ログイン 新規登録
言語:

WEKO3
  • トップ
  • ランキング
To
lat lon distance
To

Field does not validate



インデックスリンク

インデックスツリー

メールアドレスを入力してください。

WEKO

One fine body…

WEKO

One fine body…

アイテム

  1. 研究報告
  2. セキュリティ心理学とトラスト(SPT)
  3. 2020
  4. 2020-SPT-038

Windowsにおけるハッシュ値の伝播によるスレッドインジェクション機能を持つマルウェアの特定手法

https://ipsj.ixsq.nii.ac.jp/records/206226
https://ipsj.ixsq.nii.ac.jp/records/206226
c35d367e-7aa9-4e6e-ad7a-586e5e5b7a4c
名前 / ファイル ライセンス アクション
IPSJ-SPT20038009.pdf IPSJ-SPT20038009.pdf (1.3 MB)
Copyright (c) 2020 by the Information Processing Society of Japan
オープンアクセス
Item type SIG Technical Reports(1)
公開日 2020-07-13
タイトル
タイトル Windowsにおけるハッシュ値の伝播によるスレッドインジェクション機能を持つマルウェアの特定手法
タイトル
言語 en
タイトル Identification Method of Malware with Thread Injection Function by Propagating Hash Value on Windows
言語
言語 jpn
キーワード
主題Scheme Other
主題 CSEC
資源タイプ
資源タイプ識別子 http://purl.org/coar/resource_type/c_18gh
資源タイプ technical report
著者所属
立命館大学
著者所属
日本電信電話株式会社NTTセキュアプラットフォーム研究所
著者所属
日本電信電話株式会社NTTセキュアプラットフォーム研究所
著者所属
立命館大学
著者所属
立命館大学
著者名 田中, 大樹

× 田中, 大樹

田中, 大樹
Search repository
川古谷, 裕平

× 川古谷, 裕平

川古谷, 裕平
Search repository
岩村, 誠

× 岩村, 誠

岩村, 誠
Search repository
鄭, 俊俊

× 鄭, 俊俊

鄭, 俊俊
Search repository
毛利, 公一

× 毛利, 公一

毛利, 公一
Search repository
論文抄録
内容記述タイプ Other
内容記述 マルウェアによる被害の増加に伴いフォレンジックスの需要が高まっている.しかし,マルウェアには解析を妨害する機能を持つものが存在し,現状では解析が難化,高コスト化している.特に,マルウェアを隠蔽することで解析を妨害するスレッドインジェクション機能は,良性プロセスに悪性挙動を行わせるためマルウェアを特定する大きな障害となる.そこで,本論文ではスレッドインジェクションによる悪性コードの伝播を追跡可能とする仕組みを提案する,実行ファイルのハッシュ値を Windows カーネル内のスレッドごとのデータ構造に格納し伝播させることでスレッドインジェクションを持つマルウェアを特定可能とする.評価では,マルウェアに見立てたスレッドインジェクションを行う実行ファイルを動作させ,その実行ファイルを特定できることを確認した.
論文抄録(英)
内容記述タイプ Other
内容記述 The demand for forensics is increasing with the increase in malware. However, some malware has a function that interferes with analysis, and at present, many speculations are included in forensics, making the analysis difficult and expensive. In particular, the thread injection function that obscures the analysis by hiding the malware is a major obstacle for identifying the malware by forensics because the benign process is forced to perform the malicious behavior. In this paper, we present a method for identifying malware with thread injection by storing and propagating the hash value of the executable file in the data structure of each thread in the Windows kernel. In the evaluation, an executable file that performs thread injection and is considered as malware was run, and it was confirmed that the executable file could be specified.
書誌レコードID
収録物識別子タイプ NCID
収録物識別子 AA12628305
書誌情報 研究報告セキュリティ心理学とトラスト(SPT)

巻 2020-SPT-38, 号 9, p. 1-8, 発行日 2020-07-13
ISSN
収録物識別子タイプ ISSN
収録物識別子 2188-8671
Notice
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc.
出版者
言語 ja
出版者 情報処理学会
戻る
0
views
See details
Views

Versions

Ver.1 2025-01-19 19:29:50.615901
Show All versions

Share

Mendeley Twitter Facebook Print Addthis

Cite as

エクスポート

OAI-PMH
  • OAI-PMH JPCOAR
  • OAI-PMH DublinCore
  • OAI-PMH DDI
Other Formats
  • JSON
  • BIBTEX

Confirm

Powered by WEKO3

Powered by WEKO3