| Item type |
SIG Technical Reports(1) |
| 公開日 |
2025-05-22 |
| タイトル |
|
|
言語 |
ja |
|
タイトル |
パッカーの自動解凍に向けた軽量な細粒度フック手法の提案 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
A Lightweight Instruction-Level Hooking Approach for Automatic Unpacking |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
CSEC |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
名古屋工業大学 |
| 著者所属 |
|
|
|
名古屋工業大学 |
| 著者所属 |
|
|
|
名古屋工業大学 |
| 著者名 |
山根,一真
掛井,将平
齋藤,彰一
|
| 著者名(英) |
Kazuma Yamane
Shohei Kakei
Shoich Saito
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
プロセスの動作を把握する上で,動的解析における命令単位のフックによる情報収集は有効な手法の一つである.命令単位でのフックの実現のため,動的バイナリ計装ツールやIntel Processor Traceを利用した手法が提案されており,多くの場面で利用されている.一方で,Windowsマルウェアでの解析に際しては解析時間のほとんどをWindows API内部の処理に費やしてしまい,結果的にマルウェア独自のコードを十分に解析することができないという課題がある.そこで本研究では,登録した例外ハンドラの処理を除いてWindows API内の追跡をスキップすることで重要な箇所のみを解析する手法を提案する. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Instruction-level hooking in dynamic analysis is an effective technique for understanding the behavior of a process. Methods using dynamic binary instrumentation tools and Intel Processor Trace have been proposed and are widely adopted to achieve instruction-level hooking. However, in the context of Windows malware analysis, a significant portion of analysis time is often consumed by internal Windows API processing. As a result, it becomes difficult to analyze the malware's code thoroughly. To address this issue, this study proposes a method that selectively skips tracing within Windows API calls ― excluding the execution of registered exception handlers ― to focus analysis on the critical parts of the malware. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12326962 |
| 書誌情報 |
研究報告インターネットと運用技術(IOT)
巻 2025-IOT-69,
号 9,
p. 1-8,
発行日 2025-05-22
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8787 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-IOT25069009.pdf (266.7 KB)
