@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00240903,
 author = {加藤, 俊樹 and 掛井, 将平 and 齋藤, 彰一 and Toshiki, Kato and Shohei, Kakei and Shoichi, Saito},
 book = {コンピュータセキュリティシンポジウム2024論文集},
 month = {Oct},
 note = {マルウェアの一部は解析環境検知機能を持ち，これに対抗するにはその条件を特定することが重要である．その手法としてシンボリック実行があるが，精度に課題がある．精度低下の原因には，Windows APIのシミュレーションと探索手法が挙げられる．シンボリック実行では，解析負荷軽減のためにDLLをロードせずに各関数を模擬する関数を実装しているが，模擬関数がない場合には返り値にシンボル値を設定するのみである．したがって，シミュレーションの課題として模擬関数がない場合に返り値以外の条件抽出が不十分となることが挙げられる．また，探索手法の課題としては，短い経路の条件を優先的に抽出するため，詳細な検知回避条件が見落とされる場合があることが挙げられる．本論文では，これらの課題解決のために，まず，模擬関数がない場合のシミュレーションに関して，各Windows APIの個別対応から判明した引数へのシンボル値設定や引数が関数の場合の関数呼び出し処理を共通処理として拡張することを提案する．また，検知回避条件を反転して再解析することで，詳細な条件を抽出する手法を提案する．これら提案によって，マルウェア対策の精度と効率の向上を目指す．, Some malware has an analysis environment detection function. It is essential to identify the conditions for such detection to counter it. Symbolic execution is one such method, but its accuracy has been challenged. The accuracy degradation stems from the simulation and search methods of Windows APIs. In symbolic execution, each function is simulated without loading the DLL to reduce the analysis load. However, only the return value is set symbolically without a simulated function, leading to insufficient condition extraction. Additionally, the search method sometimes cannot detect detailed detection evasion conditions because it prioritizes shorter paths. We propose two approaches to address these issues. For simulations without individual simulated functions, it suggests setting symbolic values for arguments and handling argument calls based on individual Windows API analysis. It also proposes extracting detailed conditions by inverting and reanalyzing detection evasion conditions. These approaches aim to improve the accuracy and efficiency of anti-malware countermeasures.},
 pages = {1172--1179},
 publisher = {情報処理学会},
 title = {シンボリック実行による解析環境検知マルウェアの解析手法改善},
 year = {2024}
}