@techreport{oai:ipsj.ixsq.nii.ac.jp:00189332,
 author = {大山, 恵弘 and Yoshihiro, Oyama},
 issue = {2},
 month = {May},
 note = {最近のマルウェアには Raspberry Pi を対象とするものがあり，Raspberry Pi 環境におけるマルウェアの挙動の解析が必要になっている．PC 環境を対象とするマルウェアには，仮想マシンなどの解析システムを示唆する機構を検出して実行終了などの解析回避活動を行うものがある．Raspberry Pi 環境を対象とするマルウェアも同様の活動を行う可能性があり，その脅威を理解することが必要である．本研究では，マルウェアが解析回避のために，自身のRaspberry Pi 環境が仮想マシンであるか実マシンであるかを性能情報のみから推定する方式を示す．その方式は，OS の基本操作の性能を整数演算の性能に対する相対値として表し，それを閾値と比較して推定する．その方式の特徴は，マルウェアが推定を試みていることを解析システムが特定しにくいことである．その方式に基づくプログラムを Raspberry Pi 2 の仮想マシンと実マシンの上で実行した結果，その方式によって高い精度での推定ができることがわかった．, Some modern malware programs target Raspberry Pi and analysis of malware behavior in Raspberry Pi environments is needed. Some malware programs for PC environments detect analysis systems such as virtual machines and then execute analysis evasion activities such as execution termination. Malware programs for Raspberry Pi environments can also execute similar activities and understanding the threat of them is needed. In this study, we show a method with which malware programs estimate for analysis evasion whether their Raspberry Pi environment is a virtual machine or real machine based on performance information only. In this method, malware measures the performance of basic operating system operations relative to those of integer arithmetic operations, and estimates by comparing it with a threshold. The characteristic of the method is that analysis systems will have difficulty in determining that the malware program is attempting the estimation. We executed programs based on the method on a virtual machine and real machine of Raspberry Pi 2, and found that the method enabled accurate estimation.},
 title = {Raspberry Pi環境におけるステルス性の高い仮想マシン検出},
 year = {2018}
}