| Item type |
Symposium(1) |
| 公開日 |
2014-10-15 |
| タイトル |
|
|
タイトル |
ブランチトレース機能を用いたシステムコール呼出し元アドレス取得手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Identifying of System Call Invoker by Branch Trace Facilities |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
ブランチトレース,仮想計算機モニタ,MWS Datasets 2014,CCC DATAset,D3M |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属 |
|
|
|
名古屋工業大学 |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者所属(英) |
|
|
|
en |
|
|
Nagoya Institute of Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者名 |
大月, 勇人
瀧本, 栄二
齋藤, 彰一
毛利, 公一
|
| 著者名(英) |
Yuto, Otsuki
Eiji, Takimoto
Shoichi, Saito
Koichi, Mouri
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
最近のマルウェアには,他のプロセスのメモリ上に潜んで動作するものや複数のモジュールで構成されるものが存在する.このようなマルウェアに対して,従来のプロセスやスレッドを単位として挙動を観測する手法では個々の動作の区別が困難である.この課題の解決のために,システムコールトレーサであるAlkanetは,システムコールフック時にスタックトレースを行い,呼出し元となったコードまで特定する.ただし,当該手法では,マルウェアにスタックを改竄された場合に呼出し元を正確に取得できない.そこで,本論文では,CPUに搭載されているブランチトレース機能を活用した正確な呼出し元の取得手法とその有効性について述べる. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Recent malware infects other processes. Another one consists of two or more modules and plugins. It is difficult to trace these malware because traditional methods focus on threads or processes. We are developing Alkanet, a system call tracer for malware analysis. To trace the malware, Alkanet identifies the system call invoker by stack trace. However, if malware has falsified its stack, Alkanet cannot identify it correctly. In this paper, we describe a method for identifying a system call invoker by branch trace facilities. We consider the effectiveness of branch trace facilities for malware analysis. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2014論文集
巻 2014,
号 2,
p. 843-850,
発行日 2014-10-15
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJCSS2014110.pdf (427.4 kB)
