多段パックされたマルウェアからのコード取得
書誌事項
- タイトル別名
-
- Code Capture from Self-Modifying Malwares
説明
近年のマルウェアは,解析を困難にするためにパッキングが施されている場合が多く,解析を行う際は,まずパッキングを解除する必要がある.パッキングの手法は様々で,中でも多段パックと呼ばれる手法はコード展開の処理が複雑になっており,オリジナルコードの取得が難しい.本研究では,多段パックに対して汎用的にオリジナルコードを取得することを目的とし,代表的な多段パッカー3種の共通のアルゴリズムを調査したところ,パッキング解除時にはメモリ各所に対して操作を行なうが,最終的には実行コードが必ずtext部に展開されることがわかった.本稿ではこの点に着目しtext部を監視することでオリジナルコードを取得する方法の詳細を与える.
Most malwares are packed or encrypted.In order to analyze such malwares, we have to unpack them and extract the original code from it.There are many techniques of packing.It is difficult to extract original codes from multi-stage packer because codes expansion is complicated.In this paper,we present our preliminary efforts toward generic binary unpacking of multi-stage packer(tElock,PESpin,yoda's Crypter).We confirmed these packer algorithms.Original codes which is packed by multi-stage packer reveal text area finally.
収録刊行物
-
- コンピュータセキュリティシンポジウム2012論文集
-
コンピュータセキュリティシンポジウム2012論文集 2012 (3), 15-21, 2012-10-23
情報処理学会
- Tweet
キーワード
詳細情報 詳細情報について
-
- CRID
- 1050011097143761536
-
- NII論文ID
- 170000072663
-
- 本文言語コード
- ja
-
- 資料種別
- conference paper
-
- データソース種別
-
- IRDB
- CiNii Articles
