著者

川古谷 裕平 岩村 誠 三好 潤

雑誌

コンピュータセキュリティシンポジウム2017論文集

巻号頁・発行日

vol.2017, no.2, 2017-10-16

---

マルウェアの静的解析において,Windows APIはマルウェアの機能を効率的に読み取るための重要な情報源である.しかし,その有用性のため,マルウェア作者はマルウェアに難読化を施し,インポートしているAPIを隠蔽する傾向がある.本論文では,マルウェアが利用するAPI難読化手法とそれらを解析する既存手法を整理し,既存手法がAPIの配置場所を難読化する解析妨害に脆弱であることを示す.次に,この問題を解決するため,テイント解析により得た情報に基づき,メモリダンプ内のIATのAPIアドレス解決を行う提案する.本提案手法を用いることで,マルウェが配置場所難読化を施した場合でも,インポートしているAPIを正確に特定できることを実験にて示す.