| Item type |
Symposium(1) |
| 公開日 |
2019-10-14 |
| タイトル |
|
|
タイトル |
TrustZoneを利用した安全なメモリ操作によるプロセス状態確認手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
An Introspection Method of Process Memory with Trusted Operation |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
TrustZone,Process Memory,Introspection,Memory Forensic,OP-TEE |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
名古屋工業大学 |
| 著者所属 |
|
|
|
名古屋工業大学 |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属 |
|
|
|
名古屋工業大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Nagoya Institute of Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Nagoya Institute of Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者所属(英) |
|
|
|
en |
|
|
Nagoya Institute of Technology |
| 著者名 |
青木, 和也
掛井, 将平
瀧本, 栄二
毛利, 公一
齋藤, 彰一
|
| 著者名(英) |
Kazuya, Aoki
Shohei, Kakei
Eiji, Takimoto
Koichi, Mouri
Shoichi, Saito
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
マルウェアの高度化によりあらゆる異常動作を検知することは難しくなっている.アンチウイルスソフトを回避するためにファイルを生成しない,ファイルレス型のマルウェアも存在する.実行中のプログラムの動作を正確に解析するにはメモリダンプでメモリ上に展開されたプログラムを取得し解析する必要がある.しかしメモリダンプを防ぐ技術も存在するので安全にメモリダンプを取得する方法は確立していない. 本論文ではARMのセキュリティ拡張機能であるTrustZoneを利用する.TrustZoneは計算機資源をNormal WorldとSecure Worldと呼ばれる2つの領域にハードウェア的に分割する.Secure WorldはNormal Worldより高い権限を持つのでNormal Worldで動作するプロセスはSecure Worldでの処理を妨げることは難しい.Secure WorldからNormal Worldのプロセスメモリを解析するするためのプロトタイプを実装し,機能の一例としてプロセスの正常動作を保証できることを確認した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
The advancement of malware development has raised difficulty of anomaly detection in various ways. Some malware avoids detection of anti-virus software called fileless malware. Hence, it is essential to obtain and analyze programs loaded on memory for accurate introspection of running programs. However, no method for generating memory dumps safely has been established. In this paper, we leverage TrustZone, a security extension of ARM, that allows software executed to be split in two environments: normal world and secure world. Since the secure world has higher level of privilege than the normal world, processes in the normal world cannot interfere with the secure world. We implemented a method in the secure world for introspection of process memory loaded in the normal world. We evaluated that our method is works properly, and the results show that it can verify whether a process is running normally. |
| 書誌レコードID |
|
|
|
識別子タイプ |
NCID |
|
|
関連識別子 |
ISSN 1882-0840 |
| 書誌情報 |
コンピュータセキュリティシンポジウム2019論文集
巻 2019,
p. 597-604,
発行日 2019-10-14
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJCSS2019085.pdf (799.6 kB)
