@techreport{oai:ipsj.ixsq.nii.ac.jp:02010306, author = {渡辺,康介 and 齊藤,泰一 and Kosuke Watanabe and Taiichi Saito}, issue = {13}, month = {Jul}, note = {.NET製マルウェア解析では,難読化解除や詳細な静的解析に先立ち,適用された難読化ツールを推定できることが有用である.既存のルールベース検出や難読化解除ツール付属の検出機能は既知ツールには有効な場合があるが,対応範囲外の入力や派生的変種ではツール名を安定して返せない可能性がある.本稿では,.NETバイナリからIL命令n-gram,識別子分布,文字列統計,メタデータ・リソース,PE/ILセクション統計に関する128特徴量を抽出し,難読化有無判定,難読化ツール判別,設定プロファイル推定,未知ツール検出を行う多段判別方式を示す.4ツール12プロファイルと難読化なしを含む637件のGroupCV 5分割20シード評価では,Stage2の難読化ツール判別でmacro-F1 0.9881を得た.未知ツール検出では最も分離しやすい条件でAUROC 0.9929,FPR95 0.0160を得た一方,既知として残すツールで平均した未知検出率は0.6835であった.設定プロファイル推定はツール依存であり,限定した設定グループ評価では3ツール平均のmacro-F1が0.9574であった.これらの結果から,難読化ツール推定は解析初動支援として有効である一方,設定推定と実マルウェア検体への適用では結論の適用範囲を慎重に扱う必要があることを示す., Identifying the applied obfuscator before deobfuscation helps analysts narrow down the choice of initial analysis strategy for .NET malware analysis. Existing rule-based detectors and detector modes attached to deobfuscation tools may fail to return reliable names outside their supported range. This paper presents a staged classification pipeline that extracts 128 static features, including IL opcode n-grams, identifier, string, metadata, resource, and PE/IL section statistics. On a 637-sample dataset spanning four obfuscators, 12 profiles, and a non-obfuscated category, 5-fold GroupCV repeated across 20 seeds achieved macro-F1 0.9881 for obfuscator identification. Unknown-tool detection achieved AUROC 0.9929 and FPR95 0.0160 under the condition with the clearest known/unknown separation, while the average unknown detection rate over known-tool choices was 0.6835. Setting-profile estimation was tool-dependent; over the separable subset of three tools, the mean macro-F1 was 0.9574. These results suggest that obfuscator estimation is useful for initial triage, while fine-grained setting estimation and application to real-world malware samples require conservative interpretation.}, title = {.NET製マルウェア解析のための難読化ツール推定 IL・メタデータ特徴に基づく多段判別と未知ツール検出}, year = {2026} }