LLMによる.NETマルウェアの難読化解除：概念実証に向けた基礎的検証

栗原,北斗; 河野,龍之介; 岡本,剛

WEKO3

lat lon distance

[[sub_check.contents]]

[[sub_radio.contents]]

Field does not validate

[[sub_attr.contents]]　

インデックスツリー

アイテム

LLMによる.NETマルウェアの難読化解除：概念実証に向けた基礎的検証

https://ipsj.ixsq.nii.ac.jp/records/2008567

名前 / ファイル	ライセンス	アクション
IPSJ-CSEC26112046.pdf (1012.1 KB) 2028年3月10日からダウンロード可能です。	Copyright (c) 2026 by the Information Processing Society of Japan
非会員：¥660, IPSJ:学会員：¥330, CSEC:会員：¥0, DLIB:会員：¥0

Item type

SIG Technical Reports(1)

公開日

2026-03-10

タイトル

言語

タイトル

LLMによる.NETマルウェアの難読化解除：概念実証に向けた基礎的検証

言語

jpn

キーワード

主題Scheme

Other

主題

攻撃対策(4)

資源タイプ

資源タイプ識別子

http://purl.org/coar/resource_type/c_18gh

資源タイプ

technical report

著者所属

神奈川工科大学情報学部情報ネットワーク・コミュニケーション学科

著者所属

神奈川工科大学情報学部情報ネットワーク・コミュニケーション学科

著者所属

神奈川工科大学情報学部情報ネットワーク・コミュニケーション学科

著者所属(英)

KAIT

著者所属(英)

KAIT

著者所属(英)

KAIT

著者名

栗原,北斗
河野,龍之介
岡本,剛

論文抄録

内容記述タイプ

Other

内容記述

難読化ツールは.NETマルウェアの解析において大きな障壁であり，既存の解除ツールは特定のバージョンやパターンへの依存から難読化ツールの更新に追随しにくく，手動解析には多大な工数を要する．本研究では，大規模言語モデル（LLM）を活用した.NETマルウェアの難読化解除手法を提案する．提案手法は，難読化前後のコードペアからLLMに解除用プロンプトを生成させる第1段階と，生成されたプロンプトで実際の難読化コードを解除する第2段階で構成される．評価実験では，ConfuserEx2 v1.6.0による主要な難読化（制御フロー，定数，シンボル名）を単純なプログラム4種とマルウェア3種に適用し，難読化解除スコア，ビルド成功率，機能保持性を測定した．その結果，単純なプログラムでは高い精度で解除に成功し，小規模マルウェアではMITRE ATT&CK戦術・技術の再現精度が100%に達した．中規模マルウェアでもIoCのF1スコア0.919を達成し，主要な攻撃手法の再現が可能であった．以上の結果は，LLMが.NETマルウェアの難読化解除において有効な選択肢となり得ることを示している．

書誌レコードID

収録物識別子タイプ

NCID

収録物識別子

AA11235941

書誌情報

研究報告コンピュータセキュリティ（CSEC）

巻 2026-CSEC-112, 号 46, p. 1-8, 発行日 2026-03-10

ISSN

収録物識別子タイプ

ISSN

収録物識別子

2188-8655

Notice

SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc.

出版者

言語

出版者

情報処理学会

戻る

views

See details

	Views

Versions

Ver.1

2026-03-05 05:50:28.238654

Show All versions

Cite as

エクスポート

OAI-PMH

JPCOAR
DublinCore
DDI

Other Formats

JSON
BIBTEX

インデックスリンク

インデックスツリー

アイテム

LLMによる.NETマルウェアの難読化解除：概念実証に向けた基礎的検証

× 栗原,北斗

× 河野,龍之介

× 岡本,剛

Versions

Share

Cite as

エクスポート