2026-04-16T12:02:36Z https://ipsj.ixsq.nii.ac.jp/oai

oai:ipsj.ixsq.nii.ac.jp:00240904 2025-03-06T05:56:08Z 6164:6165:6462:11854

シンボリック実行の動作ログを用いたマルウェアの耐解析機能無効化手法の提案 Disabling Malware Anti-Analysis Functions by Using Symbolic Execution Operation Logs 田口, 涼将 福澤, 寧子 Ryosuke, Taguchi Yasuko, Fukuzawa マルウェア解析，シンボリック実行，パッチ生成，耐解析機能 動的解析はマルウェア解析における有効な手段の一つである．しかし，昨今のマルウェアの多くは解析者やセキュリティ製品による動的解析を妨害するために耐解析機能を実装している．耐解析機能にはデバッガや仮想環境の検知のほか，時間差の検知，マウス・キーボード操作など人間の動作を元にした検知など数多くの手法が存在する．このような環境下では解析ツールが有効に機能せず，マルウェアの動作情報を収集することができない．本稿では，プログラムの値をシンボル（記号）として制約条件に着目しながら模擬的に実行するシンボリック実行の動作ログから，耐解析機能における検知条件を抽出し，その条件から耐解析機能を無効化するためのパッチを生成し，マルウェアに適用する．まず，耐解析機能のPoC(Proof of Concept)であるAl-khaserの32-bit・64-bit検体を対象に，シンボリック実行適用とパッチの有効性を評価，および特徴の分析を行う．次に，疑似マルウェアおよび実際のマルウェア検体に対してもパッチを生成・適用し，本方式の有用性を評価する． Dynamic analysis is one of the effective tools in malware analysis. However, many of today's malware implement anti-analysis functions to prevent dynamic analysis by analysts and security products. There are many methods for anti-analysis functions, including detection of debuggers and virtual environments, time difference detection, and detection based on human actions such as mouse and keyboard operations. These functions prevent analysis tools from functioning effectively and collecting information about malware behavior. In this paper, we extract detection conditions for the anti-analysis function from symbolic execution operation logs, which simulate program values as symbols while focusing on constraint conditions, generate patches to disable the anti-analysis function based on these conditions, and apply them to malware. First, we evaluate the effectiveness of symbolic execution and patches for 32-bit and 64-bit samples of Al-khaser, a Proof of Concept (PoC) of the anti-analysis function. Next, we will generate and apply patches to pseudo-malware and actual malware samples to evaluate the usefulness of this method. 情報処理学会 2024-10-15 jpn conference paper https://ipsj.ixsq.nii.ac.jp/records/240904 コンピュータセキュリティシンポジウム2024論文集 1180 1187 https://ipsj.ixsq.nii.ac.jp/record/240904/files/IPSJ-CSS2024158.pdf application/pdf 834.9 kB 2026-10-15