- 著者
-
泉田 大宗
橋本 政朋
森 彰
- 出版者
- 情報処理学会
- 雑誌
- 研究報告マルチメディア通信と分散処理(DPS) (ISSN:09196072)
- 巻号頁・発行日
- vol.2010, no.36, pp.1-8, 2010-02-25
本稿では軽量の動的エミュレーションと静的解析を組み合わせたマルウェアの振る舞い解析を自動化する手法について述べる。動的解析により実行時の情報を得るとともに、エミュレーションでは実行されなかった制御フローを静的解析を用いて調べることができる。静的解析ではバイナリコードから制御フローグラフ (CFG) を作成するが、間接ジャンプ/コールの行き先アドレスのような未解決な行き先に対し記号的評価を行い、定数値に帰結させることで順次 CFG を拡大する手法を用いている。記号的評価手法は静的単一代入 (SSA) 形式に変換した上で定数伝播とメモリアクセス解析を行っている。実際のマルウェアサンプルを用いた実験を行い、本手法の有効性を示した。We present an automated method for analyzing malware behaviors based on a combination of lightweight emulation and static analysis of binary executables. The emulator gathers run-time information while static analysis reveals control flows not explored by the emulator. The static analyzer incrementally converts binary code into static single assignment (SSA) form in which indeterminate values such as destination addresses of indirect jumps/calls and return addresses are symbolically evaluated for further conversion by constant propagation and by memory read/write tracing. The results of experiments conducted on malware samples collected in a real environment are presented to demonstrate the capability of the method.