2026-03-16T20:45:25Z https://ipsj.ixsq.nii.ac.jp/oai

oai:ipsj.ixsq.nii.ac.jp:00187243 2025-01-20T02:23:37Z 6164:6165:6462:9463

デバイスドライバを用いたプロセス挙動保全ツールの提案 Preserving Tool for Process Behavior Using Kernel Mode Device Driver 竹久, 達也 牧田, 大佑 神宮, 真人 丑丸, 逸人 福森, 大喜 津田, 侑 遠峰, 隆史 井上, 大介 Tatsuya, Takehisah Daisuke, Makita Masato, Jingu Hayato, Ushimaru Daiki, Fukumori Yu, Tsuda Takashi, Tomine Daisuke, Inoue MWS，マルウェア，動的解析，カーネルモード，デバイスドライバ マルウェアの動的解析を行う際，マルウェアに含まれる解析環境検知技術が動的解析の妨げになることが問題となっている．そのため，これら解析の妨げになる検知技術を回避し動的解析可能にする提案も多い．ユーザーモードで動作するマルウェアは，ユーザーモードで動作する解析環境を検知しやすい．そのため，本稿ではWindowsのカーネルモードで動作するデバイスドライバだけでプロセス情報を収集し外部への送信を行うツールを提案する．また，提案するデバイスドライバにて収集したマルウェア挙動の一例を紹介する． Evasion techniques (e.g., analysis environment detection) implemented in malware are problematic for conducting the dynamic analysis. To overcome the evasion techniques, many proposals have been made for preventing the detection. Malware running in the user mode are able to detect analysis environments operating in the user mode easily. In this paper, we present a tool to collect process information by using a device driver operated in the kernel mode on Windows. We provide some experimental results of malware behavior obtained with the proposed tool. 情報処理学会 2017-10-16 jpn conference paper https://ipsj.ixsq.nii.ac.jp/records/187243 ISSN　1882-0840 コンピュータセキュリティシンポジウム2017論文集 2017 2 https://ipsj.ixsq.nii.ac.jp/record/187243/files/IPSJCSS2017068.pdf application/pdf 453.2 kB 2019-10-16