WEKO3
アイテム
Raspberry Pi環境におけるステルス性の高い仮想マシン検出
https://ipsj.ixsq.nii.ac.jp/records/189306
https://ipsj.ixsq.nii.ac.jp/records/189306f4b32f0a-7d13-4040-b389-fa16569fb961
名前 / ファイル | ライセンス | アクション |
---|---|---|
![]() |
Copyright (c) 2018 by the Information Processing Society of Japan
|
|
オープンアクセス |
Item type | SIG Technical Reports(1) | |||||||
---|---|---|---|---|---|---|---|---|
公開日 | 2018-05-10 | |||||||
タイトル | ||||||||
タイトル | Raspberry Pi環境におけるステルス性の高い仮想マシン検出 | |||||||
タイトル | ||||||||
言語 | en | |||||||
タイトル | Stealthy Virtual Machine Detection in Raspberry Pi Environments | |||||||
言語 | ||||||||
言語 | jpn | |||||||
キーワード | ||||||||
主題Scheme | Other | |||||||
主題 | 運用におけるセキュリティ対策 | |||||||
資源タイプ | ||||||||
資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||
資源タイプ | technical report | |||||||
著者所属 | ||||||||
筑波大学 | ||||||||
著者名 |
大山, 恵弘
× 大山, 恵弘
|
|||||||
著者名(英) |
Yoshihiro, Oyama
× Yoshihiro, Oyama
|
|||||||
論文抄録 | ||||||||
内容記述タイプ | Other | |||||||
内容記述 | 最近のマルウェアには Raspberry Pi を対象とするものがあり,Raspberry Pi 環境におけるマルウェアの挙動の解析が必要になっている.PC 環境を対象とするマルウェアには,仮想マシンなどの解析システムを示唆する機構を検出して実行終了などの解析回避活動を行うものがある.Raspberry Pi 環境を対象とするマルウェアも同様の活動を行う可能性があり,その脅威を理解することが必要である.本研究では,マルウェアが解析回避のために,自身のRaspberry Pi 環境が仮想マシンであるか実マシンであるかを性能情報のみから推定する方式を示す.その方式は,OS の基本操作の性能を整数演算の性能に対する相対値として表し,それを閾値と比較して推定する.その方式の特徴は,マルウェアが推定を試みていることを解析システムが特定しにくいことである.その方式に基づくプログラムを Raspberry Pi 2 の仮想マシンと実マシンの上で実行した結果,その方式によって高い精度での推定ができることがわかった. | |||||||
論文抄録(英) | ||||||||
内容記述タイプ | Other | |||||||
内容記述 | Some modern malware programs target Raspberry Pi and analysis of malware behavior in Raspberry Pi environments is needed. Some malware programs for PC environments detect analysis systems such as virtual machines and then execute analysis evasion activities such as execution termination. Malware programs for Raspberry Pi environments can also execute similar activities and understanding the threat of them is needed. In this study, we show a method with which malware programs estimate for analysis evasion whether their Raspberry Pi environment is a virtual machine or real machine based on performance information only. In this method, malware measures the performance of basic operating system operations relative to those of integer arithmetic operations, and estimates by comparing it with a threshold. The characteristic of the method is that analysis systems will have difficulty in determining that the malware program is attempting the estimation. We executed programs based on the method on a virtual machine and real machine of Raspberry Pi 2, and found that the method enabled accurate estimation. | |||||||
書誌レコードID | ||||||||
収録物識別子タイプ | NCID | |||||||
収録物識別子 | AA12326962 | |||||||
書誌情報 |
研究報告インターネットと運用技術(IOT) 巻 2018-IOT-41, 号 2, p. 1-8, 発行日 2018-05-10 |
|||||||
ISSN | ||||||||
収録物識別子タイプ | ISSN | |||||||
収録物識別子 | 2188-8787 | |||||||
Notice | ||||||||
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||
出版者 | ||||||||
言語 | ja | |||||||
出版者 | 情報処理学会 |