ログイン 新規登録
言語:

WEKO3
  • トップ
  • ランキング
To
lat lon distance
To

Field does not validate



インデックスリンク

インデックスツリー

メールアドレスを入力してください。

WEKO

One fine body…

WEKO

One fine body…

アイテム

  1. シンポジウム
  2. シンポジウムシリーズ
  3. コンピュータセキュリティシンポジウム
  4. 2024

デバッガ検知回避および不要なループからの脱出により例外発生マルウェアを実行継続させる動的解析手法

https://ipsj.ixsq.nii.ac.jp/records/240902
https://ipsj.ixsq.nii.ac.jp/records/240902
9243448c-3ef9-44bb-a51c-7d26cc60ed71
名前 / ファイル ライセンス アクション
IPSJ-CSS2024156.pdf IPSJ-CSS2024156.pdf (706.8 kB)
 2026年10月15日からダウンロード可能です。
Copyright (c) 2024 by the Information Processing Society of Japan
非会員:¥660, IPSJ:学会員:¥330, CSEC:会員:¥0, SPT:会員:¥0, DLIB:会員:¥0
Item type Symposium(1)
公開日 2024-10-15
タイトル
言語 ja
タイトル デバッガ検知回避および不要なループからの脱出により例外発生マルウェアを実行継続させる動的解析手法
タイトル
言語 en
タイトル Methods for Dynamic Analysis to Keep Exception-raising Malware Running by Avoiding Debugger Detection and Escaping from Unnecessary Loops
言語
言語 jpn
キーワード
主題Scheme Other
主題 動的解析,Windows マルウェア,例外処理,強制実行,サンドボックス
資源タイプ
資源タイプ識別子 http://purl.org/coar/resource_type/c_5794
資源タイプ conference paper
著者所属
名古屋工業大学
著者所属
名古屋工業大学
著者所属
名古屋工業大学
著者所属
名古屋工業大学
著者所属(英)
en
Nagoya Institute of Technology
著者所属(英)
en
Nagoya Institute of Technology
著者所属(英)
en
Nagoya Institute of Technology
著者所属(英)
en
Nagoya Institute of Technology
著者名 神谷, 直輝

× 神谷, 直輝

神谷, 直輝
Search repository
山根, 一真

× 山根, 一真

山根, 一真
Search repository
掛井, 将平

× 掛井, 将平

掛井, 将平
Search repository
齋藤, 彰一

× 齋藤, 彰一

齋藤, 彰一
Search repository
著者名(英) Naoki, Kamiya

× Naoki, Kamiya

en Naoki, Kamiya
Search repository
Kazuma, Yamane

× Kazuma, Yamane

en Kazuma, Yamane
Search repository
Shohei, Kakei

× Shohei, Kakei

en Shohei, Kakei
Search repository
Shoichi, Saito

× Shoichi, Saito

en Shoichi, Saito
Search repository
論文抄録
内容記述タイプ Other
内容記述 マルウェアを動作させ,実際の挙動を解析する動的解析は,マルウェアの攻撃の方法や流れなどを解析者が把握するために行われる.しかし,マルウェア開発者の意図しないバグの混入などにより解析時に例外が生じ,実行が中断するという問題がある.動的解析のこのような状況に対して,大山らはExModを提案した.これは,動的解析ソフトウェアのCuckooSandbox上でマルウェアを実行する際,例外発生命令のスキップや,例外発生に起因する無意味なループからの脱出を行い,例外発生後の実行と解析の継続を実現した.ところが,マルウェアに実装された例外処理の実行の有無で,デバッガを検知する手法が存在する.ExModは先述の動作をマルウェアの例外処理に代わって実行するため,デバッガの誤検知を引き起こし,マルウェアが耐解析用の偽の処理を行う恐れがある.また,不要なループからの脱出操作は,操作内容やタイミングが噛み合わず,ループから脱出できないケースを確認した.そこで本稿ではExModの処理を検討し,例外発生命令の,デバッガ検知を回避したスキップと,不要なループからの脱出を行う新たな手法を提案する.
論文抄録(英)
内容記述タイプ Other
内容記述 Analysts use dynamic analysis to understand the behavior of malware. However, there is a problem with the analysis being interrupted due to exceptions being raised during execution. To overcome this problem, Oyama et al. proposed ExMod. When executing malware in Cuckoo Sandbox, ExMod skips instructions that raise exceptions and escapes from meaningless loops caused by exceptions to keep the malware running. However, there are methods to detect a debugger based on whether or not the exception handler is executed. The above behavior of ExMod triggers debugger detection because it is executed instead of the malware’s exception handler. In addition, we observed cases in which operations to escape from unnecessary loops could not escape. In this paper, we propose new methods for skipping instructions that raise an exception, avoiding debugger detection, and escaping needless loops.
書誌情報 コンピュータセキュリティシンポジウム2024論文集

p. 1164-1171, 発行日 2024-10-15
出版者
言語 ja
出版者 情報処理学会
戻る
0
views
See details
Views

Versions

Ver.1 2025-01-19 07:48:57.767387
Show All versions

Share

Mendeley Twitter Facebook Print Addthis

Cite as

エクスポート

OAI-PMH
  • OAI-PMH JPCOAR
  • OAI-PMH DublinCore
  • OAI-PMH DDI
Other Formats
  • JSON
  • BIBTEX

Confirm

Powered by WEKO3

Powered by WEKO3