Windows APIコールのログからのマルウェアの動作再現の検討
Search this article
Abstract
インシデント対応では,調査の過程で,情報資産,ネットワーク構成,保存されているログに基づき,被害を受けた可能性のある端末や情報を洗い出し,影響の範囲を確定させるといった,証拠の収集,処理が行われる.しかし,OSやネットワーク,マルウェアに関する相応の知識がないと,ログから当時何が起こったのか,人や機器,ソフトウェアがどのような振る舞いをしたのかを把握することは容易ではない.我々は,これまで,インシデント対応時に,マルウェア等の不正なソフトウェアの動作を再現して,他の端末やシステムと,どのような関わりがあったのか検証できるように,Windows APIコールのログからマルウェアの動作を再現,可視化するツールの試作を進めてきた.本稿では,マルウェアでよく用いられるWin32 APIのうち,ファイル・ディレクトリ操作,HTTP通信の他に,新たにプロセス・スレッド管理,レジストリ操作のAPIに対応した,試作中のツールの機構,動作実験について述べる.
Journal
-
- 第81回全国大会講演論文集
-
第81回全国大会講演論文集 2019 (1), 439-440, 2019-02-28
- Tweet
Keywords
Details 詳細情報について
-
- CRID
- 1050855522065760000
-
- NII Article ID
- 170000179247
-
- NII Book ID
- AN00349328
-
- Web Site
- http://id.nii.ac.jp/1001/00196160/
-
- Text Lang
- ja
-
- Article Type
- conference paper
-
- Data Source
-
- IRDB
- CiNii Articles