文献

J-GLOBAL ID：201102235552299393   整理番号：11A0108811

CPUエミュレータとDynamic Binary Instrumentationの併用によるシェルコード動的分析手法の提案

A Shellcode Analysis Method using CPU Emulator and Dynamic Binary Instrumentation

著者 (7件)： 神保千晶 (横浜国大) ,  吉岡克成 (横浜国大) ,  四方順司 (横浜国大) ,  松本勉 (横浜国大) ,  衛藤将史 (情報通信研究機構) ,  井上大介 (情報通信研究機構) ,  中尾康二 (情報通信研究機構)
資料名： 電子情報通信学会技術研究報告  (IEICE Technical Report (Institute of Electronics, Information and Communication Engineers))
巻： 110  号： 266(ICSS2010 44-55)  ページ： 59-64  発行年： 2010年10月29日 
JST資料番号： S0532B  ISSN： 0913-5685  資料種別： 会議録 (C)
記事区分： 短報  発行国： 日本 (JPN)  言語： 日本語 (JA)

抄録/ポイント： confickerの大流行が示す通り,リモートエクスプロイト攻撃によるマルウェア感染は依然としてインターネット上の重大な脅威といえる。これまでシェルコードを検知するための様々な手法が提案されているが,シェルコード自体の傾向分析や分類に関する検討は多くない。そこで本研究では,大量のシェルコードを自動分析するため,高速なCPUエミュレータによりシェルコードを検知した後,Dynamic Binary InstrumentationツールであるPINを用いてWindows OS上の実行トレースによる詳細な分析を行うシェルコード分析手法を提案する。提案手法では,実行トレースからNOPスレッドの位置や種類,自己書き換えコードのデコーダの種類,ペイロードの内容,使用API等を把握し,これらの情報を用いてシェルコードの分析や分類を行う。(著者抄録)

シソーラス用語： ソフトウェア ,  感染 ,  エミュレータ ,  *インターネット ,  *計算機コード ,  オペレーティングシステム ,  トレース【計算機】 ,  Windows ,  スレッド ,  セキュリティシステム ,  *セキュリティ ,  *動的解析 ,  マルウェア ,  サイバー攻撃
準シソーラス用語： *シェルコード ,  ハニーポット ,  攻撃【情報】

分類 (1件)： データ保護  (JD01020V)

引用文献 (17件)：

• Win32/Conficker. http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker
• Snort. http://www.snort.org/
• CHINCHANIL, R. A Fast Static Analysis Approach To Detect Exploit Code Inside Network Flows. RAID 2005. 2005, 284-308
• POLYCHRONAKIS, M. Network-level polymorphic shellcode detection using emulation. DIMVA 2006. 2006, 54-73
• POLYCHRONAKIS, M. Emulation-based detection of non-self-contained polymorphic shellcode. RAID 2007. 2007, 87-106

タイトルに関連する用語 (8件)： CPU ,  エミュレータ ,  instrumentation ,  併用 ,  シェル ,  動的分析 ,  手法 ,  提案