- 【Updated on May 12, 2025】 Integration of CiNii Dissertations and CiNii Books into CiNii Research
- Trial version of CiNii Research Knowledge Graph Search feature is available on CiNii Labs
- 【Updated on June 30, 2025】Suspension and deletion of data provided by Nikkei BP
- Regarding the recording of “Research Data” and “Evidence Data”
Tracing of Windows Services Using Malware Dynamic Analysis System Alkanet
Bibliographic Information
- Other Title
-
- マルウェア動的解析システムAlkanetによるWindowsサービスの追跡
Description
マルウェアの中には解析されることを避けるため単一のプロセスとして動作せず,Windowsに内蔵されたOSの機能により他のプロセスを利用することで解析を回避するものが存在する.そうしたOSの機能の一つにWindowsサービスがあり,Windowsによって提供される複数のサービスが,それぞれ単一のプロセスとして動作する.サービスへのリクエスト送信にはAdvanced Local Procedure Call (ALPC)が主に用いられる.ALPCの仕様は文書化されておらず,リクエスト内容や送信先の特定が難しいことから,マルウェアによるサービスの利用を動的解析により追跡することは難しい.本論文では,我々が開発してきたWindowsマルウェアの動的解析向けのシステムコールトレーサであるAlkanetからALPCを新たに観測し,マルウェアによるサービスの利用を追跡可能にした.
Some malware evades detection by avoiding execution as a single process and using operating system functions to spawn other processes. Windows services are one of these functions, with each service running as an independent process. Advanced Local Procedure Call (ALPC) is used to communicate with these services. However, identifying the content and destination of requests is difficult due to the lack of published documentation on the ALPC specifications. As a result, it is difficult to track the use of services by malware through dynamic analysis. This paper presents Alkanet, a system call tracer designed for dynamic analysis of Windows malware, which can trace malware's use of Windows services.
Journal
-
- コンピュータセキュリティシンポジウム2024論文集
-
コンピュータセキュリティシンポジウム2024論文集 1697-1704, 2024-10-15
情報処理学会
- Tweet
Keywords
Details 詳細情報について
-
- CRID
- 1050302237609672448
-
- Text Lang
- ja
-
- Article Type
- conference paper
-
- Data Source
-
- IRDB