テイント伝搬に基づく解析対象コードの追跡方法 Tracing Malicious Code with Taint Propagation

この論文にアクセスする

この論文をさがす

抄録

マルウェアの動的解析を行う際,プロセスIDやスレッドIDなどの識別子を使って解析対象コードとそれ以外のコードとを区別する場合が多い.しかし,これら識別子に基づく方法では,マルウェアの解析妨害機能により正確に区別ができない状況が生まれている.この問題を解決するため,本論文ではテイントタグを用いた解析対象コードの識別方法を提案する.提案手法の有効性を示すため,マルウェアの動作を模倣した各種テストコードとCCC Dataset 2012を用いて実験を行った.この実験の結果,提案手法が様々な解析妨害機能に有効であり,実際のマルウェアにも適用可能であることを示した.本提案手法を利用することで,既存の各種マルウェア解析環境やマルウェア対策技術の精度を向上させることが可能になる.Dynamic malware analysis environments commonly distinguish their target code from benign code based on its process ID or thread ID. However, the distinction based on these IDs does not correctly handle malware which has anti-analysis functions. To solve this problem, we propose an approach for identifying the to-be-analyzed code based on taint tags. To prove the effectiveness of our proposal, we have conducted experiments with a set of test code which behaves like malware and also with CCC Dataset 2012. The results of these experiments indicated that our approach is effective against various anti-analysis functions, and that it is applicable to real-world malware. Our proposal will allow existing malware analysis environments and anti-malware research to be more precise and effective.

収録刊行物

  • 情報処理学会論文誌  

    情報処理学会論文誌 54(8), 2079-2089, 2013-08-15 

各種コード

  • NII論文ID(NAID)
    110009596047
  • NII書誌ID(NCID)
    AN00116647
  • 本文言語コード
    JPN
  • 資料種別
    Journal Article
  • ISSN
    1882-7764
  • データ提供元
    IPSJ 
ページトップへ