JP2018081514A5 - - Google Patents

Download PDF

Info

Publication number
JP2018081514A5
JP2018081514A5 JP2016223692A JP2016223692A JP2018081514A5 JP 2018081514 A5 JP2018081514 A5 JP 2018081514A5 JP 2016223692 A JP2016223692 A JP 2016223692A JP 2016223692 A JP2016223692 A JP 2016223692A JP 2018081514 A5 JP2018081514 A5 JP 2018081514A5
Authority
JP
Japan
Prior art keywords
malware
request
storage medium
analysis method
virtual machine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016223692A
Other languages
English (en)
Other versions
JP2018081514A (ja
Filing date
Publication date
Application filed filed Critical
Priority to JP2016223692A priority Critical patent/JP2018081514A/ja
Priority claimed from JP2016223692A external-priority patent/JP2018081514A/ja
Priority to US15/806,887 priority patent/US20180137274A1/en
Publication of JP2018081514A publication Critical patent/JP2018081514A/ja
Publication of JP2018081514A5 publication Critical patent/JP2018081514A5/ja
Pending legal-status Critical Current

Links

Claims (18)

  1. プロセッサとメモリを有する物理計算機上で稼働する仮想計算機でマルウェアを解析するマルウェアの解析方法であって、
    前記仮想計算機のゲストOS上で稼働する解析部が、前記マルウェアから前記ゲストOSに対する要求を取得する第1のステップと、
    前記解析部が、前記マルウェアからの前記要求に仮想化環境に関連する要求が含まれている場合には、当該要求に対して偽装応答を前記マルウェアに対して行う第2のステップと、
    を含むことを特徴とするマルウェアの解析方法。
  2. 請求項1に記載のマルウェアの解析方法であって、
    前記解析部が、前記マルウェアから前記ゲストOSに対する要求が通信である場合には、宛先のアドレスを予め設定したダミーアドレスに変更して通信を実施する第3のステップと、
    前記解析部が、前記マルウェアに前記通信の完了を応答する第4のステップと、
    をさらに含むことを特徴とするマルウェアの解析方法。
  3. 請求項1に記載のマルウェアの解析方法であって、
    前記第2のステップは、
    前記要求に対して仮想化環境が存在しないことを含む偽装応答を前記マルウェアに対して行うことを特徴とするマルウェアの解析方法。
  4. 請求項1に記載のマルウェアの解析方法であって、
    前記第2のステップは、
    前記仮想化環境に関連する要求に対応する偽装応答が予め設定された偽装応答情報を参照し、前記要求に対応する偽装応答を実行することを特徴とするマルウェアの解析方法。
  5. 請求項4に記載のマルウェアの解析方法であって、
    前記仮想化環境に関連する要求は、前記仮想計算機に固有のリソースに対する要求であることを特徴とするマルウェアの解析方法。
  6. 請求項5に記載のマルウェアの解析方法であって、
    前記仮想計算機に固有のリソースが、当該仮想計算機に割り当てられた仮想デバイスのドライバであることを特徴とするマルウェアの解析方法。
  7. 請求項5に記載のマルウェアの解析方法であって、
    前記仮想計算機に固有のリソースが、当該仮想計算機を制御する仮想化部のポートであることを特徴とするマルウェアの解析方法。
  8. 請求項1に記載のマルウェアの解析方法であって、
    前記第1のステップは、
    前記仮想計算機上で稼働するアプリケーションから前記ゲストOSに対する要求のうち、予め設定された情報に基づいて前記マルウェアから前記ゲストOSに対する要求を選択するステップを含むことを特徴とするマルウェアの解析方法。
  9. 請求項1に記載のマルウェアの解析方法であって、
    前記解析部が、前記マルウェアから前記ゲストOSに対する要求が通信である場合には、当該要求を前記物理計算機上の所定の領域に出力する第3のステップと、
    前記解析部が、前記マルウェアに前記通信の完了を応答する第4のステップと、
    をさらに含むことを特徴とするマルウェアの解析方法。
  10. プロセッサとメモリを有する計算機を制御するプログラムを格納した記憶媒体であって、
    マルウェアからゲストOSに対する要求を取得する第1のステップと、
    前記マルウェアからの前記要求に仮想化環境に関連する要求が含まれている場合には、当該要求に対して偽装応答を前記マルウェアに対して行う第2のステップと、
    を前記計算機に実行させるプログラムを格納した非一時的な計算機読み取り可能な記憶媒体。
  11. 請求項10に記載の記憶媒体であって、
    前記マルウェアから前記ゲストOSに対する要求が通信である場合には、宛先のアドレスを予め設定したダミーアドレスに変更して通信を実施する第3のステップと、
    前記マルウェアに前記通信の完了を応答する第4のステップと、
    をさらに含むことを特徴とする記憶媒体。
  12. 請求項10に記載の記憶媒体であって、
    前記第2のステップは、
    前記要求に対して仮想化環境が存在しないことを含む偽装応答を前記マルウェアに対して行うことを特徴とする記憶媒体。
  13. 請求項10に記載の記憶媒体であって、
    前記第2のステップは、
    前記仮想化環境に関連する要求に対応する偽装応答が予め設定された偽装応答情報を参照し、前記要求に対応する偽装応答を実行することを特徴とする記憶媒体。
  14. 請求項13に記載の記憶媒体であって、
    前記仮想化環境に関連する要求は、仮想計算機に固有のリソースに対する要求であることを特徴とする記憶媒体。
  15. 請求項14に記載の記憶媒体であって、
    前記仮想計算機に固有のリソースが、前記仮想計算機に割り当てられた仮想デバイスのドライバであることを特徴とする記憶媒体。
  16. 請求項14に記載の記憶媒体であって、
    前記仮想計算機に固有のリソースが、前記仮想計算機を制御する仮想化部のポートであることを特徴とする記憶媒体。
  17. 請求項15に記載の記憶媒体であって、
    前記第1のステップは、
    前記仮想計算機上で稼働するアプリケーションから前記ゲストOSに対する要求のうち、予め設定された情報に基づいて前記マルウェアから前記ゲストOSに対する要求を選択するステップを含むことを特徴とする記憶媒体。
  18. 請求項10に記載の記憶媒体であって、
    記マルウェアから前記ゲストOSに対する要求が通信である場合には、当該要求を前記物理計算機上の所定の領域に出力する第3のステップと、
    記マルウェアに前記通信の完了を応答する第4のステップと、
    をさらに含むことを特徴とする記憶媒体。
JP2016223692A 2016-11-17 2016-11-17 マルウェアの解析方法及び記憶媒体 Pending JP2018081514A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016223692A JP2018081514A (ja) 2016-11-17 2016-11-17 マルウェアの解析方法及び記憶媒体
US15/806,887 US20180137274A1 (en) 2016-11-17 2017-11-08 Malware analysis method and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016223692A JP2018081514A (ja) 2016-11-17 2016-11-17 マルウェアの解析方法及び記憶媒体

Publications (2)

Publication Number Publication Date
JP2018081514A JP2018081514A (ja) 2018-05-24
JP2018081514A5 true JP2018081514A5 (ja) 2019-02-21

Family

ID=62106918

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016223692A Pending JP2018081514A (ja) 2016-11-17 2016-11-17 マルウェアの解析方法及び記憶媒体

Country Status (2)

Country Link
US (1) US20180137274A1 (ja)
JP (1) JP2018081514A (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014201592A1 (de) * 2014-01-29 2015-07-30 Siemens Aktiengesellschaft Verfahren und Vorrichtungen zum Erkennen von autonomer, selbstpropagierender Software
CN110866250A (zh) * 2018-12-12 2020-03-06 哈尔滨安天科技集团股份有限公司 一种病毒防御方法、装置及电子设备
EP4361860A1 (en) 2021-06-22 2024-05-01 Digital Information Technologies Corporation Program, information processing device, and method
CN116244757A (zh) * 2023-03-15 2023-06-09 武汉天楚云计算有限公司 一种计算机设备监测警报方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101122646B1 (ko) * 2010-04-28 2012-03-09 한국전자통신연구원 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치
CN103020525A (zh) * 2012-12-20 2013-04-03 北京奇虎科技有限公司 虚拟机系统的反检测方法和装置

Similar Documents

Publication Publication Date Title
TWI637613B (zh) 用於支援經由nvme將網路上的可擴展存放裝置作為本機存放區進行訪問的系統和方法
JP5945074B2 (ja) Apiインターセプト関連のアプリケーションのための方法、デバイス、およびモバイル端末
JP2016535373A5 (ja)
JP2018081514A5 (ja)
RU2016141987A (ru) Способ и устройство изменения ресурса виртуальной вычислительной машины и устройство для функционирования виртуальной сети передачи данных
WO2016109154A8 (en) Trusted computing
JP4805238B2 (ja) セキュアなロケーションアウェアプラットフォームを可能にする方法、装置及びシステム
JP2020524840A5 (ja)
JP2017505483A5 (ja)
JP2016535335A5 (ja)
JP2017529593A5 (ja)
US20160162302A1 (en) Fast initiation of workloads using memory-resident post-boot snapshots
JP2019512804A5 (ja)
JP2015514270A5 (ja)
JP2016525255A5 (ja)
JP2016510458A5 (ja)
JP2018538630A5 (ja)
JP2017518594A5 (ja)
JP2016508273A5 (ja)
JP2010520528A5 (ja)
JP2016529568A5 (ja)
US9483301B2 (en) Dynamic virtual machine function enabling
WO2016040357A3 (en) Load balancing of cloned virtual machines
JP2015527662A5 (ja)
JP2014235501A5 (ja)