| 電子情報通信学会 研究会発表申込システム 講演論文 詳細 |
技報閲覧サービス [ログイン] 技報アーカイブ |
| トップに戻る | 前のページに戻る | [Japanese] / [English] |
| 講演抄録/キーワード | ||
| 講演名 | 2010-11-05 16:25 CPUエミュレータとDynamic Binary Instrumentationの併用によるシェルコード動的分析手法の提案 ○神保千晶・吉岡克成・四方順司・松本 勉(横浜国大)・衛藤将史・井上大介・中尾康二(NICT)  ICSS2010-54 |
|
| 抄録 | (和) | Confickerの大流行が示す通り,リモートエクスプロイト攻撃によるマルウェア感染は依然としてインターネット上の重大な脅威といえる.これまでシェルコードを検知するための様々な手法が提案されているが,シェルコード自体の傾向分析や分類に関する検討は多くない.そこで本研究では,大量のシェルコードを自動分析するため,高速なCPUエミュレータによりシェルコードを検知した後,Dynamic Binary InstrumentationツールであるPINを用いてWindows OS上の実行トレースによる詳細な分析を行うシェルコード分析手法を提案する.提案手法では,実行トレースからNOPスレッドの位置や種類,自己書き換えコードのデコーダの種類,ペイロードの内容,使用API等を把握し,これらの情報を用いてシェルコードの分析や分類を行う. |
| (英) | The epidemic of Conficker shows that remote exploit attack is still one of the most serious threats on the computer systems. Detecting the presence of these attacks in network traffic has been a major focus of the security community. Detecting remote exploit attacks, however, is not always sufficient to mitigate the threat, and it is also important to understand what these attacks do to the target systems. In this paper, we propose a shellcode analysis method, which utilizes CPU emulator for detecting shellcodes, and analyzes them in detail by tracing its execution on real Windows OS using Dynamic Binary Instrumentation. In the method, we automatically analyze and classify shellcodes according to their characteristic components such as NOP sled, decoder, and content of payload including API calls. | |
| キーワード | (和) | リモートエクスプロイト攻撃 / シェルコード / 分析・分類 / CPUエミュレーション / Dynamic Binary Instrumentation / / / |
| (英) | Remote exploit attacks / Shellcode / Analysis and Classification / CPU emulation / Dynamic Binary Instrumentation / / / | |
| 文献情報 | 信学技報, vol. 110, no. 266, ICSS2010-54, pp. 59-64, 2010年11月. | |
| 資料番号 | ICSS2010-54 | |
| 発行日 | 2010-10-29 (ICSS) | |
| ISSN | Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 | |
| 著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) | |
| PDFダウンロード | ICSS2010-54 |
|
| 研究会情報 | |
| 研究会 | ICSS |
| 開催期間 | 2010-11-05 - 2010-11-05 |
| 開催地(和) | 広島市立大学 |
| 開催地(英) | Hiroshima City University |
| テーマ(和) | 一般 |
| テーマ(英) | General |
| 講演論文情報の詳細 | |
| 申込み研究会 | ICSS |
| 会議コード | 2010-11-ICSS |
| 本文の言語 | 日本語 |
| タイトル(和) | CPUエミュレータとDynamic Binary Instrumentationの併用によるシェルコード動的分析手法の提案 |
| サブタイトル(和) | |
| タイトル(英) | A Shellcode Analysis Method using CPU emulator and Dynamic Binary Instrumentation |
| サブタイトル(英) | |
| キーワード(1)(和/英) | リモートエクスプロイト攻撃 / Remote exploit attacks |
| キーワード(2)(和/英) | シェルコード / Shellcode |
| キーワード(3)(和/英) | 分析・分類 / Analysis and Classification |
| キーワード(4)(和/英) | CPUエミュレーション / CPU emulation |
| キーワード(5)(和/英) | Dynamic Binary Instrumentation / Dynamic Binary Instrumentation |
| キーワード(6)(和/英) | / |
| キーワード(7)(和/英) | / |
| キーワード(8)(和/英) | / |
| 第1著者 氏名(和/英/ヨミ) | 神保 千晶 / Chiaki Jimbo / ジンボ チアキ |
| 第1著者 所属(和/英) | 横浜国立大学 (略称: 横浜国大) Yokohama National University (略称: Yokohama National Univ.) |
| 第2著者 氏名(和/英/ヨミ) | 吉岡 克成 / Katsunari Yoshioka / ヨシオカ カツナリ |
| 第2著者 所属(和/英) | 横浜国立大学 (略称: 横浜国大) Yokohama National University (略称: Yokohama National Univ.) |
| 第3著者 氏名(和/英/ヨミ) | 四方 順司 / Junji Shikata / シカタ ジュンジ |
| 第3著者 所属(和/英) | 横浜国立大学 (略称: 横浜国大) Yokohama National University (略称: Yokohama National Univ.) |
| 第4著者 氏名(和/英/ヨミ) | 松本 勉 / Tsutomu Matsumoto / マツモト ツトム |
| 第4著者 所属(和/英) | 横浜国立大学 (略称: 横浜国大) Yokohama National University (略称: Yokohama National Univ.) |
| 第5著者 氏名(和/英/ヨミ) | 衛藤 将史 / Masashi Eto / エトウ マサシ |
| 第5著者 所属(和/英) | 情報通信研究機構 (略称: NICT) National Institute of Information and Communications Technology (略称: NICT) |
| 第6著者 氏名(和/英/ヨミ) | 井上 大介 / Daisuke Inoue / イノウエ ダイスケ |
| 第6著者 所属(和/英) | 情報通信研究機構 (略称: NICT) National Institute of Information and Communications Technology (略称: NICT) |
| 第7著者 氏名(和/英/ヨミ) | 中尾 康二 / Koji Nakao / ナカオ コウジ |
| 第7著者 所属(和/英) | 情報通信研究機構 (略称: NICT) National Institute of Information and Communications Technology (略称: NICT) |
| 第8著者 氏名(和/英/ヨミ) | / / |
| 第8著者 所属(和/英) | (略称: ) (略称: ) |
| 第9著者 氏名(和/英/ヨミ) | / / |
| 第9著者 所属(和/英) | (略称: ) (略称: ) |
| 第10著者 氏名(和/英/ヨミ) | / / |
| 第10著者 所属(和/英) | (略称: ) (略称: ) |
| 第11著者 氏名(和/英/ヨミ) | / / |
| 第11著者 所属(和/英) | (略称: ) (略称: ) |
| 第12著者 氏名(和/英/ヨミ) | / / |
| 第12著者 所属(和/英) | (略称: ) (略称: ) |
| 第13著者 氏名(和/英/ヨミ) | / / |
| 第13著者 所属(和/英) | (略称: ) (略称: ) |
| 第14著者 氏名(和/英/ヨミ) | / / |
| 第14著者 所属(和/英) | (略称: ) (略称: ) |
| 第15著者 氏名(和/英/ヨミ) | / / |
| 第15著者 所属(和/英) | (略称: ) (略称: ) |
| 第16著者 氏名(和/英/ヨミ) | / / |
| 第16著者 所属(和/英) | (略称: ) (略称: ) |
| 第17著者 氏名(和/英/ヨミ) | / / |
| 第17著者 所属(和/英) | (略称: ) (略称: ) |
| 第18著者 氏名(和/英/ヨミ) | / / |
| 第18著者 所属(和/英) | (略称: ) (略称: ) |
| 講演者 | 第1著者 |
| 発表日時 | 2010-11-05 16:25:00 |
| 発表時間 | 25分 |
| 申込先研究会 | ICSS |
| 資料番号 | ICSS2010-54 |
| 巻番号(vol) | vol.110 |
| 号番号(no) | no.266 |
| ページ範囲 | pp.59-64 |
| ページ数 | 6 |
| 発行日 | 2010-10-29 (ICSS) |
[研究会発表申込システムのトップページに戻る]