウェア,位置情報サービス,eコマース及び一般)
- 悪性URL群の木構造に着目したURLフィルタリングの粒度決定
- Webサイトへのマルウェア配布の実態調査(セキュリティ関係,一般)
- Webサイトへのマルウェア配布の実態調査(セキュリティ関係,一般)
- R&Dホットコーナー ネットワーク情報を活用するフォレンジクス技術の動向
- B-7-46 マルチホップ型分散システムにおけるセキュリティポリシ集約方法の検討
- メモリアクセス値のエントロピーに基づく自動アンパッキング (情報通信システムセキュリティ)
- B-7-16 半透性仮想ネットワークを用いたボットの動的解析手法の提案(B-7. 情報ネットワーク,一般セッション)
- Dense Ship:サーバ型ハニーポット用仮想マシンモニタ (情報通信システムセキュリティ)
- Dense Ship:サーバ型ハニーポット用仮想マシンモニタ (インターネットアーキテクチャ)
- バイナリプログラムにおけるバッファオーバーフロー攻撃検知法と攻撃痕跡抽出法(セッション5A 高信頼プラットフォームと暗号要素技術)
- メモリアクセス値のエントロピーに基づく自動アンパッキング
- M-088 バッファオーバーフロー発生要因の特定方法(材料加工部,所外発表論文等概要)
- マルウェアを用いたWebサイト改ざん手法の分析(マルウェア解析,インターネットセキュリティ,一般)
- Dense Ship:サーバ型ハニーポット用仮想マシンモニタ(マルウェア解析,インターネットセキュリティ,一般)
- マルウェアを用いたWebサイト改ざん手法の分析(マルウェア解析,インターネットセキュリティ,一般)
- Dense Ship:サーバ型ハニーポット用仮想マシンモニタ(マルウェア解析,インターネットセキュリティ,一般)
- プログラムコードの擬似分散による不正制御フローの検知 (マルチメディア情報ハイディング・エンリッチメント)
- プログラムコードの擬似分散による不正制御フローの検知 (情報通信システムセキュリティ)
- プログラムコードの擬似分散による不正制御フローの検知 (技術と社会・倫理)
- プログラムコードの擬似分散による不正制御フローの検知 (情報セキュリティ)
- テイントタグを用いた解析対象コードの識別方法 (マルチメディア情報ハイディング・エンリッチメント)
- テイントタグを用いた解析対象コードの識別方法 (情報通信システムセキュリティ)
- テイントタグを用いた解析対象コードの識別方法 (技術と社会・倫理)
- テイントタグを用いた解析対象コードの識別方法 (情報セキュリティ)
- テイント伝搬に基づく解析対象コードの追跡方法
- プログラムコードの擬似分散による不正制御フローの検知(セキュリティ,一般)
- プログラムコードの擬似分散による不正制御フローの検知(セキュリティ,一般)
- プログラムコードの擬似分散による不正制御フローの検知(セキュリティ,一般)
- プログラムコードの擬似分散による不正制御フローの検知(セキュリティ,一般)
- テイントタグを用いた解析対象コードの識別方法(セキュリティ,一般)
- テイントタグを用いた解析対象コードの識別方法(セキュリティ,一般)
- テイントタグを用いた解析対象コードの識別方法(セキュリティ,一般)
- テイントタグを用いた解析対象コードの識別方法(セキュリティ,一般)