WEKO3
-
RootNode
アイテム
IATエントリ格納場所の特定方法
https://ipsj.ixsq.nii.ac.jp/records/77898
https://ipsj.ixsq.nii.ac.jp/records/778980879071e-482d-4f6d-a744-8d18ad95d96c
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJCSS2011003 (197.3 kB)
|
Copyright (c) 2011 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Symposium(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2011-10-12 | |||||||
| タイトル | ||||||||
| タイトル | IATエントリ格納場所の特定方法 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Specifying the Addresses of IAT Entries | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | マルウェア検体(1) | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||
| 資源タイプ | conference paper | |||||||
| 著者所属 | ||||||||
| NTT情報流通プラットフォーム研究所 | ||||||||
| 著者所属 | ||||||||
| NTT情報流通プラットフォーム研究所 | ||||||||
| 著者所属 | ||||||||
| NTT情報流通プラットフォーム研究所 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| NTT Information Sharing Platform Laboratories | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| NTT Information Sharing Platform Laboratories | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| NTT Information Sharing Platform Laboratories | ||||||||
| 著者名 |
岩村, 誠
川古谷, 裕平
針生, 剛男
× 岩村, 誠 川古谷, 裕平 針生, 剛男
|
|||||||
| 著者名(英) |
Makoto, Iwamura
Yuhei, Kawakoya
Takeo, Hariu
× Makoto, Iwamura Yuhei, Kawakoya Takeo, Hariu
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 本論文では,アンパッキング後のマルウェアにおけるインポート・アドレス・テーブル(IAT)のエントリ格納場所を特定する手法を提案する.従来の手法は,マルウェアの逆アセンブル結果からIATを利用する機械語命令を探し出すことでIAT格納場所を推定していた.しかしWindows用コンパイラは可変長の機械語命令とデータが混在するバイナリを出力する傾向にあるため,正確な逆アセンブル結果を得ることは難しい.こうした問題に対し提案手法は,マルウェア内の各アドレスがIATエントリ格納場所である確率を算出し,当該確率が十分に高いアドレスを探し出すことで,精度よくIATエントリの格納場所を特定することを可能にした. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | We propose a novel approach, which accurately specifies the addresses of Import Address Table (IAT) entries in unpacked malware. Existing approaches specify the IAT entry addresses by finding the machine code instructions that uses an IAT entry in the result of disassembly. However, since a compiler for Windows tends to output a binary mixing variable length instructions and data, it is difficult to correctly disassemble unpacked malware. For solving the problem, our approach calculates the probabilities that each address in malware points to an IAT entry, and then finds highly probable IAT entry addresses. | |||||||
| 書誌情報 |
コンピュータセキュリティシンポジウム2011 論文集 巻 2011, 号 3, p. 12-17, 発行日 2011-10-12 |
|||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
