| 講演名 | 2012-07-19 テイントタグを用いた解析対象コードの識別方法(セキュリティ,一般) 川古谷 裕平, 岩村 誠, 針生 剛男, |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | マルウェアの挙動を把握するため、仮想マシン上でマルウェアを実行し解析する手法が広く利用されている。仮想マシン上には複数のプロセスが動作しているため、解析対象プログラムの動作と正規のプログラムの動作を識別する必要がある。通常はプロセスIDやCR3レジスタ、メモリアドレスなどのOSのセマンティックス情報を用いて識別することが多い。本稿では、テイントタグに基づきOSの解析対象プログラムを識別する方法を提案する。本提案手法を用いることで、ゲストOSに依存せずに解析対象コードを識別することができる。提案手法の有効性を示すため、ゲストOSとして異なるバージョンのWindowsとLinuxを用意し実験を行った。結果、異なるOSでも正確に解析対象プログラムの識別を行えることを示した。 |
| 抄録(英) | Executing and analyzing malware in a virtual machine is an approach widely used for understanding the behaviors of malware. In such a case, since there are multiple processes running in a virtual machine, making a correct distinction between target processes and the others is a requirement. Process IDs, CR3 register, or memory address, i.e. OS semantics information, are usually used for making the distinction. In this paper, we propose an approach for identifying the targeted program to be analyzed using taint tags. Our approach makes it possible to correctly identify the code targeted for analysis without depending on the guest OS. To demonstrate the effectiveness of our approach, we have conducted experiments with various versions of Windows and Linux as the guest OS. The results show our approach is capable of correctly identifying the code to be analyzed, even with different OSes. |
| キーワード(和) | マルウェア / 動的解析 / テイントタグ / 仮想マシン / セマンティックギャップ |
| キーワード(英) | Malware / Dynamic Analysis / Taint Tag / Virtual Machine / Semantic Gap |
| 資料番号 | ISEC2012-20,SITE2012-16,ICSS2012-22,EMM2012-12 |
| 発行日 |
| 研究会情報 | |
| 研究会 | ISEC |
|---|---|
| 開催期間 | 2012/7/12(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Information Security (ISEC) |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | テイントタグを用いた解析対象コードの識別方法(セキュリティ,一般) |
| サブタイトル(和) | |
| タイトル(英) | Identifying the Code to be Analyzed with Taing Tags |
| サブタイトル(和) | |
| キーワード(1)(和/英) | マルウェア / Malware |
| キーワード(2)(和/英) | 動的解析 / Dynamic Analysis |
| キーワード(3)(和/英) | テイントタグ / Taint Tag |
| キーワード(4)(和/英) | 仮想マシン / Virtual Machine |
| キーワード(5)(和/英) | セマンティックギャップ / Semantic Gap |
| 第 1 著者 氏名(和/英) | 川古谷 裕平 / Yuhei KAWAKOYA |
| 第 1 著者 所属(和/英) | NTTセキュアプラットフォーム研究所 NTT Secure Platform Labratories |
| 第 2 著者 氏名(和/英) | 岩村 誠 / Makoto IWAMURA |
| 第 2 著者 所属(和/英) | NTTセキュアプラットフォーム研究所 NTT Secure Platform Labratories |
| 第 3 著者 氏名(和/英) | 針生 剛男 / Takeo HARIU |
| 第 3 著者 所属(和/英) | NTTセキュアプラットフォーム研究所 NTT Secure Platform Labratories |
| 発表年月日 | 2012-07-19 |
| 資料番号 | ISEC2012-20,SITE2012-16,ICSS2012-22,EMM2012-12 |
| 巻番号(vol) | vol.112 |
| 号番号(no) | 126 |
| ページ範囲 | pp.- |
| ページ数 | 6 |
| 発行日 | |