講演抄録/キーワード |
講演名 |
2010-06-17 14:20
マルウェアのエントリポイント検出後におけるコード領域識別手法 ○岩村 誠・伊藤光恭(NTT/早大)・村岡洋一(早大) IA2010-4 ICSS2010-4 |
抄録 |
(和) |
従来のアンパッキング手法に関する研究は,主にOEP(Original Entry Point)の特定に焦点を当てており,抽出すべきプログラムコード領域がどこからどこまでの範囲なのかについては,特に言及されてこなかった.本稿では,OEPを含む連続するコミット済みメモリ領域を抽出し,このバイト列における相対アドレス指定の分岐命令に着目することで, OEPを含むプログラムコード領域を識別する手法を提案する.これにより,マルウェアのプログラムコード領域全体を抽出できるだけでなく,他の動的リンクライブラリ等を抽出対象から取り除くことが可能となる.また,本提案手法における実験では,対象となるプログラムコード領域の前後に,他のプログラムコード領域を含むメモリイメージが接している場合にも,分岐区域数の期待値に着目することで,OEPを含むプログラムコード領域だけを識別できることを示した. |
(英) |
The goal of many existing methods for unpacking was finding OEP (Original Entry Point), not identifying where the original program code starts and ends. We propose a novel method, which focuses on branch instructions using relative addressing, to identify the code region including the OEP. Our approach can extract the whole code region of malware and even ensure that the extracted image does not include the other code regions. The experimental results show that our approach can identify the code region including the OEP even if two memory images including the other code regions are adjacent to the target region. |
キーワード |
(和) |
マルウェア / アンパッキング / コード領域 / 確率的逆アセンブル / / / / |
(英) |
malware / unpacking / code region / probabilistic disassembly / / / / |
文献情報 |
信学技報, vol. 110, no. 79, ICSS2010-4, pp. 19-24, 2010年6月. |
資料番号 |
ICSS2010-4 |
発行日 |
2010-06-10 (IA, ICSS) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
IA2010-4 ICSS2010-4 |