@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00106673,
 author = {岸部, 功太郎 and 中村, 徳昭 and 森井, 昌克 and 伊沢, 亮一 and 井上, 大介 and 中尾, 康二 and Kotaro, Kishibe and Noriaki, Nakamura and Masakatu, Morii and Ryoichi, Isawa and Daisuke, Inoue and Koji, Nakao},
 book = {コンピュータセキュリティシンポジウム2014論文集},
 issue = {2},
 month = {Oct},
 note = {マルウェアの多くはパッキング（圧縮/暗号化）が施されており，コード解析の障害となっている．本論文では解析支援を目的として，パッキングのアルゴリズムに依存しない精度の高いオリジナルエントリポイント（OEP）特定手法を提案する．提案手法は主に２つの特徴がある．１つ目は検体の実行命令系列をメモリ上のアドレス距離によりグルーピングする点にある．オリジナルコードとパッキング時に付加されたコード（復号ルーチン）は離れた位置に配置されることが基本であり，それらを分離する．２つ目は各グループがオリジナルコードか否かを機械学習で判定する点にある．オリジナルコードのうち最初に実行された地点をOEPとして出力する．, Most malware programs are packed (compressed and/or encrypted) by packers to hamper code analyses. In order to help extract original binaries efficiently, this paper presents an accurate original-entry-point detection method featuring two mechanisms. First, it classifies dynamically generated instructions by memory address. Because instructions of the original binary and the unpacking routine will be placed away from each other, our method can divide them into different clusters. Second, it identifies if each class is composed of part of the original binary by using the k-nearest-neighbor method, and the first executed point in original-binary clusters will be the original entry point.},
 pages = {1148--1155},
 publisher = {情報処理学会},
 title = {実行命令系列の分類に基づいた汎用的なオリジナルエントリポイント特定手法の提案},
 volume = {2014},
 year = {2014}
}