仮想計算機モニタを用いたWindows 10 64bit環境におけるスタックトレースの実現
書誌事項
- タイトル別名
-
- Implementation of Stack Trace on Windows 10 x64 Using Virtual Machine Monitor
抄録
64bitマルウェアの出現に伴って64bitマルウェアの解析が求められるようになった.我々は仮想化技術を用い,Windows 10上で64bitマルウェアの解析を可能とするシステムコールトレーサAlkanet 10を開発している.現在,マルウェアによるコードインジェクションの挙動追跡機能のAlkanet 10への実装を試みているが,x64における呼出し規約はx86と異なりフレームポインタを利用しないため,スタックトレースの実現は容易ではない.本論文では,Windowsの内部構造であるVADツリーとPEファイル内の.pdataセクションからスタックトレースを実現する方法を提案する.
Along with an advent of 64-bit malware, analysis of 64-bit malware is now required. We are developing Alkanet 10, which is a system call tracer for 64-bit malware analysis on Windows 10 using virtualization technology. At present, we are attempting to implement a stack trace on Alkanet 10 to trace code injection behavior by malware. However, it is not easy to realize the stack trace because the calling convention on x64 does not use a frame pointer unlike x86. In this paper, we propose a way to implement the stack trace using VAD tree and .pdata section in PE file.
収録刊行物
-
- コンピュータセキュリティシンポジウム2017論文集
-
コンピュータセキュリティシンポジウム2017論文集 2017 (2), 2017-10-16
- Tweet
詳細情報 詳細情報について
-
- CRID
- 1050855522083266944
-
- NII論文ID
- 170000176391
-
- Web Site
- http://id.nii.ac.jp/1001/00187157/
-
- 本文言語コード
- ja
-
- 資料種別
- conference paper
-
- データソース種別
-
- IRDB
- CiNii Articles