テイントフォレンジックスによるIAT再構築

川古谷, 裕平; 岩村, 誠; 三好, 潤; Yuhei, Kawakoya; Makoto, Iwamura; Jun, Miyoshi

WEKO3

インデックスツリー

RootNode

アイテム

テイントフォレンジックスによるIAT再構築

https://ipsj.ixsq.nii.ac.jp/records/187263

名前 / ファイル	ライセンス	アクション
IPSJCSS2017088.pdf (450.8 kB)	Copyright (c) 2017 by the Information Processing Society of Japan
オープンアクセス

Item type

Symposium(1)

公開日

2017-10-16

タイトル

テイントフォレンジックスによるIAT再構築

タイトル

言語

タイトル

Taint-Assisted Forensics for IAT Reconstruction

言語

jpn

キーワード

主題Scheme

Other

主題

フォレンジックス，テイント解析，マルウェア，IAT再構築，API

資源タイプ

資源タイプ識別子

http://purl.org/coar/resource_type/c_5794

資源タイプ

conference paper

著者所属

NTTセキュアプラットフォーム研究所

著者所属

NTTセキュアプラットフォーム研究所

著者所属

NTTセキュアプラットフォーム研究所

著者所属(英)

NTT Secure Platform Laboratories

著者所属(英)

NTT Secure Platform Laboratories

著者所属(英)

NTT Secure Platform Laboratories

著者名

川古谷, 裕平
岩村, 誠
三好, 潤

著者名(英)

Yuhei, Kawakoya
Makoto, Iwamura
Jun, Miyoshi

論文抄録

内容記述タイプ

Other

内容記述

マルウェアの静的解析において，Windows APIはマルウェアの機能を効率的に読み取るための重要な情報源である．しかし，その有用性のため，マルウェア作者はマルウェアに難読化を施し，インポートしているAPIを隠蔽する傾向がある．本論文では，マルウェアが利用するAPI難読化手法とそれらを解析する既存手法を整理し，既存手法がAPIの配置場所を難読化する解析妨害に脆弱であることを示す．次に，この問題を解決するため，テイント解析により得た情報に基づき，メモリダンプ内のIATのAPIアドレス解決を行う提案する．本提案手法を用いることで，マルウェが配置場所難読化を施した場合でも，インポートしているAPIを正確に特定できることを実験にて示す．

書誌レコードID

識別子タイプ

NCID

Versions

Ver.1

2025-01-20 02:19:46.124186

Show All versions

Cite as

エクスポート

OAI-PMH

JPCOAR
DublinCore
DDI

Other Formats

JSON
BIBTEX

インデックスリンク

インデックスツリー

アイテム

テイントフォレンジックスによるIAT再構築

× 川古谷, 裕平

× 岩村, 誠

× 三好, 潤

× Yuhei, Kawakoya

× Makoto, Iwamura

× Jun, Miyoshi

Versions

Share

Cite as

エクスポート