| 講演名 | 2013-11-12 実行命令系列の出現順序に着目したOEP特定手法の提案(通信セキュリティ,一般) 中村 徳昭, 森井 昌克, 伊沢 亮一, 井上 大介, 中尾 康二, |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | 数多くのパッカーに対抗するため,汎用アンパッキングに関する研究が盛んに行われている.汎用アンパッキングの多くはメモリ上で書き込み/実行が行われた地点をOEP(オリジナルエントリポイント)としてメモリダンプを行うことでオリジナルコードを抽出する.しかしパッカーの種類によっては書き込み後に実行されるケースが複数発生するため,複数の候補からOEPを決定することが課題となる.本稿では実行命令系列の出現順序に着目した,高精度にOEPを判定する手法を提案する.、パッカーの動作はマルウェアに比べて展開処理に特化しており,実行命令系列の出現パターンが特徴的である.そのためオリジナルコードと復号コードでは実行命令系列の出現順序に差異が出ると考えた.オリジナルコードセクションを機械学習によって特定し,そのセクションで最初に実行された地点をOEPとする.機械学習はk-NN法を採用し,学習データには各セクションから得られる実行命令系列のLCSを用いた.評価実験では48種類のパッカーを用いて5-分割交差検定を行った結果,35種類のパッカーに対して97.29%の精度でOEPを検出できた. |
| 抄録(英) | To skip unpacking steps, automated generic unpacking methods are strongly required. Most of generic unpackers extract memory areas where data was written and then executed, and decide original entry point. However, some packers repeat writing and executing data on the memory, so that there are multiple candidates of the original entry point. In this paper, we propose a detection method that decides right candidate by using the order of opcodes. Compared with malwares which have many functions, packers simply decode. Therefore we build a hypothesis that the order of opcodes have difference between original codes and packer's codes. We specify the section of original codes by machine learning, and decide original entry point by detecting first execution of the section. For machine learning, we use k-Nearest Neighbor Algorithm, and Longest Common Subsequence of extracted opcodes from each section. The experiment with 5-fold cross validation results in detecting 97.29% original entry point for 35 packers out of 48. |
| キーワード(和) | マルウェア解析 / パッカー / オペコード / オリジナルエントリポイント |
| キーワード(英) | Malware analysis / Packer / Opcode / OEP |
| 資料番号 | ICSS2013-59 |
| 発行日 |
| 研究会情報 | |
| 研究会 | ICSS |
|---|---|
| 開催期間 | 2013/11/5(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Information and Communication System Security (ICSS) |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | 実行命令系列の出現順序に着目したOEP特定手法の提案(通信セキュリティ,一般) |
| サブタイトル(和) | |
| タイトル(英) | An OEP Identifying Method based on the Order of Opcodes |
| サブタイトル(和) | |
| キーワード(1)(和/英) | マルウェア解析 / Malware analysis |
| キーワード(2)(和/英) | パッカー / Packer |
| キーワード(3)(和/英) | オペコード / Opcode |
| キーワード(4)(和/英) | オリジナルエントリポイント / OEP |
| 第 1 著者 氏名(和/英) | 中村 徳昭 / Noriaki NAKAMURA |
| 第 1 著者 所属(和/英) | 神戸大学大学院工学研究科 Graduate School of Engineering, Kobe University |
| 第 2 著者 氏名(和/英) | 森井 昌克 / Masakatu MORII |
| 第 2 著者 所属(和/英) | 神戸大学大学院工学研究科 Graduate School of Engineering, Kobe University |
| 第 3 著者 氏名(和/英) | 伊沢 亮一 / Ryoichi ISAWA |
| 第 3 著者 所属(和/英) | 独立行政法人情報通信研究機構 NICT |
| 第 4 著者 氏名(和/英) | 井上 大介 / Daisuke INOUE |
| 第 4 著者 所属(和/英) | 独立行政法人情報通信研究機構 NICT |
| 第 5 著者 氏名(和/英) | 中尾 康二 / Koji NAKAO |
| 第 5 著者 所属(和/英) | 独立行政法人情報通信研究機構 NICT |
| 発表年月日 | 2013-11-12 |
| 資料番号 | ICSS2013-59 |
| 巻番号(vol) | vol.113 |
| 号番号(no) | 288 |
| ページ範囲 | pp.- |
| ページ数 | 6 |
| 発行日 | |