@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00187224, author = {上野, 航 and 石井, 攻 and 田辺, 瑠偉 and 吉岡, 克成 and 松本, 勉 and Wataru, Ueno and Kou, Ishii and Rui, Tanabe and Katsunari, Yoshioka and Tsutomu, Matsumoto}, book = {コンピュータセキュリティシンポジウム2017論文集}, issue = {2}, month = {Oct}, note = {マルウェアの動的解析環境は仮想マシンやエミュレータを用いるものが多く,これらの環境を検知し動的解析を回避するマルウェアが報告されている.対策技術として実機を用いる手法が提案されているが,OSより低いレイヤで解析環境を管理する必要があるため技術的に高度であり,実装コストが高い.そこで本研究では,実機を用いたマルウェア動的解析システムを環境復元ソフトウェアにより容易に構築する方法を提案する.評価実験では,仮想環境を検知して挙動を変えることが確認されている18検体の実マルウェアを用いて提案手法の有効性を検証する.また,提案手法により構築した解析環境を検知するマルウェアについて考察する., For a long while, malware sandboxes have been mainly implemented with virtual machine or emulator for ease of system recovery and management. However, series of studies have revealed that more and more malware authors are trying to evade these virtual sandboxes. Although bare-metal systems have been proposed to overcome these evasion, their implementation is more complicated and costly than virtual ones as they require physical disk management below OS layer. In this paper, we propose an easy implementation of bare-metal malware sandbox using commercial system recovery software. At the experiment, we evaluate the proposed system with 18 malware samples known to evade virtual sandboxes. In addition, we discuss the possibility of evasion against our sandbox to prepare for future attacks.}, publisher = {情報処理学会}, title = {実機を用いたマルウェア動的解析システムの環境復元ソフトウェアによる容易な構築方法}, volume = {2017}, year = {2017} }