著者

岩村 誠 川古谷 裕平 針生 剛男

雑誌

コンピュータセキュリティシンポジウム2011 論文集

巻号頁・発行日

vol.2011, no.3, pp.12-17, 2011-10-12

---

本論文では,アンパッキング後のマルウェアにおけるインポート・アドレス・テーブル(IAT)のエントリ格納場所を特定する手法を提案する.従来の手法は,マルウェアの逆アセンブル結果からIATを利用する機械語命令を探し出すことでIAT格納場所を推定していた.しかしWindows用コンパイラは可変長の機械語命令とデータが混在するバイナリを出力する傾向にあるため,正確な逆アセンブル結果を得ることは難しい.こうした問題に対し提案手法は,マルウェア内の各アドレスがIATエントリ格納場所である確率を算出し,当該確率が十分に高いアドレスを探し出すことで,精度よくIATエントリの格納場所を特定することを可能にした.