著者
泉田 大宗 橋本 政朋 森 彰
出版者
情報処理学会
雑誌
研究報告マルチメディア通信と分散処理(DPS) (ISSN:09196072)
巻号頁・発行日
vol.2010, no.36, pp.1-8, 2010-02-25

本稿では軽量の動的エミュレーションと静的解析を組み合わせたマルウェアの振る舞い解析を自動化する手法について述べる。動的解析により実行時の情報を得るとともに、エミュレーションでは実行されなかった制御フローを静的解析を用いて調べることができる。静的解析ではバイナリコードから制御フローグラフ (CFG) を作成するが、間接ジャンプ/コールの行き先アドレスのような未解決な行き先に対し記号的評価を行い、定数値に帰結させることで順次 CFG を拡大する手法を用いている。記号的評価手法は静的単一代入 (SSA) 形式に変換した上で定数伝播とメモリアクセス解析を行っている。実際のマルウェアサンプルを用いた実験を行い、本手法の有効性を示した。We present an automated method for analyzing malware behaviors based on a combination of lightweight emulation and static analysis of binary executables. The emulator gathers run-time information while static analysis reveals control flows not explored by the emulator. The static analyzer incrementally converts binary code into static single assignment (SSA) form in which indeterminate values such as destination addresses of indirect jumps/calls and return addresses are symbolically evaluated for further conversion by constant propagation and by memory read/write tracing. The results of experiments conducted on malware samples collected in a real environment are presented to demonstrate the capability of the method.
著者
泉田 大宗 森 彰 二木 厚吉
出版者
日本ソフトウェア科学会
雑誌
コンピュータ ソフトウェア (ISSN:02896540)
巻号頁・発行日
vol.29, no.4, pp.4_199-4_218, 2012-10-25 (Released:2012-11-25)

本稿では動的解析と静的解析を組み合わせたマルウェアの振る舞い解析手法について述べる.静的解析部ではバイナリコードを低レベルの記号式で解釈した上で静的単一代入形式に変換し,後方解析を行うことで間接ジャンプの行き先を可能な限り解決している.静的解析では解析しきれない制御フローに関しては動的解析によって補遺する.従来のバイナリコード解析手法ではC言語などの高級言語からコンパイルされたバイナリのみを対象としていたが,本手法ではマルウェアのようにそのような前提条件を満たさないバイナリも解析可能である.また,動的解析部としてハイパーバイザ機構を使った仮想環境を用いる試みについても述べる.
著者
泉田 大宗 橋本 政朋 森 彰
雑誌
研究報告マルチメディア通信と分散処理(DPS)
巻号頁・発行日
vol.2010-DPS-142, no.36, pp.1-8, 2010-02-25

本稿では軽量の動的エミュレーションと静的解析を組み合わせたマルウェアの振る舞い解析を自動化する手法について述べる。動的解析により実行時の情報を得るとともに、エミュレーションでは実行されなかった制御フローを静的解析を用いて調べることができる。静的解析ではバイナリコードから制御フローグラフ (CFG) を作成するが、間接ジャンプ/コールの行き先アドレスのような未解決な行き先に対し記号的評価を行い、定数値に帰結させることで順次 CFG を拡大する手法を用いている。記号的評価手法は静的単一代入 (SSA) 形式に変換した上で定数伝播とメモリアクセス解析を行っている。実際のマルウェアサンプルを用いた実験を行い、本手法の有効性を示した。