JP2018081514A5 - - Google Patents
Download PDFInfo
- Publication number
- JP2018081514A5 JP2018081514A5 JP2016223692A JP2016223692A JP2018081514A5 JP 2018081514 A5 JP2018081514 A5 JP 2018081514A5 JP 2016223692 A JP2016223692 A JP 2016223692A JP 2016223692 A JP2016223692 A JP 2016223692A JP 2018081514 A5 JP2018081514 A5 JP 2018081514A5
- Authority
- JP
- Japan
- Prior art keywords
- malware
- request
- storage medium
- analysis method
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 claims 23
- 230000004044 response Effects 0.000 claims 13
- 230000000875 corresponding Effects 0.000 claims 4
- 230000001276 controlling effect Effects 0.000 claims 1
Claims (18)
- プロセッサとメモリを有する物理計算機上で稼働する仮想計算機でマルウェアを解析するマルウェアの解析方法であって、
前記仮想計算機のゲストOS上で稼働する解析部が、前記マルウェアから前記ゲストOSに対する要求を取得する第1のステップと、
前記解析部が、前記マルウェアからの前記要求に仮想化環境に関連する要求が含まれている場合には、当該要求に対して偽装応答を前記マルウェアに対して行う第2のステップと、
を含むことを特徴とするマルウェアの解析方法。 - 請求項1に記載のマルウェアの解析方法であって、
前記解析部が、前記マルウェアから前記ゲストOSに対する要求が通信である場合には、宛先のアドレスを予め設定したダミーアドレスに変更して通信を実施する第3のステップと、
前記解析部が、前記マルウェアに前記通信の完了を応答する第4のステップと、
をさらに含むことを特徴とするマルウェアの解析方法。 - 請求項1に記載のマルウェアの解析方法であって、
前記第2のステップは、
前記要求に対して仮想化環境が存在しないことを含む偽装応答を前記マルウェアに対して行うことを特徴とするマルウェアの解析方法。 - 請求項1に記載のマルウェアの解析方法であって、
前記第2のステップは、
前記仮想化環境に関連する要求に対応する偽装応答が予め設定された偽装応答情報を参照し、前記要求に対応する偽装応答を実行することを特徴とするマルウェアの解析方法。 - 請求項4に記載のマルウェアの解析方法であって、
前記仮想化環境に関連する要求は、前記仮想計算機に固有のリソースに対する要求であることを特徴とするマルウェアの解析方法。 - 請求項5に記載のマルウェアの解析方法であって、
前記仮想計算機に固有のリソースが、当該仮想計算機に割り当てられた仮想デバイスのドライバであることを特徴とするマルウェアの解析方法。 - 請求項5に記載のマルウェアの解析方法であって、
前記仮想計算機に固有のリソースが、当該仮想計算機を制御する仮想化部のポートであることを特徴とするマルウェアの解析方法。 - 請求項1に記載のマルウェアの解析方法であって、
前記第1のステップは、
前記仮想計算機上で稼働するアプリケーションから前記ゲストOSに対する要求のうち、予め設定された情報に基づいて前記マルウェアから前記ゲストOSに対する要求を選択するステップを含むことを特徴とするマルウェアの解析方法。 - 請求項1に記載のマルウェアの解析方法であって、
前記解析部が、前記マルウェアから前記ゲストOSに対する要求が通信である場合には、当該要求を前記物理計算機上の所定の領域に出力する第3のステップと、
前記解析部が、前記マルウェアに前記通信の完了を応答する第4のステップと、
をさらに含むことを特徴とするマルウェアの解析方法。 - プロセッサとメモリを有する計算機を制御するプログラムを格納した記憶媒体であって、
マルウェアからゲストOSに対する要求を取得する第1のステップと、
前記マルウェアからの前記要求に仮想化環境に関連する要求が含まれている場合には、当該要求に対して偽装応答を前記マルウェアに対して行う第2のステップと、
を前記計算機に実行させるプログラムを格納した非一時的な計算機読み取り可能な記憶媒体。 - 請求項10に記載の記憶媒体であって、
前記マルウェアから前記ゲストOSに対する要求が通信である場合には、宛先のアドレスを予め設定したダミーアドレスに変更して通信を実施する第3のステップと、
前記マルウェアに前記通信の完了を応答する第4のステップと、
をさらに含むことを特徴とする記憶媒体。 - 請求項10に記載の記憶媒体であって、
前記第2のステップは、
前記要求に対して仮想化環境が存在しないことを含む偽装応答を前記マルウェアに対して行うことを特徴とする記憶媒体。 - 請求項10に記載の記憶媒体であって、
前記第2のステップは、
前記仮想化環境に関連する要求に対応する偽装応答が予め設定された偽装応答情報を参照し、前記要求に対応する偽装応答を実行することを特徴とする記憶媒体。 - 請求項13に記載の記憶媒体であって、
前記仮想化環境に関連する要求は、仮想計算機に固有のリソースに対する要求であることを特徴とする記憶媒体。 - 請求項14に記載の記憶媒体であって、
前記仮想計算機に固有のリソースが、前記仮想計算機に割り当てられた仮想デバイスのドライバであることを特徴とする記憶媒体。 - 請求項14に記載の記憶媒体であって、
前記仮想計算機に固有のリソースが、前記仮想計算機を制御する仮想化部のポートであることを特徴とする記憶媒体。 - 請求項15に記載の記憶媒体であって、
前記第1のステップは、
前記仮想計算機上で稼働するアプリケーションから前記ゲストOSに対する要求のうち、予め設定された情報に基づいて前記マルウェアから前記ゲストOSに対する要求を選択するステップを含むことを特徴とする記憶媒体。 - 請求項10に記載の記憶媒体であって、
前記マルウェアから前記ゲストOSに対する要求が通信である場合には、当該要求を前記物理計算機上の所定の領域に出力する第3のステップと、
前記マルウェアに前記通信の完了を応答する第4のステップと、
をさらに含むことを特徴とする記憶媒体。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016223692A JP2018081514A (ja) | 2016-11-17 | 2016-11-17 | マルウェアの解析方法及び記憶媒体 |
US15/806,887 US20180137274A1 (en) | 2016-11-17 | 2017-11-08 | Malware analysis method and storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016223692A JP2018081514A (ja) | 2016-11-17 | 2016-11-17 | マルウェアの解析方法及び記憶媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018081514A JP2018081514A (ja) | 2018-05-24 |
JP2018081514A5 true JP2018081514A5 (ja) | 2019-02-21 |
Family
ID=62106918
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016223692A Pending JP2018081514A (ja) | 2016-11-17 | 2016-11-17 | マルウェアの解析方法及び記憶媒体 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20180137274A1 (ja) |
JP (1) | JP2018081514A (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102014201592A1 (de) * | 2014-01-29 | 2015-07-30 | Siemens Aktiengesellschaft | Verfahren und Vorrichtungen zum Erkennen von autonomer, selbstpropagierender Software |
CN110866250A (zh) * | 2018-12-12 | 2020-03-06 | 哈尔滨安天科技集团股份有限公司 | 一种病毒防御方法、装置及电子设备 |
EP4361860A1 (en) | 2021-06-22 | 2024-05-01 | Digital Information Technologies Corporation | Program, information processing device, and method |
CN116244757A (zh) * | 2023-03-15 | 2023-06-09 | 武汉天楚云计算有限公司 | 一种计算机设备监测警报方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101122646B1 (ko) * | 2010-04-28 | 2012-03-09 | 한국전자통신연구원 | 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치 |
CN103020525A (zh) * | 2012-12-20 | 2013-04-03 | 北京奇虎科技有限公司 | 虚拟机系统的反检测方法和装置 |
-
2016
- 2016-11-17 JP JP2016223692A patent/JP2018081514A/ja active Pending
-
2017
- 2017-11-08 US US15/806,887 patent/US20180137274A1/en not_active Abandoned
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI637613B (zh) | 用於支援經由nvme將網路上的可擴展存放裝置作為本機存放區進行訪問的系統和方法 | |
JP5945074B2 (ja) | Apiインターセプト関連のアプリケーションのための方法、デバイス、およびモバイル端末 | |
JP2016535373A5 (ja) | ||
JP2018081514A5 (ja) | ||
RU2016141987A (ru) | Способ и устройство изменения ресурса виртуальной вычислительной машины и устройство для функционирования виртуальной сети передачи данных | |
WO2016109154A8 (en) | Trusted computing | |
JP4805238B2 (ja) | セキュアなロケーションアウェアプラットフォームを可能にする方法、装置及びシステム | |
JP2020524840A5 (ja) | ||
JP2017505483A5 (ja) | ||
JP2016535335A5 (ja) | ||
JP2017529593A5 (ja) | ||
US20160162302A1 (en) | Fast initiation of workloads using memory-resident post-boot snapshots | |
JP2019512804A5 (ja) | ||
JP2015514270A5 (ja) | ||
JP2016525255A5 (ja) | ||
JP2016510458A5 (ja) | ||
JP2018538630A5 (ja) | ||
JP2017518594A5 (ja) | ||
JP2016508273A5 (ja) | ||
JP2010520528A5 (ja) | ||
JP2016529568A5 (ja) | ||
US9483301B2 (en) | Dynamic virtual machine function enabling | |
WO2016040357A3 (en) | Load balancing of cloned virtual machines | |
JP2015527662A5 (ja) | ||
JP2014235501A5 (ja) |