Code Capture from Self-Modifying Malwares

IPSJ

Bibliographic Information

Other Title
  • 多段パックされたマルウェアからのコード取得

Description

近年のマルウェアは,解析を困難にするためにパッキングが施されている場合が多く,解析を行う際は,まずパッキングを解除する必要がある.パッキングの手法は様々で,中でも多段パックと呼ばれる手法はコード展開の処理が複雑になっており,オリジナルコードの取得が難しい.本研究では,多段パックに対して汎用的にオリジナルコードを取得することを目的とし,代表的な多段パッカー3種の共通のアルゴリズムを調査したところ,パッキング解除時にはメモリ各所に対して操作を行なうが,最終的には実行コードが必ずtext部に展開されることがわかった.本稿ではこの点に着目しtext部を監視することでオリジナルコードを取得する方法の詳細を与える.

Most malwares are packed or encrypted.In order to analyze such malwares, we have to unpack them and extract the original code from it.There are many techniques of packing.It is difficult to extract original codes from multi-stage packer because codes expansion is complicated.In this paper,we present our preliminary efforts toward generic binary unpacking of multi-stage packer(tElock,PESpin,yoda's Crypter).We confirmed these packer algorithms.Original codes which is packed by multi-stage packer reveal text area finally.

Journal

Keywords

Details 詳細情報について

Report a problem

Back to top