WEKO3
-
RootNode
アイテム
クロック分解能を用いたRaspberry Pi仮想マシンの検出
https://ipsj.ixsq.nii.ac.jp/records/210123
https://ipsj.ixsq.nii.ac.jp/records/2101237efc68a0-b00a-4498-816a-75bb0b9659b6
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSEC21092026.pdf (1.2 MB)
|
Copyright (c) 2021 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | SIG Technical Reports(1) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 公開日 | 2021-03-08 | |||||||||
| タイトル | ||||||||||
| タイトル | クロック分解能を用いたRaspberry Pi仮想マシンの検出 | |||||||||
| タイトル | ||||||||||
| 言語 | en | |||||||||
| タイトル | Virtual Machine Detection for Raspberry Pi with Clock Resolution | |||||||||
| 言語 | ||||||||||
| 言語 | jpn | |||||||||
| キーワード | ||||||||||
| 主題Scheme | Other | |||||||||
| 主題 | IoTセキュリティ | |||||||||
| 資源タイプ | ||||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||||
| 資源タイプ | technical report | |||||||||
| 著者所属 | ||||||||||
| 筑波大学 | ||||||||||
| 著者所属 | ||||||||||
| 筑波大学 | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| University of Tsukuba | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| University of Tsukuba | ||||||||||
| 著者名 |
鈴木, 克弥
× 鈴木, 克弥
× 大山, 恵弘
|
|||||||||
| 論文抄録 | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | 近年の IoT デバイスの普及に伴って,IoT デバイスを攻撃対象とするマルウェアが増加している.マルウェアの挙動を解析することは非常に重要なトピックの 1 つであり,その中でもマルウェアの解析回避処理を解明することは大きな意味を持つ.IoT デバイスで採用されている Arm アーキテクチャは一般的なコンピュータで採用されている x86 アーキテクチャとは異なる特徴を持つ.また,OS も Windows ではなく Linux が採用されることが多い.しかし,解析回避処理を扱う既存研究の多くが x86 アーキテクチャや Windows を対象としている.したがって,Arm アーキテクチャや Linux を対象とするマルウェアの解析回避処理の研究が必要である.これまでに発見された解析回避処理の 1 つに仮想マシンの検出がある.本研究では,Arm アーキテクチャと Linux を採用している代表的な IoT デバイスとして Raspberry Pi を対象とし,実マシンと仮想マシンでクロックの分解能に差があることを利用し,仮想マシンを検出する手法を提案する.また,提案手法に基づいて仮想マシン検出プログラムを作成し,実験の結果,その有効性を確認した. | |||||||||
| 論文抄録(英) | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | In recent years, IoT malware has been increasing along with the widespread use of IoT devices. Analyzing the behavior of malware is one of the most important topics. In particular, we focused on elucidating the analysis evasion process of malware. The Arm architecture used in IoT devices has different characteristics from the x86 architecture used in general computers. However, most of the existing researches dealing with analysis evasion process target the x86 architecture. Therefore, it is necessary to study the analysis evasion process for malware targeting the Arm architecture. The virtual machine detection is one of the analysis evasion processes discovered so far. In this paper, we propose a new method for detecting virtual machines. The method focuses on the difference in clock resolution between real and virtual machines, and targets the Raspberry Pi as a typical machine that uses the Arm architecture. We have implemented a virtual machine detection program based on the proposed method and confirmed its effectiveness through experimental results. | |||||||||
| 書誌レコードID | ||||||||||
| 収録物識別子タイプ | NCID | |||||||||
| 収録物識別子 | AA11235941 | |||||||||
| 書誌情報 |
研究報告コンピュータセキュリティ(CSEC) 巻 2021-CSEC-92, 号 26, p. 1-6, 発行日 2021-03-08 |
|||||||||
| ISSN | ||||||||||
| 収録物識別子タイプ | ISSN | |||||||||
| 収録物識別子 | 2188-8655 | |||||||||
| Notice | ||||||||||
| SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||||
| 出版者 | ||||||||||
| 言語 | ja | |||||||||
| 出版者 | 情報処理学会 | |||||||||
