- 著者
-
岩村 誠
川古谷 裕平
針生 剛男
- 雑誌
- コンピュータセキュリティシンポジウム2011 論文集
- 巻号頁・発行日
- vol.2011, no.3, pp.12-17, 2011-10-12
本論文では,アンパッキング後のマルウェアにおけるインポート・アドレス・テーブル(IAT)のエントリ格納場所を特定する手法を提案する.従来の手法は,マルウェアの逆アセンブル結果からIATを利用する機械語命令を探し出すことでIAT格納場所を推定していた.しかしWindows用コンパイラは可変長の機械語命令とデータが混在するバイナリを出力する傾向にあるため,正確な逆アセンブル結果を得ることは難しい.こうした問題に対し提案手法は,マルウェア内の各アドレスがIATエントリ格納場所である確率を算出し,当該確率が十分に高いアドレスを探し出すことで,精度よくIATエントリの格納場所を特定することを可能にした.