JP5389734B2 - 抽出装置及び抽出方法 - Google Patents
抽出装置及び抽出方法 Download PDFInfo
- Publication number
- JP5389734B2 JP5389734B2 JP2010117641A JP2010117641A JP5389734B2 JP 5389734 B2 JP5389734 B2 JP 5389734B2 JP 2010117641 A JP2010117641 A JP 2010117641A JP 2010117641 A JP2010117641 A JP 2010117641A JP 5389734 B2 JP5389734 B2 JP 5389734B2
- Authority
- JP
- Japan
- Prior art keywords
- memory access
- extraction
- candidate
- original code
- tendency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
図1を用いて、本実施例に係る抽出装置の構成を説明する。図1は、本実施例に係る抽出装置の構成例を示す図である。
次に、図2を用いて、本実施例に係る抽出装置100を含むシステムの全体像を説明する。図2は、本実施例に係る抽出装置100を含むシステムの全体像の例を示す図である。
次に、図3を用いて、本実施例に係る抽出装置100による全体処理の流れを説明する。図3は、本実施例に係る抽出装置100による全体処理の流れの例を示すフローチャートである。
次に、図4を用いて、本実施例に係るメモリアクセス傾向抽出処理の流れを説明する。図4は、本実施例に係るメモリアクセス傾向抽出処理の流れの例を示すフローチャートである。なお、メモリアクセス傾向抽出処理とは、主にメモリアクセス傾向抽出部113による処理を指す。
次に、図5を用いて、本実施例に係る判定処理の流れを説明する。図5は、本実施例に係る判定処理の流れの例を示すフローチャートである。なお、判定処理とは、主に判定部114による処理を指す。
上述したように、抽出装置100は、マルウェアを実行させて得られるオリジナルコード候補を抽出し、抽出された時点の前後一定期間におけるメモリアクセス情報からメモリアクセスの傾向を抽出し、メモリアクセスの傾向が所定閾値以上変化しているものに該当するオリジナルコード候補をオリジナルコードとして抽出するので、高精度にオリジナルコードを抽出することができる。
111 メモリダンプ抽出部
112 メモリアクセス情報取得部
113 メモリアクセス傾向抽出部
114 判定部
Claims (5)
- パッキングされたプログラムからオリジナルコードを抽出する抽出装置であって、
前記プログラムを実行させ、前記オリジナルコードの候補を抽出する候補抽出手段と、
前記プログラムを実行するプロセスによるメモリアクセスに関する情報であって、前記候補抽出手段によって抽出された時点の前後一定期間におけるメモリアクセス情報を取得する取得手段と、
前記候補抽出手段によって抽出されたオリジナルコード候補の情報と、前記取得手段によって取得されたメモリアクセス情報とに基づいて、アクセスされたアドレスの範囲の変化量から求められる変化率をメモリアクセスの傾向として抽出する傾向抽出手段と、
前記傾向抽出手段によって抽出されたメモリアクセスの傾向について、前記候補抽出手段によって抽出された時点の前後における変化率が所定条件を満たすか否かを判定する判定手段と
を有することを特徴とする抽出装置。 - 前記判定手段は、前記メモリアクセスの傾向について、前記変化率が所定閾値以上であるか否かを判定することを特徴とする請求項1に記載の抽出装置。
- 前記判定手段は、前記メモリアクセスの傾向について、前記変化率が最も大きいか否かを判定することを特徴とする請求項1に記載の抽出装置。
- 前記取得手段は、メモリに対する読み込み、書き込み及び命令フェッチのメモリアクセス情報を取得することを特徴とする請求項1〜3のいずれか一つに記載の抽出装置。
- パッキングされたプログラムからオリジナルコードを抽出する抽出方法であって、
前記プログラムを実行させ、前記オリジナルコードの候補を抽出する候補抽出工程と、
前記プログラムを実行するプロセスによるメモリアクセスに関する情報であって、前記候補抽出工程によって抽出された時点の前後一定期間におけるメモリアクセス情報を取得する取得工程と、
前記候補抽出工程によって抽出されたオリジナルコード候補の情報と、前記取得工程によって取得されたメモリアクセス情報とに基づいて、アクセスされたアドレスの範囲の変化量から求められる変化率をメモリアクセスの傾向として抽出する傾向抽出工程と、
前記傾向抽出工程によって抽出されたメモリアクセスの傾向について、前記候補抽出工程によって抽出された時点の前後における変化率が所定条件を満たすか否かを判定する判定工程と
を含んだことを特徴とする抽出方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010117641A JP5389734B2 (ja) | 2010-05-21 | 2010-05-21 | 抽出装置及び抽出方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010117641A JP5389734B2 (ja) | 2010-05-21 | 2010-05-21 | 抽出装置及び抽出方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011248406A JP2011248406A (ja) | 2011-12-08 |
JP5389734B2 true JP5389734B2 (ja) | 2014-01-15 |
Family
ID=45413636
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010117641A Active JP5389734B2 (ja) | 2010-05-21 | 2010-05-21 | 抽出装置及び抽出方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5389734B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10761840B2 (en) | 2015-11-30 | 2020-09-01 | Nec Corporation | Software analysis device, software analysis method, and recording medium |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5083760B2 (ja) * | 2007-08-03 | 2012-11-28 | 独立行政法人情報通信研究機構 | マルウェアの類似性検査方法及び装置 |
JP5133192B2 (ja) * | 2008-10-06 | 2013-01-30 | 日本電信電話株式会社 | オリジナルコードの抽出装置、抽出方法、および抽出プログラム |
-
2010
- 2010-05-21 JP JP2010117641A patent/JP5389734B2/ja active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10761840B2 (en) | 2015-11-30 | 2020-09-01 | Nec Corporation | Software analysis device, software analysis method, and recording medium |
Also Published As
Publication number | Publication date |
---|---|
JP2011248406A (ja) | 2011-12-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9904780B2 (en) | Transparent detection and extraction of return-oriented-programming attacks | |
US7814544B1 (en) | API-profile guided unpacking | |
KR101759379B1 (ko) | 확장된 데이터를 갖는 메모리 덤프 및 사용자 프라이버시 보호 기법 | |
KR102317833B1 (ko) | 악성 코드 탐지 모델 학습 방법 및 이를 이용한 탐지 방법 | |
US10121004B2 (en) | Apparatus and method for monitoring virtual machine based on hypervisor | |
JP2012501028A (ja) | コード解析の発見的方法 | |
JP6170900B2 (ja) | ファイル処理方法及び装置 | |
US10311233B2 (en) | Generic unpacking of program binaries | |
US10691791B2 (en) | Automatic unpacking of executables | |
JP2004303114A (ja) | インタープリタおよびネイティブコード実行方法 | |
JP5441043B2 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
JP5456715B2 (ja) | データ特定装置、データ特定方法及びデータ特定プログラム | |
JP5389734B2 (ja) | 抽出装置及び抽出方法 | |
JP5389733B2 (ja) | 抽出装置及び抽出方法 | |
KR101052735B1 (ko) | 메모리 조작유무를 감지하는 방법 및 이를 이용한 장치 | |
KR101842263B1 (ko) | 어플리케이션에 대한 역공학 차단 방법 및 장치 | |
JP5952218B2 (ja) | 情報処理装置および情報処理方法 | |
JP5549810B2 (ja) | プログラム難読化装置、プログラム制御装置、プログラム難読化方法及びプログラム | |
US20230394145A1 (en) | Machine learning-based malware detection in process memory | |
JP5437913B2 (ja) | コード領域識別装置、コード領域識別方法及びコード領域識別プログラム | |
EP4332805A1 (en) | Emulation-based malware detection | |
KR102421394B1 (ko) | 하드웨어와 소프트웨어 기반 트레이싱을 이용한 악성코드 탐지 장치 및 방법 | |
JP7259436B2 (ja) | 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム | |
US11314855B2 (en) | Detecting stack pivots using stack artifact verification | |
JP6163678B2 (ja) | プログラムバイナリの汎用的なアンパッキング |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120928 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130930 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131008 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131009 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5389734 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |