お知らせ 2023年度・2024年度 学生員 会費割引キャンペーン実施中です
お知らせ 技術研究報告と和文論文誌Cの同時投稿施策(掲載料1割引き)について
お知らせ 電子情報通信学会における研究会開催について
お知らせ NEW 参加費の返金について
電子情報通信学会 研究会発表申込システム
講演論文 詳細		 技報閲覧サービス
[ログイン]
技報アーカイブ
 トップに戻る 前のページに戻る   [Japanese] / [English] 

講演抄録/キーワード
講演名 2010-06-17 14:20
マルウェアのエントリポイント検出後におけるコード領域識別手法
岩村 誠伊藤光恭NTT/早大)・村岡洋一早大IA2010-4 ICSS2010-4
抄録 (和) 従来のアンパッキング手法に関する研究は,主にOEP(Original Entry Point)の特定に焦点を当てており,抽出すべきプログラムコード領域がどこからどこまでの範囲なのかについては,特に言及されてこなかった.本稿では,OEPを含む連続するコミット済みメモリ領域を抽出し,このバイト列における相対アドレス指定の分岐命令に着目することで, OEPを含むプログラムコード領域を識別する手法を提案する.これにより,マルウェアのプログラムコード領域全体を抽出できるだけでなく,他の動的リンクライブラリ等を抽出対象から取り除くことが可能となる.また,本提案手法における実験では,対象となるプログラムコード領域の前後に,他のプログラムコード領域を含むメモリイメージが接している場合にも,分岐区域数の期待値に着目することで,OEPを含むプログラムコード領域だけを識別できることを示した. 
(英) The goal of many existing methods for unpacking was finding OEP (Original Entry Point), not identifying where the original program code starts and ends. We propose a novel method, which focuses on branch instructions using relative addressing, to identify the code region including the OEP. Our approach can extract the whole code region of malware and even ensure that the extracted image does not include the other code regions. The experimental results show that our approach can identify the code region including the OEP even if two memory images including the other code regions are adjacent to the target region.
キーワード (和) マルウェア / アンパッキング / コード領域 / 確率的逆アセンブル / / / /  
(英) malware / unpacking / code region / probabilistic disassembly / / / /  
文献情報 信学技報, vol. 110, no. 79, ICSS2010-4, pp. 19-24, 2010年6月.
資料番号 ICSS2010-4 
発行日 2010-06-10 (IA, ICSS) 
ISSN Print edition: ISSN 0913-5685    Online edition: ISSN 2432-6380
著作権に
ついて		 技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034)
PDFダウンロード IA2010-4 ICSS2010-4

研究会情報
研究会 IA ICSS  
開催期間 2010-06-17 - 2010-06-18 
開催地(和) 京都大学 学術情報メディアセンター 
開催地(英) Academic Center for Computing and Media Studies, Kyoto University 
テーマ(和) インターネットセキュリティ、一般 
テーマ(英) Internet Security, etc. 
講演論文情報の詳細
申込み研究会 ICSS 
会議コード 2010-06-IA-ICSS 
本文の言語 日本語 
タイトル(和) マルウェアのエントリポイント検出後におけるコード領域識別手法 
サブタイトル(和)  
タイトル(英) How to Identify Code Region after Detecting Entry Point of Malware 
サブタイトル(英)  
キーワード(1)(和/英) マルウェア / malware  
キーワード(2)(和/英) アンパッキング / unpacking  
キーワード(3)(和/英) コード領域 / code region  
キーワード(4)(和/英) 確率的逆アセンブル / probabilistic disassembly  
キーワード(5)(和/英) /  
キーワード(6)(和/英) /  
キーワード(7)(和/英) /  
キーワード(8)(和/英) /  
第1著者 氏名(和/英/ヨミ) 岩村 誠 / Makoto Iwamura / イワムラ マコト
第1著者 所属(和/英) NTT情報流通プラットフォーム研究所/早稲田大学 (略称: NTT/早大)
NTT Information Sharing Platform Laboratories/Waseda University (略称: NTT/Waseda Univ.)
第2著者 氏名(和/英/ヨミ) 伊藤 光恭 / Mitsutaka Itoh / イトウ ミツタカ
第2著者 所属(和/英) NTT情報流通プラットフォーム研究所/早稲田大学 (略称: NTT/早大)
NTT Information Sharing Platform Laboratories/Waseda University (略称: NTT/Waseda Univ.)
第3著者 氏名(和/英/ヨミ) 村岡 洋一 / Yoichi Muraoka / ムラオカ ヨウイチ
第3著者 所属(和/英) 早稲田大学 (略称: 早大)
Waseda University (略称: Waseda Univ.)
第4著者 氏名(和/英/ヨミ) / /
第4著者 所属(和/英) (略称: )
(略称: )
第5著者 氏名(和/英/ヨミ) / /
第5著者 所属(和/英) (略称: )
(略称: )
第6著者 氏名(和/英/ヨミ) / /
第6著者 所属(和/英) (略称: )
(略称: )
第7著者 氏名(和/英/ヨミ) / /
第7著者 所属(和/英) (略称: )
(略称: )
第8著者 氏名(和/英/ヨミ) / /
第8著者 所属(和/英) (略称: )
(略称: )
第9著者 氏名(和/英/ヨミ) / /
第9著者 所属(和/英) (略称: )
(略称: )
第10著者 氏名(和/英/ヨミ) / /
第10著者 所属(和/英) (略称: )
(略称: )
第11著者 氏名(和/英/ヨミ) / /
第11著者 所属(和/英) (略称: )
(略称: )
第12著者 氏名(和/英/ヨミ) / /
第12著者 所属(和/英) (略称: )
(略称: )
第13著者 氏名(和/英/ヨミ) / /
第13著者 所属(和/英) (略称: )
(略称: )
第14著者 氏名(和/英/ヨミ) / /
第14著者 所属(和/英) (略称: )
(略称: )
第15著者 氏名(和/英/ヨミ) / /
第15著者 所属(和/英) (略称: )
(略称: )
第16著者 氏名(和/英/ヨミ) / /
第16著者 所属(和/英) (略称: )
(略称: )
第17著者 氏名(和/英/ヨミ) / /
第17著者 所属(和/英) (略称: )
(略称: )
第18著者 氏名(和/英/ヨミ) / /
第18著者 所属(和/英) (略称: )
(略称: )
第19著者 氏名(和/英/ヨミ) / /
第19著者 所属(和/英) (略称: )
(略称: )
第20著者 氏名(和/英/ヨミ) / /
第20著者 所属(和/英) (略称: )
(略称: )
講演者 第1著者 
発表日時 2010-06-17 14:20:00 
発表時間 25分 
申込先研究会 ICSS 
資料番号 IA2010-4, ICSS2010-4 
巻番号(vol) vol.110 
号番号(no) no.78(IA), no.79(ICSS) 
ページ範囲 pp.19-24 
ページ数
発行日 2010-06-10 (IA, ICSS) 

[研究会発表申込システムのトップページに戻る]

[電子情報通信学会ホームページ]
IEICE / 電子情報通信学会