@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00223080,
 author = {赤羽, 秀 and 川古谷, 裕平 and 岩村, 誠 and 岡本, 剛 and Shu, Akabane and Yuhei, Kawakoya and Makoto, Iwamura and Takeshi, Okamoto},
 book = {コンピュータセキュリティシンポジウム2022論文集},
 month = {Oct},
 note = {IoT 機器の普及に伴い，Linux 環境を標的としたマルウェアが増加している．Linux で動作するプログラムの効率的な動的解析を行うためのツールとして，動的結合されたライブラリ関数の呼び出しをトレースする ltrace がある．しかし，過去の研究からほとんどの IoT マルウェアは静的結合されていることがわかっているため，ltrace では一部の IoT マルウェアしか解析できない．また，IoT 機器では様々なアーキテクチャが使用されているため，アーキテクチャに依存せずにマルウェアを解析できる技術が求められている．本研究では，IoT マルウェアの解析支援を行うために，静的結合されたライブラリ関数をアーキテクチャに依存せずにトレースする手法として xltrace を提案する．xltrace は，静的結合されたライブラリ関数の呼び出しをトレースする機能を QEMU の中間表現層で実装することによって，特定のアーキテクチャに依存しないライブラリ関数のトレースを実現することを目指す．提案手法の評価を行った結果， SPARC と SPARC64 を除く 10 種類のアーキテクチャの IoT マルウェアについて，xltrace が静的結合されたライブラリ関数をトレースできることを確認した．, As IoT devices become more popular, malware targeting the Linux environment is increasing. One tool for efficient dynamic analysis of programs running on Linux is ltrace, which traces dynamically linked library functions. However, past studies have shown that most IoT malware is statically linked, so ltrace can only analyze a small fraction of IoT malware. In addition, since IoT devices use a variety of architectures, there is a need for a technique that can analyze malware independent of architecture. In this study, we propose a cross-architecture method, xltrace, to obtain traces of statically linked library functions to support analysis of IoT malware. xltrace aims to enable tracing of library functions across architectures by implementing the ability to trace calls to statically linked library functions in the intermediate representation layer of QEMU. Our experiments showed that xltrace can trace statically linked library functions for IoT malware on 10 architectures except SPARC and SPARC64.},
 pages = {168--175},
 publisher = {情報処理学会},
 title = {xltrace: クロスアーキテクチャに対応したライブラリ関数のトレース手法},
 year = {2022}
}