@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00077898,
 author = {岩村, 誠 and 川古谷, 裕平 and 針生, 剛男 and Makoto, Iwamura and Yuhei, Kawakoya and Takeo, Hariu},
 book = {コンピュータセキュリティシンポジウム2011 論文集},
 issue = {3},
 month = {Oct},
 note = {本論文では，アンパッキング後のマルウェアにおけるインポート・アドレス・テーブル（IAT）のエントリ格納場所を特定する手法を提案する．従来の手法は，マルウェアの逆アセンブル結果からIATを利用する機械語命令を探し出すことでIAT格納場所を推定していた．しかしWindows用コンパイラは可変長の機械語命令とデータが混在するバイナリを出力する傾向にあるため，正確な逆アセンブル結果を得ることは難しい．こうした問題に対し提案手法は，マルウェア内の各アドレスがIATエントリ格納場所である確率を算出し，当該確率が十分に高いアドレスを探し出すことで，精度よくIATエントリの格納場所を特定することを可能にした．, We propose a novel approach, which accurately specifies the addresses of Import Address Table (IAT) entries in unpacked malware. Existing approaches specify the IAT entry addresses by finding the machine code instructions that uses an IAT entry in the result of disassembly.  However, since a compiler for Windows tends to output a binary mixing variable length instructions and data, it is difficult to correctly disassemble unpacked malware. For solving the problem, our approach calculates the probabilities that each address in malware points to an IAT entry, and then finds highly probable IAT entry addresses.},
 pages = {12--17},
 publisher = {情報処理学会},
 title = {IATエントリ格納場所の特定方法},
 volume = {2011},
 year = {2011}
}