実行命令トレースに基づく動的パッカー特定手法

書誌事項

タイトル別名
  • Dynamic Packer Identification Based on Instruction Trace

抄録

多くのマルウェアにはパッカーと呼ばれるツールにより解析を妨害するためのアンチデバッグ機能の付与やコードを読みにくくする難読化が施されている.解析者はマルウェア本体の解析を行うためにはこのアンチデバッグ機能を回避し,難読化を解き,オリジナルコードを取得するアンパッキングとよばれる作業が必要となる.本論文では,マルウェアを閉環境で動作させ,その実行トレース結果に基づきパッカーの種類を特定する方法を提案する.パッカーの種類を特定することにより,複数提案されている汎用アンパッキング手法の中から最適な手法を選択することが可能となり,正確なアンパッキングが行えるようになることを示す.

Much malware is obfuscated and equipped with anti-debugging functionalities by a packer which is for the purpose of interfering analysis. An analyst needs an unpacking procedure which is avoiding the anti-debugging traps, solving an obfuscation and extracting an original code of packed malware in order to reveal true functionalities of malware. In this paper, we proposed the method of identifying the type of packed malware based on execution instruction trace by executing it in an closed environment. Our proposal method helps to select the best unpacking method and unpack a malware correctly.

収録刊行物

詳細情報 詳細情報について

  • CRID
    1050855522074012672
  • NII論文ID
    170000067444
  • Web Site
    http://id.nii.ac.jp/1001/00077899/
  • 本文言語コード
    ja
  • 資料種別
    conference paper
  • データソース種別
    • IRDB
    • CiNii Articles

問題の指摘

ページトップへ