JP2013114637A - マルウェア解析システム - Google Patents
マルウェア解析システム Download PDFInfo
- Publication number
- JP2013114637A JP2013114637A JP2011263186A JP2011263186A JP2013114637A JP 2013114637 A JP2013114637 A JP 2013114637A JP 2011263186 A JP2011263186 A JP 2011263186A JP 2011263186 A JP2011263186 A JP 2011263186A JP 2013114637 A JP2013114637 A JP 2013114637A
- Authority
- JP
- Japan
- Prior art keywords
- data
- malware
- information
- execution
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【解決手段】実行手段106で実行し、実行トレース記録手段107に記録されたマルウェアの実行トレース情報を走査し、実行中のデータ計算に参照される依存データと実行トレース情報とが対応したデータ依存関係履歴情報をマルウェアプログラム実行により更新し、実行データがビット演算/算術演算の場合、そのデータの依存データの依存データ情報への追加をマルウェアプログラム終端まで実施し、データを依存データ情報の有効実行トレース行番号該当のマルウェアプログラムの実行アドレスでグループ分けした鍵格納バッファ候補群を鍵特定手段が出力し、暗号化鍵でデータを復号し、復号前後のデータを比較し、暗号化鍵を選択する。
【選択図】図1
Description
これらのマルウェアはRC4やAESなどの暗号化関数を内部に持ち、外部にアップロードする情報を暗号化してから送信するため、マルウェアを解析して暗号化鍵を特定しなければ実際に漏洩した情報の内容が何かを明らかにすることはできない。
この発明は上記のような問題点を解決するためになされたもので、マルウェアのメモリ操作を詳細に解析することにより、マルウェアがメモリに書き込む様々なデータの中から暗号化鍵を特定することを目的とする。
インターネットに接続され、マルウェアに感染された情報処理端末から、外部に漏洩された情報の特定に必要なマルウェアの暗号化鍵を特定するマルウェア解析システムであって、
情報処理端末とインターネットとの間の通信情報が記録された通信記録蓄積手段と、
感染されたマルウェアを記憶し、このマルウェアのプログラムを実行するマルウェア実行手段と、マルウェア実行手段上でマルウェアがマシン語命令を実行するたびに、実行トレース情報を記録する実行トレース記録手段を有するマルウェア実行装置と、
マルウェアからの接続要求に応じて、通信記録蓄積手段の過去の通信記録からメッセージを選択してマルウェアに返すメッセージ送信装置と、
実行トレース記録手段からの実行トレース情報を走査し、呼び出し引数によるネットワーク受信関数の呼び出し、引数のうち、受信バッファのアドレス、および受信バッファ長を求め、変数Pmsg、Lmsg領域に格納し、
マルウェアプログラム実行中のデータ計算に参照されるデータを依存データとし、その依存データとマルウェア実行トレース情報との対応を記録するデータ依存関係履歴情報をマルウェアプログラムの実行により更新し、
マルウェアプログラムの実行されたデータがビット演算または算術演算の場合は、そのデータが依存したデータを依存データ情報に追加する処理をマルウェアプログラムの実行トレース行終端まで実施し、
データが追加された依存データ情報を所定の基準でグループ分けして鍵格納バッファ候補群を抽出し出力する鍵特定手段と、
鍵特定手段により暗号化鍵の候補が複数抽出された場合に、抽出された暗号化鍵の候補によりデータを復号し、復号前と復号後のデータを比較し、復号に成功した暗号化鍵を選択する復号結果判定手段を有する実行トレース解析装置とを備える。
さらに、鍵格納バッファ候補群抽出手続きにおいて、鍵の候補を特定する際に、参照したマシン語命令アドレスが近いかどうかを基準にアドレスをグループ分けすることで、連続したメモリ上に鍵データとは別のデータが並んでいたとしても、鍵データの一部として取り出されることを防ぐ効果がある。
さらに、鍵候補を抽出する際に、受信バッファ由来のデータとビット演算/算術演算されるデータのアドレスに絞り込んで解析を行うことで、抽出される鍵候補の数を削減することができるという効果がある。
図1はこの発明に係るマルウェア解析システムを示す装置の構成図である。
本システムは、メッセージ送信装置101、マルウェア実行装置104、実行トレース解析装置108、及び通信記録蓄積手段116で構成されている。メッセージ送信装置101とマルウェア実行装置104とはネットワーク118で接続されている。その他の装置間および通信記録蓄積手段116との間の接続は、情報の入出力が可能であれば自由に行われる。
メッセージ送信装置101は、マルウェア実行装置104上で動作する解析対象マルウェア105に入力するためのメッセージを生成・送信する装置であり、メッセージ送信手段102とメッセージ生成手段103で構成される。メッセージ送信手段102は、メッセージ生成手段103によって生成されたメッセージをネットワーク118を通じてマルウェア実行装置104に送信する手段である。メッセージ生成手段103は通信記録蓄積手段116に記録された通信記録をもとに、マルウェア実行装置104に送信すべきメッセージを生成する手段である。
本システムでは、組織内ネットワーク上の各端末とインターネットとのHTTP(Hyper Text Transfer Protocol)通信情報が通信記録蓄積手段116に記録されている。通信記録蓄積手段116に記録される通信情報を図3に示す。図3に示す通り、本システムでは通信記録蓄積手段116には、発信元のIPアドレスであるsrc ip301、宛先URL302、上りデータ303、および下りデータ304が、発信元から送信されたリクエスト単位で記録される。
組織内ネットワーク上のある情報処理端末でマルウェアプログラムが発見されたとする。利用者117は、同マルウェアプログラムを解析対象マルウェア105としてマルウェア実行装置104に格納し、さらにシステム実行時のパラメータとして感染が確認された端末のIPアドレスをメッセージ送信装置101および実行トレース解析装置108の図示しないメモリに入力した上で本システムでの解析を開始する。
マルウェア実行手段106上で解析対象マルウェア105のプログラムが起動すると、解析対象マルウェア105のプログラムはネットワーク118を通じてインターネット上にある司令サーバとの接続を試みる。メッセージ送信装置101は、解析対象マルウェア105からはHTTPプロキシサーバとして見えるよう構成されているため、解析対象マルウェア105のプログラムはメッセージ送信装置101に対してHTTPリクエストを送信する。
このような通信を数回程度実行後、マルウェア実行手段106は解析対象マルウェア105のプログラム実行を停止し、それまでに実行トレース記録手段107によって記録された実行トレース情報を実行トレース解析装置108に送信する。
はじめに鍵特定手段112の処理の概要について図5を用いて説明する。鍵特定手段112は、入力された実行トレース情報を走査し、呼び出し引数によるネットワーク受信関数の呼び出しまで実行トレース情報をスキップする(S501)。ネットワーク受信関数は、OS(operating system )が標準で提供するものであり、呼び出しに必要な引数は明らかである。そこで、ネットワーク受信関数に渡された引数のうち、受信バッファのアドレス、および受信バッファ長を、関数呼び出しの直前に記録されたPUSH等のスタック操作命令の実行トレース情報から求め、それぞれ鍵特定手段112のメモリの変数Pmsg、Lmsg領域に格納しておく(S502)。
ここで、メモリPおよびメモリFlowsに格納されるデータについて説明する。はじめにメモリFlowsに格納される情報について説明する。Flowsには、解析対象マルウェア105の解析が進むにつれデータ依存関係履歴情報と呼ばれる情報が格納されていく。データ依存関係履歴情報とは、実行トレース上のある命令が実行された時点で、各レジスタ/メモリと、そこに書き込まれているデータが依存しているデータについて記録したものである。ここで、依存しているデータとは、あるデータの値を計算する際に、直接、あるいはレジスタを通じて間接に参照されたメモリ上のデータを指す。
有効実行トレース行番号407とは、実行トレース行番号401で示される命令が実行されたときに、依存データ情報405に記載されたアドレス406に格納されていた値が、実行トレースのどの時点で参照されたのかを示す実行トレース行番号を指す。これは、同一メモリアドレスに複数回データ書き込みがあった場合、どの時点で書き込まれたデータかを追跡するために必要な情報である。なお、図4において、各情報名に括弧書きで記載されている文字列は、後の動作説明で用いる際の各情報名の略称である。
最終的に、メモリPに記録された各データが依存しているデータをメモリFlowsの変数Flowsを用いてさかのぼっていく事で暗号化鍵を特定するのが鍵特定手段112の目的となる。
まず、S601〜S604で変数の初期化を行う。S601ではFlowsの中から実行トレース情報traceの直前(つまり実行トレース行番号が現在の実行トレース情報traceよりも1少ない)の実行結果として算出された依存関係情報を取り出し、変数lastFlowに格納する。次に、traceに記録されている命令を解析し、命令のソースオペランドおよびディスティネーションオペランドを、変数Op_s、Op_dに格納する(S602),(S603)。Op_sは命令によっては存在しない場合もあるが、その場合は空値が代入される。最後に、依存データ情報(図4 405参照)の集合Dを空集合に初期化する(S604)。
次に、S611において、base、index、dispに対し、対応する依存データ情報が取り出され、それらの和集合が依存データ情報の集合Dに格納される。さらに変数である集合Dには新たな依存データ情報として、address=addr、d_line=traceの行番号が追加される。
S704の判定が偽だった場合、newFlow[ store = dest ]は、現在のnewFlow[ store = dest ]と変数Dとの和集合で更新される(S705)。最後にS706で、Fに(line = trace行番号、exec = trace内の命令アドレス、依存関係情報 = newFlow)で構成されるエントリを追加し、現在のデータ依存関係履歴情報Fを返して処理が終了する。
S801で、引数として与えられた情報が各変数に格納される。S802でFSからline=trとなる履歴を取得し現在のデータ依存関係履歴情報Fに代入(S802)し、さらに現在のデータ依存関係履歴情報F[store = s]を依存データ情報の変数である集合Dに代入する(S803)。次にS804〜S810で、集合D内の各依存データ情報に対し、S805〜S809で示す処理が行われる。S805、S806で、エントリのaddress(図4 406)、およびd_line(図4 407)が変数m、iに代入される。もしmがPmsgで示される受信バッファ内を指していたならば(S807 yes)、本手続きは真を返して終了する。
さもなければ、mに格納されているデータが依存しているメモリが受信バッファに依存しているかどうかを再帰的に検査する(S808)。結果が真であれば(S809 yes)、真を返して終了するが、そうでない場合には、次のエントリに対して同様な検査を行う。
最終的に、依存データ情報の変数である集合D内の全てのエントリが受信バッファに依存していない場合、FALSEを返して処理が終了する。
まず初期化処理としてS901で引数として与えられた情報が各変数に代入され、鍵候補バッファ集合Kが空集合に初期化される(S902)。
次にS903で依存データ情報の集合P内の各要素(address, d_line)に対し、有効実行トレース行番号(d_line)に該当する実行アドレス(exec)を、複数の依存データと複数のマルウェア実行トレース情報との対応が記録されたデータ依存関係履歴情報の集合FSを参照して求め、3要素のタプル(adderss, d_line, exec)とする。
はじめにS1001にて、引数として入力された情報を変数に代入する。次にS1002にて、指定された実行トレース行番号に対応する依存関係情報をデータ依存関係履歴情報の集合FSから取り出し現在のデータ依存関係履歴情報Fに代入し、F[ store = s ]を依存データ情報の変数である集合Dに代入する(S1003)。もし、集合Dが空集合だったならば(S1004 yes)、与えられたアドレスsは他のどこにも依存していないアドレスであり、集合Aに(s, trace)を追加して(S1011)処理を終了させる。
以上をもって、鍵特定手段の動作についての説明を終了し、再び全体の動作の説明を再開する。
復号結果判定手段115により、復号に成功したと判定された場合には、復号結果とその時の鍵を解析結果出力手段を通じて利用者に通知し、本システムの動作が終了する。
なお、本形態では通信記録蓄積手段116に格納される通信をHTTPに絞って説明したが、他の通信プロトコルの通信記録を対象として解析することももちろん可能である。
さらに、鍵の候補が複数現れた場合に、復号前と復号後のデータのランダム性を比較することで、利用者が目視で確認することなく、正しい鍵を選択できるという効果がある。
さらに、鍵候補を抽出する際に、受信バッファ由来のデータとビット演算/算術演算されるデータのアドレスに絞り込んで解析を行うことで、抽出される鍵候補の数を削減することができるという効果がある。
以上の実施の形態1では、復号結果判定手段において、圧縮率の変化を用いるものであるが、本実施の形態では、復号結果後のデータが既知のファイルフォーマットに一致するかを条件として判定する。ファイルフォーマットに関する情報はフォーマット定義蓄積手段119に保存されている。
以上のように、復号結果の判定に既知のファイルフォーマットと一致するかという条件を用いることで、復号後のデータが圧縮されていたとしても、復号の成否を正しく判定することができるという効果がある。
Claims (5)
- インターネットに接続され、マルウェアに感染された情報処理端末から、外部に漏洩された情報の特定に必要なマルウェアの暗号化鍵を特定するマルウェア解析システムであって、
情報処理端末とインターネットとの間の通信情報が記録された通信記録蓄積手段と、
感染されたマルウェアを記憶し、このマルウェアのプログラムを実行するマルウェア実行手段と、マルウェア実行手段上でマルウェアがマシン語命令を実行するたびに、実行トレース情報を記録する実行トレース記録手段を有するマルウェア実行装置と、
マルウェアからの接続要求に応じて、通信記録蓄積手段の過去の通信記録からメッセージを選択してマルウェアに返すメッセージ送信装置と、
実行トレース記録手段からの実行トレース情報を走査し、呼び出し引数によるネットワーク受信関数の呼び出し、引数のうち、受信バッファのアドレス、および受信バッファ長を求め、変数Pmsg、Lmsg領域に格納し、
マルウェアプログラム実行中のデータ計算に参照されるデータを依存データとし、その依存データとマルウェア実行トレース情報との対応を記録するデータ依存関係履歴情報をマルウェアプログラムの実行により更新し、
マルウェアプログラムの実行されたデータがビット演算または算術演算の場合は、そのデータが依存したデータを依存データ情報に追加する処理をマルウェアプログラムの実行トレース行終端まで実施し、
データが追加された依存データ情報を所定の基準でグループ分けして鍵格納バッファ候補群を抽出し出力する鍵特定手段と、
鍵特定手段により暗号化鍵の候補が複数抽出された場合に、抽出された暗号化鍵の候補によりデータを復号し、復号前と復号後のデータを比較し、復号に成功した暗号化鍵を選択する復号結果判定手段を有する実行トレース解析装置とを備えたマルウェア解析システム。 - 鍵特定手段は、鍵格納バッファ候補群抽出処理におけるデータが追加された依存データ情報のグループ分けは、依存データ情報の有効実行トレース行番号に該当するマルウェアプログラムのマシン語命令アドレスが近いか否かを基準にアドレスをグループ分けし、依存データ情報をグループ分けすることを特徴とする請求項1に記載のマルウェア解析システム。
- 複数の依存データと複数のマルウェア実行トレース情報との対応が記録されたデータ依存関係履歴情報の集合を備え、
鍵特定手段は、
実行トレース記録手段からの実行トレース情報を走査し、呼び出し引数によるネットワーク受信関数の呼び出し引数のうち、受信バッファのアドレス、および受信バッファ長を求め、変数Pmsg、Lmsg領域に格納し、
マルウェアプログラム実行中の実行トレース行番号に対応するデータ依存関係情報をデータ依存関係履歴情報の集合から取り出し現在のデータ依存関係履歴情報とし、現在のデータ依存関係履歴情報の依存データ情報を集合Dに代入する処理をマルウェアプログラムの実行トレース行終端まで実施し、集合Dが空集合であれば、他のどこにも依存していないアドレスであるとして受信バッファのアドレスの集合を出力し、
集合Dが空集合でない場合、集合D内の各エントリに対し、依存アドレス抽出手続き処理をし、他のどこにも依存していないアドレスの集合を作成し、出力することを特徴とする請求項1に記載のマルウェア解析システム。 - 復号結果判定手段は、
鍵特定手段により抽出された暗号化鍵の候補によりデータを復号し、
元のデータ、復号後のデータを各々共通の圧縮アルゴリズムを用いて圧縮し、復号後のデータを圧縮した場合の圧縮後データサイズが、復号前のデータを圧縮した場合の圧縮後データサイズと比較して復号に成功した暗号化鍵を特定する構成にされたことを特徴とする請求項1に記載のマルウェア解析システム。 - ファイルフォーマットに関する情報が保存されたフォーマット定義蓄積手段を備え、
復号結果判定手段は、鍵特定手段により抽出された暗号化鍵の候補によりデータを復号し、復号結果後のデータがフォーマット定義蓄積手段に保存されたファイルフォーマットに一致するかを条件として暗号化鍵を特定する構成にされたことを特徴とする請求項1に記載のマルウェア解析システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011263186A JP5839967B2 (ja) | 2011-12-01 | 2011-12-01 | マルウェア解析システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011263186A JP5839967B2 (ja) | 2011-12-01 | 2011-12-01 | マルウェア解析システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013114637A true JP2013114637A (ja) | 2013-06-10 |
JP5839967B2 JP5839967B2 (ja) | 2016-01-06 |
Family
ID=48710090
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011263186A Expired - Fee Related JP5839967B2 (ja) | 2011-12-01 | 2011-12-01 | マルウェア解析システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5839967B2 (ja) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016030927A1 (ja) * | 2014-08-28 | 2016-03-03 | 三菱電機株式会社 | プロセス解析装置、プロセス解析方法、及びプロセス解析プログラム |
WO2016047115A1 (ja) * | 2014-09-25 | 2016-03-31 | 日本電気株式会社 | 解析システム、解析装置、解析方法、及び、解析プログラムが記録された記憶媒体 |
WO2016047111A1 (ja) * | 2014-09-25 | 2016-03-31 | 日本電気株式会社 | 解析システム、解析装置、解析方法、及び、解析プログラムが記録された記憶媒体 |
WO2016047110A1 (ja) * | 2014-09-25 | 2016-03-31 | 日本電気株式会社 | 解析システム、解析装置、解析方法、及び、解析プログラムが記録された記録媒体 |
WO2016125205A1 (ja) * | 2015-02-06 | 2016-08-11 | 三菱電機株式会社 | 暗号ブロック特定装置、暗号ブロック特定方法、及び暗号ブロック特定プログラム |
CN108268772A (zh) * | 2016-12-30 | 2018-07-10 | 武汉安天信息技术有限责任公司 | 恶意样本的筛选方法及系统 |
JP2018169792A (ja) * | 2017-03-30 | 2018-11-01 | 日本電気株式会社 | マルウェア解析方法、マルウェア解析装置およびマルウェア解析システム |
JP2020154796A (ja) * | 2019-03-20 | 2020-09-24 | 日本電気株式会社 | マルウェア解析装置、マルウェア解析方法、及び、プログラム |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018178028A1 (en) | 2017-03-28 | 2018-10-04 | British Telecommunications Public Limited Company | Initialisation vector identification for encrypted malware traffic detection |
US12008102B2 (en) | 2018-09-12 | 2024-06-11 | British Telecommunications Public Limited Company | Encryption key seed determination |
EP3623982B1 (en) | 2018-09-12 | 2021-05-19 | British Telecommunications public limited company | Ransomware remediation |
EP3623980B1 (en) | 2018-09-12 | 2021-04-28 | British Telecommunications public limited company | Ransomware encryption algorithm determination |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005527873A (ja) * | 2001-09-14 | 2005-09-15 | コンピュータ アソシエイツ シンク,インコーポレイテッド | ウイルス検知システム |
JP2009181335A (ja) * | 2008-01-30 | 2009-08-13 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析方法および解析プログラム |
JP2010015513A (ja) * | 2008-07-07 | 2010-01-21 | Nippon Telegr & Teleph Corp <Ntt> | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
-
2011
- 2011-12-01 JP JP2011263186A patent/JP5839967B2/ja not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005527873A (ja) * | 2001-09-14 | 2005-09-15 | コンピュータ アソシエイツ シンク,インコーポレイテッド | ウイルス検知システム |
JP2009181335A (ja) * | 2008-01-30 | 2009-08-13 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析方法および解析プログラム |
JP2010015513A (ja) * | 2008-07-07 | 2010-01-21 | Nippon Telegr & Teleph Corp <Ntt> | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2016030927A1 (ja) * | 2014-08-28 | 2017-04-27 | 三菱電機株式会社 | プロセス解析装置、プロセス解析方法、及びプロセス解析プログラム |
US10325094B2 (en) | 2014-08-28 | 2019-06-18 | Mitsubishi Electric Corporation | Process analysis apparatus, process analysis method, and process analysis for determining input/output relation of a block of execution trace to detect potential malware |
WO2016030927A1 (ja) * | 2014-08-28 | 2016-03-03 | 三菱電機株式会社 | プロセス解析装置、プロセス解析方法、及びプロセス解析プログラム |
CN106664201A (zh) * | 2014-08-28 | 2017-05-10 | 三菱电机株式会社 | 进程解析装置、进程解析方法和进程解析程序 |
JPWO2016047115A1 (ja) * | 2014-09-25 | 2017-07-20 | 日本電気株式会社 | 解析システム、解析方法、及び、解析プログラム |
WO2016047115A1 (ja) * | 2014-09-25 | 2016-03-31 | 日本電気株式会社 | 解析システム、解析装置、解析方法、及び、解析プログラムが記録された記憶媒体 |
WO2016047110A1 (ja) * | 2014-09-25 | 2016-03-31 | 日本電気株式会社 | 解析システム、解析装置、解析方法、及び、解析プログラムが記録された記録媒体 |
US10554383B2 (en) | 2014-09-25 | 2020-02-04 | Nec Corporation | Analysis system, analysis method, and storage medium |
JPWO2016047111A1 (ja) * | 2014-09-25 | 2017-07-06 | 日本電気株式会社 | 解析システム、解析装置、解析方法、及び、解析プログラムが記録された記憶媒体 |
JPWO2016047110A1 (ja) * | 2014-09-25 | 2017-07-06 | 日本電気株式会社 | 解析システム、解析装置、解析方法、及び、解析プログラムが記録された記録媒体 |
WO2016047111A1 (ja) * | 2014-09-25 | 2016-03-31 | 日本電気株式会社 | 解析システム、解析装置、解析方法、及び、解析プログラムが記録された記憶媒体 |
US10536261B2 (en) | 2014-09-25 | 2020-01-14 | Nec Corporation | Analysis system, analysis method, and storage medium |
US10931468B2 (en) | 2014-09-25 | 2021-02-23 | Nec Corporation | Analysis system, analysis method, and storage medium |
WO2016125205A1 (ja) * | 2015-02-06 | 2016-08-11 | 三菱電機株式会社 | 暗号ブロック特定装置、暗号ブロック特定方法、及び暗号ブロック特定プログラム |
US10050798B2 (en) | 2015-02-06 | 2018-08-14 | Mitsubishi Electric Corporation | Cryptographic block identification apparatus, cryptographic block identification method, and non-transitory computer readable recording medium storing cryptographic block identification program |
JPWO2016125205A1 (ja) * | 2015-02-06 | 2017-06-08 | 三菱電機株式会社 | 暗号ブロック特定装置、暗号ブロック特定方法、及び暗号ブロック特定プログラム |
CN108268772A (zh) * | 2016-12-30 | 2018-07-10 | 武汉安天信息技术有限责任公司 | 恶意样本的筛选方法及系统 |
CN108268772B (zh) * | 2016-12-30 | 2021-10-22 | 武汉安天信息技术有限责任公司 | 恶意样本的筛选方法及系统 |
JP2018169792A (ja) * | 2017-03-30 | 2018-11-01 | 日本電気株式会社 | マルウェア解析方法、マルウェア解析装置およびマルウェア解析システム |
US11134089B2 (en) | 2017-03-30 | 2021-09-28 | Nec Corporation | Malware analysis method, malware analysis device, and malware analysis system |
JP2020154796A (ja) * | 2019-03-20 | 2020-09-24 | 日本電気株式会社 | マルウェア解析装置、マルウェア解析方法、及び、プログラム |
JP7188208B2 (ja) | 2019-03-20 | 2022-12-13 | 日本電気株式会社 | マルウェア解析装置、マルウェア解析方法、及び、プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP5839967B2 (ja) | 2016-01-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5839967B2 (ja) | マルウェア解析システム | |
JP2018054765A (ja) | データ処理装置、データ処理方法、およびプログラム | |
RU2620712C2 (ru) | Устройство виртуальной машины, имеющее управляемую ключом обфускацию, и способ | |
JPWO2010134325A1 (ja) | 動的データフロー追跡方法、動的データフロー追跡プログラム、動的データフロー追跡装置 | |
US9160524B2 (en) | Method and system for recovering cryptographic operations and/or secrets | |
CN105074712A (zh) | 代码处理装置和程序 | |
CA3026555A1 (en) | Process control device, process control method, and recording medium having process control program recorded therein | |
JP2013061843A (ja) | コンピュータ・ソフトウエア解析システムならびにクライアント・コンピュータ,その動作制御方法およびその動作プログラム | |
JP2015106914A (ja) | マルウェア通信解析装置、及びマルウェア通信解析方法 | |
Akram et al. | DroidMD: an efficient and scalable android malware detection approach at source code level | |
Hamza et al. | A survey and taxonomy of program analysis for IoT platforms | |
Borzacchiello et al. | Reconstructing C2 servers for remote access trojans with symbolic execution | |
Zhang et al. | Android encryption database forensic analysis based on static analysis | |
JP6395986B2 (ja) | 鍵生成源特定装置、鍵生成源特定方法及び鍵生成源特定プログラム | |
CN109343971B (zh) | 一种基于缓存技术的浏览器数据传递方法及装置 | |
JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム | |
JP6246377B2 (ja) | プロセス解析装置、プロセス解析方法、及びプロセス解析プログラム | |
CN114629644A (zh) | 数据加密方法、存储介质、计算机程序产品和电子设备 | |
CN109657480A (zh) | 一种文件处理方法、设备及计算机可读存储介质 | |
JP2018121262A (ja) | セキュリティ監視サーバ、セキュリティ監視方法、プログラム | |
TW201629767A (zh) | 爲符合準則之資料決定保護性措施之技術 | |
JP6752347B1 (ja) | 情報処理装置、コンピュータプログラム及び情報処理方法 | |
CN114221816B (zh) | 流量检测方法、装置、设备及存储介质 | |
Gao et al. | Towards Micro-architectural Leakage Simulators: Reverse Engineering Micro-architectural Leakage Features Is Practical | |
JP2017033255A (ja) | パラメータ特定プログラム、パラメータ特定方法およびパラメータ特定装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20141014 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150611 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150804 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20150910 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150917 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151013 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151110 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5839967 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |