WEKO3
-
RootNode
アイテム
動的エミュレーションと静的解析を併用したバイナリコードの解析手法
https://ipsj.ixsq.nii.ac.jp/records/68153
https://ipsj.ixsq.nii.ac.jp/records/68153a0cb0c53-ca08-4107-9e1c-73c5cce15c4a
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-DPS10142036.pdf (407.0 kB)
|
Copyright (c) 2010 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | SIG Technical Reports(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2010-02-25 | |||||||
| タイトル | ||||||||
| タイトル | 動的エミュレーションと静的解析を併用したバイナリコードの解析手法 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | A Method for Analyzing Malware using Lightweight Emulation and Static Analysis of Binary Code | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | マルウェア1 | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||
| 資源タイプ | technical report | |||||||
| 著者所属 | ||||||||
| 独立行政法人産業技術総合研究所 | ||||||||
| 著者所属 | ||||||||
| 独立行政法人産業技術総合研究所 | ||||||||
| 著者所属 | ||||||||
| 独立行政法人産業技術総合研究所 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| National Institute of Advanced Industry and Technology | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| National Institute of Advanced Industry and Technology | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| National Institute of Advanced Industry and Technology | ||||||||
| 著者名 |
泉田, 大宗
橋本, 政朋
森, 彰
× 泉田, 大宗 橋本, 政朋 森, 彰
|
|||||||
| 著者名(英) |
Tomonori, IZUMIDA
Masatomo, HASHIMOTO
Akira, MORI
× Tomonori, IZUMIDA Masatomo, HASHIMOTO Akira, MORI
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 本稿では軽量の動的エミュレーションと静的解析を組み合わせたマルウェアの振る舞い解析を自動化する手法について述べる。動的解析により実行時の情報を得るとともに、エミュレーションでは実行されなかった制御フローを静的解析を用いて調べることができる。静的解析ではバイナリコードから制御フローグラフ (CFG) を作成するが、間接ジャンプ/コールの行き先アドレスのような未解決な行き先に対し記号的評価を行い、定数値に帰結させることで順次 CFG を拡大する手法を用いている。記号的評価手法は静的単一代入 (SSA) 形式に変換した上で定数伝播とメモリアクセス解析を行っている。実際のマルウェアサンプルを用いた実験を行い、本手法の有効性を示した。 | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | We present an automated method for analyzing malware behaviors based on a combination of lightweight emulation and static analysis of binary executables. The emulator gathers run-time information while static analysis reveals control flows not explored by the emulator. The static analyzer incrementally converts binary code into static single assignment (SSA) form in which indeterminate values such as destination addresses of indirect jumps/calls and return addresses are symbolically evaluated for further conversion by constant propagation and by memory read/write tracing. The results of experiments conducted on malware samples collected in a real environment are presented to demonstrate the capability of the method. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AN10116224 | |||||||
| 書誌情報 |
研究報告マルチメディア通信と分散処理(DPS) 巻 2010-DPS-142, 号 36, p. 1-8, 発行日 2010-02-25 |
|||||||
| Notice | ||||||||
| SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
