データ実行防止機能を用いた汎用的なアンパッキング手法の提案(ネットワーク観測,インターネットセキュリティ,一般)
スポンサーリンク
概要
- 論文の詳細を見る
数多く存在するパッカーに対抗するため,汎用的なアンパッキング手法が盛んに研究されている.パッキングされたファイルは必ずメモリ上でオリジナルコードを復号,書き込みした後,そのコードが実行される.書込/実行された領域の抽出はデータ実行防止機能により可能だが,書込/実行は複数発生するため,複数の候補からOEP(オリジナルエントリポイント)を決定する必要がある.本研究では高精度にOEPを判定することを目的とし,2つの方法を提案する.1つ目はメモリのエントロピによる判定,2つ目はメモリ上に書き込まれたAPIのアドレス(数値)の個数で判定する.前者ではパッキングされたコードに比べて命令には偏りがあり,エントロピの値が低くなる傾向を利用する.復号処理が進むに従い,メモリ上に命令が増える.後者ではメモリ上に記述されるAPIのアドレスが増えていくことに着目した.2つの判定方法の両方を満たした候補をOEPとする.評価実験では異なるパッカーでパッキングされたファイルを20種類用意し提案手法でアンパッキングをした結果,14種類のファイルからOEPが正しく検出できた.
- 2013-06-13
著者
関連論文
- 確率的依存関係に基づくボットネット検知の検討(高度インシデント分析を支える要素技術,インターネットセキュリティ,一般)
- パッキングされたマルウェアの類似度算出手法とその評価
- 独立成分分析を用いたインシデント予測の検討(情報通信基礎サブソサイエティ合同研究会)
- ネットワークトラフィックデータ間の相関に基づくインシデント検知の検討(情報通信基礎サブソサイエティ合同研究会)
- インターネットのエッジノードにおける受信トラフィックを媒体とするステガノグラフィの可能性
- インシデント分析センタnicterの可視化技術
- モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPNの評価(ライフログ活用技術,オフィス情報システム,マルチメディアシステム,マルチメディア通信,IP放送/映像伝送,一般)
- モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPNの評価
- モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPNの評価(ネットワークセキュリティ,ライフログ活用技術,オフィス情報システム,マルチメディアシステム,マルチメディア通信,IP放送/映像伝送,一般)
- インシデント分析センタnicterの可視化技術