Windows APIコールのログからのマルウェアの動作再現の検討

情報処理学会

この論文をさがす

抄録

インシデント対応では,調査の過程で,情報資産,ネットワーク構成,保存されているログに基づき,被害を受けた可能性のある端末や情報を洗い出し,影響の範囲を確定させるといった,証拠の収集,処理が行われる.しかし,OSやネットワーク,マルウェアに関する相応の知識がないと,ログから当時何が起こったのか,人や機器,ソフトウェアがどのような振る舞いをしたのかを把握することは容易ではない.我々は,これまで,インシデント対応時に,マルウェア等の不正なソフトウェアの動作を再現して,他の端末やシステムと,どのような関わりがあったのか検証できるように,Windows APIコールのログからマルウェアの動作を再現,可視化するツールの試作を進めてきた.本稿では,マルウェアでよく用いられるWin32 APIのうち,ファイル・ディレクトリ操作,HTTP通信の他に,新たにプロセス・スレッド管理,レジストリ操作のAPIに対応した,試作中のツールの機構,動作実験について述べる.

収録刊行物

キーワード

詳細情報 詳細情報について

問題の指摘

ページトップへ