@techreport{oai:ipsj.ixsq.nii.ac.jp:00210071,
 author = {藤枝, 慶弘 and 羽角, 太地 and 島, 成佳 and 安田, 真悟 and 鄭, 俊俊 and 毛利, 公一},
 issue = {48},
 month = {Mar},
 note = {標的型攻撃で侵入してくる攻撃者の継続的な観測を行うための環境を構築するためには，侵入先の計算機がユーザによって普段から利用されていることを模擬する必要がある．このような観測環境を効率的に構築するために，実際のユーザによる操作列に関する情報を記録し，それを元に再現することを検討している．本論文では，ユーザのアプリケーション操作を再現するために必要な情報を取得することを目的として，具体的には Windows におけるカーネルモードでプロセス挙動を取得するソフトウェアを設計・実装・評価したので報告する．ユーザがローカルシステム上でログオンした際に生成されるセッション情報，資格情報，アプリケーションの実行やファイルの操作などのイベントなど，プロセスやスレッドの情報をカーネルモードで収集する．これにより，取得した情報から継続的なユーザの操作を特定できることを確認した．, In order to construct an environment for continuous observation of an attacker in a targeted attack, it is necessary to simulate the usual use of the target computer by users. In order to construct such an observation environment efficiently, we are considering recording information about the sequence of operations by actual users and reproducing them based on the recorded information. In this paper, we report on the design, implementation, and evaluation of a software program that obtains information necessary to reproduce the user's application operations, specifically, the process behavior in kernel mode in Windows. The software collects process and thread information in kernel mode, such as session information generated when a user logs on to the local system, token information, and events such as application execution and file operations. We have confirmed that we can identify continuous user operations from the acquired information.},
 title = {ユーザ操作特定のためのカーネル内でのプロセス挙動収集手法},
 year = {2021}
}