JP4732484B2 - 仮想環境を利用した非実行ファイル内のエクスプロイトコード分析方法及び装置 - Google Patents
仮想環境を利用した非実行ファイル内のエクスプロイトコード分析方法及び装置 Download PDFInfo
- Publication number
- JP4732484B2 JP4732484B2 JP2008133364A JP2008133364A JP4732484B2 JP 4732484 B2 JP4732484 B2 JP 4732484B2 JP 2008133364 A JP2008133364 A JP 2008133364A JP 2008133364 A JP2008133364 A JP 2008133364A JP 4732484 B2 JP4732484 B2 JP 4732484B2
- Authority
- JP
- Japan
- Prior art keywords
- register value
- target program
- log information
- code
- exploit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims description 50
- 238000000034 method Methods 0.000 claims abstract description 36
- 238000000605 extraction Methods 0.000 claims 1
- 230000006378 damage Effects 0.000 abstract description 4
- 238000007689 inspection Methods 0.000 description 11
- 238000001514 detection method Methods 0.000 description 10
- 239000000284 extract Substances 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 210000000987 immune system Anatomy 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 210000005007 innate immune system Anatomy 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 229960005486 vaccine Drugs 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Description
112 対象プログラムDB
114 プログラム実行部
120 ホストマシン
122 プログラム実行分析部
124 ログ情報DB
126 エクスプロイトコード分析部
Claims (9)
- エクスプロイトコードを分析する方法であって、
仮想環境で実行され、脆弱性が内包された対象プログラムによりエクスプロイトコードの分析を希望する非実行ファイルをロードするステップと、
前記対象プログラムのレジスタ値を分析し、前記レジスタ値がノーマルコード領域内を示すか否かを判断するステップと、
前記レジスタ値が前記ノーマルコード領域以外の領域を示す場合、前記対象プログラムの動作に関するログ情報を格納するステップと、
前記格納されたログ情報に基づいて前記非実行ファイルに含まれたエクスプロイトコードを抽出及び分析するステップと
を含むことを特徴とする方法。 - 対象プログラムの動作に関するログ情報を格納するするステップは、前記レジスタ値を持続的に分析し、前記レジスタ値が前記ノーマルコード領域以外の領域を示し始めた時点で前記ログ情報を格納し始め、前記レジスタ値が前記ノーマルコード領域内を示し始めた時点で前記ログ情報の格納を終了するステップを含むことを特徴とする請求項1に記載の方法。
- 対象プログラムが終了するまで、前記対象プログラムのレジスタ値を分析し、前記レジスタ値がノーマルコード領域内を示すか否かを判断するステップ、及び前記レジスタ値が前記ノーマルコード領域以外の領域を示す場合、前記対象プログラムの動作に関するログ情報を格納するステップを反復実行することを特徴とする請求項2に記載の方法。
- 前記エクスプロイトコードの抽出および分析後に前記仮想環境を前記対象プログラム実行以前の状態に切り換えるステップをさらに含むことを特徴とする請求項1に記載の方法。
- 前記ログ情報は、
前記対象プログラムのレジスタ値及び仮想メモリーにロードされた前記非実行ファイルの内容を含むことを特徴とする請求項1に記載の方法。 - エクスプロイトコードを分析する装置であって、
仮想環境で実行される脆弱性が内包された対象プログラムを通じてエクスプロイトコードの分析を希望する非実行ファイルをロードした後、前記対象プログラムのレジスタ値を持続的に外部に出力するプログラム実行部と、
前記プログラム実行部から出力されるレジスタ値を分析し、前記レジスタ値がノーマルコード領域以外の領域を示す場合、前記対象プログラムの動作に関するログ情報をログ情報データベースに格納するプログラム実行分析部と、
前記格納されたログ情報に基づいて前記非実行ファイルに含まれたエクスプロイトコードを抽出及び分析するエクスプロイトコード分析部と
を含むことを特徴とする装置。 - 前記プログラム実行分析部は、
前記プログラム実行部から持続的に出力される前記レジスタ値を分析し、前記レジスタ値が前記ノーマルコード領域以外の領域を示し始めた時点で前記ログ情報を格納し始め、前記レジスタ値が前記ノーマルコード領域内を示し始めた時点で前記ログ情報の格納を終了することを特徴とする請求項6に記載の装置。 - 前記エクスプロイトコード分析部は、
前記エクスプロイトコードの分析後に前記仮想環境を前記対象プログラム実行以前の状態に切り換えることを特徴とする請求項6に記載の装置。 - 前記ログ情報は、
前記対象プログラムのレジスタ値及び仮想メモリーにロードされた前記非実行ファイルの内容を含むことを特徴とする請求項6に記載の装置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2007-0100009 | 2007-10-04 | ||
KR1020070100009A KR100945247B1 (ko) | 2007-10-04 | 2007-10-04 | 가상 환경을 이용한 비실행 파일 내의 악성 코드 분석 방법및 장치 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009093615A JP2009093615A (ja) | 2009-04-30 |
JP4732484B2 true JP4732484B2 (ja) | 2011-07-27 |
Family
ID=40524404
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008133364A Active JP4732484B2 (ja) | 2007-10-04 | 2008-05-21 | 仮想環境を利用した非実行ファイル内のエクスプロイトコード分析方法及び装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20090094585A1 (ja) |
JP (1) | JP4732484B2 (ja) |
KR (1) | KR100945247B1 (ja) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8595689B2 (en) * | 2008-12-24 | 2013-11-26 | Flir Systems Ab | Executable code in digital image files |
KR101044274B1 (ko) | 2009-11-03 | 2011-06-28 | 주식회사 안철수연구소 | 악성 사이트 검출 장치, 방법 및 컴퓨터 프로그램이 기록된 기록매체 |
US8516467B2 (en) * | 2010-01-29 | 2013-08-20 | Nintendo Co., Ltd. | Method and apparatus for enhancing comprehension of code time complexity and flow |
KR101228900B1 (ko) * | 2010-12-31 | 2013-02-06 | 주식회사 안랩 | 비 pe파일의 악성 컨텐츠 포함 여부를 판단하는 방법 및 시스템 |
US8646088B2 (en) | 2011-01-03 | 2014-02-04 | International Business Machines Corporation | Runtime enforcement of security checks |
KR101212553B1 (ko) | 2012-05-11 | 2012-12-14 | 주식회사 안랩 | 악성 파일 검사 장치 및 방법 |
KR101265173B1 (ko) * | 2012-05-11 | 2013-05-15 | 주식회사 안랩 | 비실행 파일 검사 장치 및 방법 |
KR101244731B1 (ko) * | 2012-09-11 | 2013-03-18 | 주식회사 안랩 | 디버그 이벤트를 이용한 악성 쉘 코드 탐지 장치 및 방법 |
KR101382549B1 (ko) * | 2012-09-18 | 2014-04-08 | 순천향대학교 산학협력단 | 모바일 환경에서 sns 콘텐츠의 사전 검증 방법 |
KR101416762B1 (ko) | 2013-02-14 | 2014-07-08 | 주식회사 엔씨소프트 | 온라인 게임의 봇 탐지 시스템 및 방법 |
KR101710918B1 (ko) * | 2015-11-30 | 2017-02-28 | (주)이스트소프트 | 사용자파일을 암호화하는 악성코드의 모니터링 장치 및 방법 |
KR101646096B1 (ko) * | 2016-01-21 | 2016-08-05 | 시큐레터 주식회사 | 메모리 분석을 통한 비실행 파일의 악성 여부 검사 방법 및 장치 |
US10546120B2 (en) * | 2017-09-25 | 2020-01-28 | AO Kaspersky Lab | System and method of forming a log in a virtual machine for conducting an antivirus scan of a file |
KR102472523B1 (ko) * | 2022-05-26 | 2022-11-30 | 시큐레터 주식회사 | 리버싱 엔진 기반의 문서 행위를 판단하기 위한 방법 및 이를 위한 장치 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4558302A (en) * | 1983-06-20 | 1985-12-10 | Sperry Corporation | High speed data compression and decompression apparatus and method |
WO1995033237A1 (en) * | 1994-06-01 | 1995-12-07 | Quantum Leap Innovations Inc. | Computer virus trap |
US6802028B1 (en) * | 1996-11-11 | 2004-10-05 | Powerquest Corporation | Computer virus detection and removal |
US6795966B1 (en) * | 1998-05-15 | 2004-09-21 | Vmware, Inc. | Mechanism for restoring, porting, replicating and checkpointing computer systems using state extraction |
US7093239B1 (en) * | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
US7146305B2 (en) * | 2000-10-24 | 2006-12-05 | Vcis, Inc. | Analytical virtual machine |
US7266844B2 (en) * | 2001-09-27 | 2007-09-04 | Mcafee, Inc. | Heuristic detection of polymorphic computer viruses based on redundancy in viral code |
US7409717B1 (en) * | 2002-05-23 | 2008-08-05 | Symantec Corporation | Metamorphic computer virus detection |
JP4145582B2 (ja) | 2002-06-28 | 2008-09-03 | Kddi株式会社 | コンピュータウィルス検査装置およびメールゲートウェイシステム |
WO2004077294A1 (ja) * | 2003-02-26 | 2004-09-10 | Secure Ware Inc. | 不正処理判定方法、データ処理装置、コンピュータプログラム、及び記録媒体 |
US7908653B2 (en) * | 2004-06-29 | 2011-03-15 | Intel Corporation | Method of improving computer security through sandboxing |
JP4728619B2 (ja) * | 2004-10-01 | 2011-07-20 | 富士通株式会社 | ソフトウェアの改竄検出装置、改竄防止装置、改竄検出方法及び改竄防止方法 |
TWI252976B (en) * | 2004-12-27 | 2006-04-11 | Ind Tech Res Inst | Detecting method and architecture thereof for malicious codes |
KR100800999B1 (ko) * | 2006-02-17 | 2008-02-11 | 삼성전자주식회사 | 프로그램의 실행흐름을 검사하는 방법 및 장치 |
US20080022378A1 (en) * | 2006-06-21 | 2008-01-24 | Rolf Repasi | Restricting malicious libraries |
JP2008140300A (ja) * | 2006-12-05 | 2008-06-19 | Hitachi Ltd | ストレージシステム及びウィルス感染拡散防止方法並びにウィルス除去支援方法 |
US20080271142A1 (en) * | 2007-04-30 | 2008-10-30 | Texas Instruments Incorporated | Protection against buffer overflow attacks |
US8141163B2 (en) * | 2007-07-31 | 2012-03-20 | Vmware, Inc. | Malicious code detection |
-
2007
- 2007-10-04 KR KR1020070100009A patent/KR100945247B1/ko active IP Right Grant
-
2008
- 2008-03-27 US US12/056,434 patent/US20090094585A1/en not_active Abandoned
- 2008-05-21 JP JP2008133364A patent/JP4732484B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
US20090094585A1 (en) | 2009-04-09 |
KR20090034648A (ko) | 2009-04-08 |
KR100945247B1 (ko) | 2010-03-03 |
JP2009093615A (ja) | 2009-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4732484B2 (ja) | 仮想環境を利用した非実行ファイル内のエクスプロイトコード分析方法及び装置 | |
Carmony et al. | Extract Me If You Can: Abusing PDF Parsers in Malware Detectors. | |
JP5265061B1 (ja) | 悪意のあるファイル検査装置及び方法 | |
US7814544B1 (en) | API-profile guided unpacking | |
US8904536B2 (en) | Heuristic method of code analysis | |
US8713681B2 (en) | System and method for detecting executable machine instructions in a data stream | |
US10055585B2 (en) | Hardware and software execution profiling | |
CN102043915B (zh) | 一种非可执行文件中包含恶意代码的检测方法及其装置 | |
US20140082729A1 (en) | System and method for analyzing repackaged application through risk calculation | |
KR102317833B1 (ko) | 악성 코드 탐지 모델 학습 방법 및 이를 이용한 탐지 방법 | |
JPWO2006087780A1 (ja) | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 | |
US10395033B2 (en) | System, apparatus and method for performing on-demand binary analysis for detecting code reuse attacks | |
EA029778B1 (ru) | Способ обезвреживания вредоносных программ, блокирующих работу пк, с использованием отдельного устройства для активации пользователем процедуры противодействия вредоносному программному обеспечению | |
JP2010257150A (ja) | 不正処理検知装置、不正処理検知方法及びプログラム | |
JP5326063B1 (ja) | デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法 | |
KR101161008B1 (ko) | 악성코드 탐지시스템 및 방법 | |
KR102292844B1 (ko) | 악성코드 탐지 장치 및 방법 | |
CN109214179B (zh) | 一种程序模块安全检测方法及装置 | |
CN111027072B (zh) | Linux下基于elf二进制标准解析的内核Rootkit检测方法及装置 | |
US20240160737A1 (en) | Methods and apparatus determining document behavior based on the reversing engine | |
KR101052735B1 (ko) | 메모리 조작유무를 감지하는 방법 및 이를 이용한 장치 | |
US10083298B1 (en) | Static approach to identify junk APIs in a malware | |
Isawa et al. | Generic unpacking method based on detecting original entry point | |
CN115270119A (zh) | 一种基于内存取证技术的代码注入攻击检测方式 | |
CN116263825A (zh) | 一种基于数据依赖的漏洞特征提取方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110330 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110408 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110420 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140428 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4732484 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |