ブランチトレース機能を用いたシステムコール呼び出し元識別手法
書誌事項
- タイトル別名
-
- Identification of System Call Invoker by Branch Trace Facilities
この論文をさがす
抄録
近年,マルウェアの脅威が問題となっており,その対策のためにはマルウェアの挙動を正確に解析することが重要である.最近のマルウェアは,他のプロセスに感染し,正規のプロセスやスレッドに自身のコードを実行させる.そのため,プロセスが発行するシステムコールをトレースする観測手法では,感染されたプロセスが持つ挙動とマルウェアの動作を区別して観測することは困難である.そこで,本論文では,マルウェアが感染したメモリ領域を識別し,その領域からシステムコールが発行されたことを検出可能にする手法を提案する.我々が開発しているシステムコールトレーサであるAlkanetにブランチトレース機能の1つであるBranch Trace Storeを用いて呼び出し元を取得する機能を実現し,マルウェアから発行されたシステムコールを識別できることを確認した.
Malware has become a major security threat on computers. Malware analysis is important to enhance countermeasure for malware. Some recent malwares hide in other processes. Even if a benign process is running, the executed codes may be malicious. System call tracing, is one of conventional methods for observing malware, focuses on process or thread. The method cannot distinguish system calls invoked by the above-mentioned malwares from other system calls. Therefore, we propose a method for finding malicious regions in a memory space and detecting system calls invoked by the regions. In this paper, we describe a method for identifying a system call invoker by branch trace store. We have implemented our proposed method in our system call tracer Alkanet. We confirmed that our method could distinguish system calls invoked by malwares from other system calls.
収録刊行物
-
- 情報処理学会論文誌
-
情報処理学会論文誌 57 (2), 756-768, 2016-02-15
- Tweet
詳細情報 詳細情報について
-
- CRID
- 1050845762837163392
-
- NII論文ID
- 170000130885
-
- NII書誌ID
- AN00116647
-
- ISSN
- 18827764
-
- Web Site
- http://id.nii.ac.jp/1001/00148183/
-
- 本文言語コード
- ja
-
- 資料種別
- journal article
-
- データソース種別
-
- IRDB
- CiNii Articles