データ実行防止機能を用いた汎用的なアンパッキング手法の提案(ネットワーク観測,インターネットセキュリティ,一般)

スポンサーリンク

概要

• 論文の詳細を見る

• 数多く存在するパッカーに対抗するため,汎用的なアンパッキング手法が盛んに研究されている.パッキングされたファイルは必ずメモリ上でオリジナルコードを復号,書き込みした後,そのコードが実行される.書込/実行された領域の抽出はデータ実行防止機能により可能だが,書込/実行は複数発生するため,複数の候補からOEP(オリジナルエントリポイント)を決定する必要がある.本研究では高精度にOEPを判定することを目的とし,2つの方法を提案する.1つ目はメモリのエントロピによる判定,2つ目はメモリ上に書き込まれたAPIのアドレス(数値)の個数で判定する.前者ではパッキングされたコードに比べて命令には偏りがあり,エントロピの値が低くなる傾向を利用する.復号処理が進むに従い,メモリ上に命令が増える.後者ではメモリ上に記述されるAPIのアドレスが増えていくことに着目した.2つの判定方法の両方を満たした候補をOEPとする.評価実験では異なるパッカーでパッキングされたファイルを20種類用意し提案手法でアンパッキングをした結果,14種類のファイルからOEPが正しく検出できた.

• 2013-06-13

著者

• 伊沢 亮一

  独立行政法人情報通信研究機構

• 井上 大介

  独立行政法人 情報通信研究機構

• 神薗 雅紀

  独立行政法人情報通信研究機構:株式会社セキュアブレイン

関連論文

• 確率的依存関係に基づくボットネット検知の検討(高度インシデント分析を支える要素技術,インターネットセキュリティ,一般)
• パッキングされたマルウェアの類似度算出手法とその評価
• 独立成分分析を用いたインシデント予測の検討(情報通信基礎サブソサイエティ合同研究会)
• ネットワークトラフィックデータ間の相関に基づくインシデント検知の検討(情報通信基礎サブソサイエティ合同研究会)
• インターネットのエッジノードにおける受信トラフィックを媒体とするステガノグラフィの可能性
• インシデント分析センタnicterの可視化技術
• モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPNの評価(ライフログ活用技術,オフィス情報システム,マルチメディアシステム,マルチメディア通信,IP放送/映像伝送,一般)
• モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPNの評価
• モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPNの評価(ネットワークセキュリティ,ライフログ活用技術,オフィス情報システム,マルチメディアシステム,マルチメディア通信,IP放送/映像伝送,一般)
• インシデント分析センタnicterの可視化技術
• サーバ情報漏えいに耐性のあるワンタイムパスワード方式の実装と評価(匿名化・認証,インターネットセキュリティ,一般)
• 確率的依存関係に基づくボットネット検知の検討(高度インシデント分析を支える要素技術,インターネットセキュリティ,一般)
• 広域分散型インシデント分析システムにおける匿名化手法の提案と考察(第二報)(匿名化・認証,インターネットセキュリティ,一般)
• 独立成分分析を用いたインシデント予測の検討(情報通信基礎サブソサイエティ合同研究会)
• 独立成分分析を用いたインシデント予測の検討(情報通信基礎サブソサイエティ合同研究会)
• ネットワークトラフィックデータ間の相関に基づくインシデント検知の検討(情報通信基礎サブソサイエティ合同研究会)
• ネットワークトラフィックデータ間の相関に基づくインシデント検知の検討(情報通信基礎サブソサイエティ合同研究会)
• サーバ情報漏えいに耐性のあるワンタイムパスワード方式の実装と評価(匿名化・認証,インターネットセキュリティ,一般)
• 広域分散型インシデント分析システムにおける匿名化手法の提案と考察(第二報)(匿名化・認証,インターネットセキュリティ,一般)
• モバイルイーサネット上のリアルタイム映像配信サービスの検討(モバイルコンピューティングとユビキタス通信高度交通システム合同研究報告)
• モバイルイーサネット上のリアルタイム映像配信サービスの検討(モバイルコンピューティングとユビキタス通信高度交通システム合同研究報告)
• 一方向性関数を用いた時限付き鍵管理技術の提案
• BDK-1-1 nicterの研究開発と実社会への成果展開(BDK-1.多様化するネットワークのための情報セキュリティとは,ソサイエティ特別企画,ソサイエティ企画)
• BDK-1-1 nicterの研究開発と実社会への成果展開(BDK-1.多様化するネットワークのための情報セキュリティとは,ソサイエティ特別企画,ソサイエティ企画)
• 無線LAN端末を利用した移動体位置推定法
• BDK-1-1 nicterの研究開発と実社会への成果展開(BDK-1.多様化するネットワークのための情報セキュリティとは,ソサイエティ企画)
• BDK-1-1 nicterの研究開発と実社会への成果展開(BDK-1.多様化するネットワークのための情報セキュリティとは,ソサイエティ特別企画,ソサイエティ企画)
• 順序性を保持した匿名化方式の提案
• スキャンの特徴抽出による攻撃元プロファイリング手法の提案(ネットワーク観測・分析,インターネットセキュリティ,一般)
• スキャンの特徴抽出による攻撃元プロファイリング手法の提案(ネットワーク観測・分析,インターネットセキュリティ,一般)
• ユーザの有効期限が設定できる安全な匿名認証方式の提案
• 複数エージェントに対応したTheft attackに耐性があるワンタイムパスワード認証方式
• バイトコードの出現頻度に着目したマルウェアの類似度判定および機能推定法
• オリジナルコードの一部を利用した自己書き換え型マルウェアに対する類似度判定法
• バイトコードの出現頻度に着目したマルウェアの類似度判定および機能推定法
• マルウェア対策ユーザサポートシステムのフィールド実験と性能評価
• オリジナルコードの一部を利用した自己書き換え型マルウェアに対する類似度判定法
• L-029 マルウェアの部分コードによる類似度判定と機能推定(セキュリティ実装,L分野:ネットワーク・セキュリティ)
• L-022 One-Time Password Authentication Scheme to Solve Stolen Verifier Problem
• L-028 多段パックされたマルウェアからのコード取得(セキュリティ実装,L分野:ネットワーク・セキュリティ)
• マルウェアのバイナリを用いた機械学習によるパッカの特定手法の提案(通信セキュリティ,一般)
• マルチモーダル分析による不正通信の検出(通信セキュリティ,一般)
• Exploit Kit検知用シグネチャの動的解析に基づく自動作成
• Exploit Kit検知用シグネチャの動的解析に基づく自動作成
• 文字出現頻度をパラメータとした機械学習による悪質な難読化JavaScriptの検出
• 文字出現頻度をパラメータとした機械学習による悪質な難読化JavaScriptの検出
• サイバー攻撃のしくみ
• 標的型攻撃のシナリオ再現環境の構築
• 標的型攻撃のシナリオ再現環境の構築
• 電子文書型マルウェアからシェルコードを抽出する方法の提案
• 電子文書型マルウェアからシェルコードを抽出する方法の提案
• Hard Learning Problemsに基づいた三者間における安全な匿名認証方式(セキュリティ,インターネットセキュリティ,一般)
• Hard Learning Problemsに基づいた三者間における安全な匿名認証方式(セキュリティ,インターネットセキュリティ,一般)
• データ実行防止機能を用いた汎用的なアンパッキング手法の提案(ネットワーク観測,インターネットセキュリティ,一般)
• データ実行防止機能を用いた汎用的なアンパッキング手法の提案(ネットワーク観測,インターネットセキュリティ,一般)
• Backdoor Shellに着目した不正Webサイトを用いたサイバー攻撃基盤の分析
• Backdoor Shellに着目した不正Webサイトを用いたサイバー攻撃基盤の分析
• L-003 マルウェアの類似度に基づく機能推定(L分野:ネットワーク・セキュリティ,一般論文)
• マルウェア対策ユーザサポートシステムのフィールド実験と性能評価
• L-005 マルウェアの発生時系列分布特性(L分野:ネットワーク・セキュリティ,一般論文)
• マルチモーダル分析による不正通信の検出
• マルウェアのバイナリを用いた機械学習によるパッカの特定手法の提案

もっと見る 閉じる

スポンサーリンク