JP5133192B2 - オリジナルコードの抽出装置、抽出方法、および抽出プログラム - Google Patents
オリジナルコードの抽出装置、抽出方法、および抽出プログラム Download PDFInfo
- Publication number
- JP5133192B2 JP5133192B2 JP2008260060A JP2008260060A JP5133192B2 JP 5133192 B2 JP5133192 B2 JP 5133192B2 JP 2008260060 A JP2008260060 A JP 2008260060A JP 2008260060 A JP2008260060 A JP 2008260060A JP 5133192 B2 JP5133192 B2 JP 5133192B2
- Authority
- JP
- Japan
- Prior art keywords
- original code
- score
- list
- candidate
- probability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
2 実行ファイル
3 プログラム起動部
4 監視対象プロセス
5 メモリアクセス監視部
6 オリジナルコード候補リスト記憶部
7 スコアリスト記憶部
8 スコア算出部
9 オリジナルコード判定部
13 モデルパラメータ学習部
14 モデルパラメータ記憶部
15 逆アセンブル部
20 オリジナルコード
Claims (7)
- 多重にパッキングされた実行ファイルからオリジナルコードを抽出するためのオリジナルコードの抽出装置であって、
前記実行ファイルから監視対象プロセスを生成するプログラム起動部と、
前記監視対象プロセスにおけるメモリアクセスを監視し、書き込みアクセスが発生したメモリ箇所が実行された場合に、当該メモリ箇所を前記オリジナルコードの候補としてオリジナルコード候補リストに追加するメモリアクセス監視部と、
前記オリジナルコード候補リストを保存するオリジナルコード候補リスト記憶部と、
前記オリジナルコード候補リストに含まれる各オリジナルコード候補に対してオリジナルコードらしさを定量化するスコアを算出し、このスコアをスコアリストに追加するスコア算出部と、
前記スコアリストを保存するスコアリスト記憶部と、
前記オリジナルコード候補リストの中から前記スコアに基づいて前記オリジナルコードを判定するオリジナルコード判定部と、
を備えることを特徴とするオリジナルコードの抽出装置。 - 前記オリジナルコード判定部は、前記スコアリストの中から前記スコアが所定の閾値を越えた候補をオリジナルコードとして判定することを特徴とする請求項1に記載のオリジナルコードの抽出装置。
- 前記オリジナルコード判定部は、前記スコアリストの中から前記スコアが最大となる候補をオリジナルコードとして判定することを特徴とする請求項1に記載のオリジナルコードの抽出装置。
- 前記スコア算出部は、隠れマルコフモデルを用いたオリジナルコード出力モデルに基づき、隠れマルコフモデルのモデルパラメータθが与えられたときのオリジナルコード候補Xの出力確率P(X|θ)と事前の知見のないときの出力確率P(X)との比P(X|θ)/P(X)を前記スコアとして算出することを特徴とする請求項1〜3のいずれか1項に記載のオリジナルコードの抽出装置。
- 前記スコア算出部は、確率モデルに基づき、オリジナルコード候補Xの機械語サイズの期待値を前記スコアとして算出することを特徴とする請求項1〜3のいずれか1項に記載のオリジナルコードの抽出装置。
- 多重にパッキングされた実行ファイルからオリジナルコードを抽出するためのオリジナルコードの抽出方法であって、
前記実行ファイルから監視対象プロセスを生成するステップと、
前記監視対象プロセスにおけるメモリアクセスを監視し、書き込みアクセスが発生したメモリ箇所が実行されたか否かを判定するステップと、
前記書き込みアクセスが発生したメモリ箇所が実行された場合に、当該メモリ箇所を前記オリジナルコードの候補としてオリジナルコード候補リスト保存部に保存されたオリジナルコード候補リストに追加するステップと、
前記オリジナルコード候補リストに含まれる各オリジナルコード候補に対してオリジナルコードらしさを定量化するスコアを算出するステップと、
このスコアをスコアリスト記憶部に保存されたスコアリストに追加するステップと、
前記オリジナルコード候補リストの中から前記スコアに基づいて前記オリジナルコードを判定するステップと、
を含むことを特徴とするオリジナルコードの抽出方法。 - 多重にパッキングされた実行ファイルからオリジナルコードを抽出する処理をコンピュータに実行させるオリジナルコードの抽出プログラムであって、
前記実行ファイルから監視対象プロセスを生成する手順と、
前記監視対象プロセスにおけるメモリアクセスを監視し、書き込みアクセスが発生したメモリ箇所が実行されたか否かを判定する手順と、
前記書き込みアクセスが発生したメモリ箇所が実行された場合に、当該メモリ箇所を前記オリジナルコードの候補としてオリジナルコード候補リスト保存部に保存されたオリジナルコード候補リストに追加する手順と、
前記オリジナルコード候補リストに含まれる各オリジナルコード候補に対してオリジナルコードらしさを定量化するスコアを算出する手順と、
このスコアをスコアリスト記憶部に保存されたスコアリストに追加する手順と、
前記オリジナルコード候補リストの中から前記スコアに基づいて前記オリジナルコードを判定する手順と、
を前記コンピュータに実行させることを特徴とするオリジナルコードの抽出プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008260060A JP5133192B2 (ja) | 2008-10-06 | 2008-10-06 | オリジナルコードの抽出装置、抽出方法、および抽出プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008260060A JP5133192B2 (ja) | 2008-10-06 | 2008-10-06 | オリジナルコードの抽出装置、抽出方法、および抽出プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010092179A JP2010092179A (ja) | 2010-04-22 |
JP5133192B2 true JP5133192B2 (ja) | 2013-01-30 |
Family
ID=42254842
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008260060A Active JP5133192B2 (ja) | 2008-10-06 | 2008-10-06 | オリジナルコードの抽出装置、抽出方法、および抽出プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5133192B2 (ja) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5389733B2 (ja) * | 2010-05-21 | 2014-01-15 | 日本電信電話株式会社 | 抽出装置及び抽出方法 |
JP5389734B2 (ja) * | 2010-05-21 | 2014-01-15 | 日本電信電話株式会社 | 抽出装置及び抽出方法 |
JP5437913B2 (ja) * | 2010-05-27 | 2014-03-12 | 日本電信電話株式会社 | コード領域識別装置、コード領域識別方法及びコード領域識別プログラム |
JP5456715B2 (ja) * | 2011-03-16 | 2014-04-02 | 日本電信電話株式会社 | データ特定装置、データ特定方法及びデータ特定プログラム |
JP5571035B2 (ja) * | 2011-05-30 | 2014-08-13 | 日本電信電話株式会社 | 特定装置、特定方法及び特定プログラム |
US8930916B1 (en) * | 2014-01-31 | 2015-01-06 | Cylance Inc. | Generation of API call graphs from static disassembly |
JP7188208B2 (ja) * | 2019-03-20 | 2022-12-13 | 日本電気株式会社 | マルウェア解析装置、マルウェア解析方法、及び、プログラム |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2396227B (en) * | 2002-12-12 | 2006-02-08 | Messagelabs Ltd | Method of and system for heuristically detecting viruses in executable code |
KR20040089386A (ko) * | 2003-04-14 | 2004-10-21 | 주식회사 하우리 | 메모리를 감염시키는 바이러스의 치료방법, 프로그램을기록한 컴퓨터로 읽을 수 있는 기록매체 및 바이러스의치료장치 |
US20080127038A1 (en) * | 2006-11-23 | 2008-05-29 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting self-executable compressed file |
JP2008158686A (ja) * | 2006-12-21 | 2008-07-10 | Toshiba Corp | プログラム検証装置及び方法、プログラム検証に基づく署名システム |
-
2008
- 2008-10-06 JP JP2008260060A patent/JP5133192B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2010092179A (ja) | 2010-04-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5133192B2 (ja) | オリジナルコードの抽出装置、抽出方法、および抽出プログラム | |
Shin et al. | Recognizing functions in binaries with neural networks | |
Cakir et al. | Malware classification using deep learning methods | |
Neubig et al. | On-the-fly operation batching in dynamic computation graphs | |
CN109977682B (zh) | 一种基于深度学习的区块链智能合约漏洞检测方法及装置 | |
KR101081090B1 (ko) | 명령어 스트림의 효율적인 에뮬레이션을 가능하게 하기 위한 레지스터 기반의 명령어 최적화 | |
US20060005166A1 (en) | Method, system and program product for determining java software code plagiarism and infringement | |
US20200364585A1 (en) | Modular feature extraction from parsed log data | |
EP3506140B1 (en) | Hacking code sensing device, hacking code sensing method, and hacking code sensing program | |
US11262985B2 (en) | Pretraining utilizing software dependencies | |
EP3404572B1 (en) | Attack code detection device, attack code detection method, and attack code detection program | |
CN113010209A (zh) | 一种抗编译差异的二进制代码相似性比较技术 | |
NL2029433B1 (en) | Method and system for clustering executable files | |
Demırcı et al. | Static malware detection using stacked bilstm and gpt-2 | |
Xue et al. | Hecate: Automated customization of program and communication features to reduce attack surfaces | |
CN111274580A (zh) | 基于深度学习的控制流完整性检测方法 | |
CN115373737B (zh) | 一种基于特征融合的代码克隆检测方法 | |
JP5009186B2 (ja) | 逆アセンブル方法および逆アセンブル装置 | |
JPWO2020235024A1 (ja) | 情報学習装置、情報処理装置、情報学習方法、情報処理方法及びプログラム | |
KR102507189B1 (ko) | 멜트다운 취약점을 이용한 인공신경망 추출 방법 | |
CN114637988A (zh) | 一种面向二进制的函数级软件随机化方法 | |
US11784964B2 (en) | Machine learning-based DNS request string representation with hash replacement | |
Luo et al. | Binary code similarity detection through LSTM and Siamese neural network | |
CN114547614A (zh) | 一种恶意文件识别方法及系统 | |
US7657422B2 (en) | System and method for text analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110208 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110520 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110520 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121024 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121106 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121107 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151116 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5133192 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |