JP5456715B2 - データ特定装置、データ特定方法及びデータ特定プログラム - Google Patents
データ特定装置、データ特定方法及びデータ特定プログラム Download PDFInfo
- Publication number
- JP5456715B2 JP5456715B2 JP2011058598A JP2011058598A JP5456715B2 JP 5456715 B2 JP5456715 B2 JP 5456715B2 JP 2011058598 A JP2011058598 A JP 2011058598A JP 2011058598 A JP2011058598 A JP 2011058598A JP 5456715 B2 JP5456715 B2 JP 5456715B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- value
- entropy
- memory
- read
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
実施例1に係るデータ特定装置の構成について説明する。図1は、実施例1に係るデータ特定装置100の構成の一例を説明するための図である。図1に示すように、実施例1に係るデータ特定装置100は、サブシステム1と、サブシステム2と、記憶領域60とを有する。サブシステム1、サブシステム2及び記憶領域60は、図1に示すように、ホストOS(Operating System)20がインストールされたハードウェア10で動作する。
次に、実施例1に係るデータ特定装置100によるOEP特定処理の手順について、図8を用いて説明する。なお、図8においては、監視対象プロセス50が実行された後の手順について示している。図8は、実施例1に係るデータ特定装置100によるOEP特定処理の手順を示すフローチャートである。
上述したように、実施例1によれば、メモリアクセス監視部31が、圧縮又は暗号化された領域を含むデータが所定の容量ごとにメモリから読み出される当該所定の容量のデータによって示される値と、メモリから読み出され、復元されて書き込まれる所定の容量のデータによって示される値とを取得する。エントロピー計算部33が、メモリアクセス監視部31によって取得された所定の容量のデータによって示される値を用いて、所定の回数の読み出し及び書き込みに相当するデータ量ごとに、当該データ量のデータのエントロピー値を算出する。ログ解析部71が、エントロピー計算部33によって算出された読み出しに係るエントロピー値が所定の閾値よりも高くなった時点から、書き込みに係るエントロピー値が所定の閾値よりも低くなった時点までの時間区間の中でメモリに対して最も早く書き込まれた所定の容量のデータの書き込み先を圧縮又は暗号化された領域の書き込み開始位置として特定する。従って、実施例1に係るデータ特定装置100は、OEPを高確度で特定することができ、アンパッキングに係る作業の効率化を可能にする。
例えば、各装置の分散・統合の具体的形態(例えば、図1の形態)は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合することができる。一例を挙げると、メモリアクセス監視部31とOEP候補生成部32とを一つの処理部として統合してもよく、一方、ログ解析部71を、エントロピー値を解析するエントロピー値解析部と、フィルターを生成するフィルター生成部とに分散してもよい。
上記実施例で説明したデータ特定装置100は、あらかじめ用意されたプログラムをコンピュータで実行することで実現することもできる。そこで、以下では、図1に示したデータ特定装置100と同様の機能を実現するデータ特定プログラムを実行するコンピュータの一例を説明する。
20 ホストOS
30 VMM
31 メモリアクセス監視部
32 OEP候補生成部
33 エントロピー計算部
40 ゲストOS
50 監視対象プロセス
60 記憶領域
70 解析部
71 ログ解析部
72 フィルター
100 データ特定装置
Claims (4)
- 圧縮又は暗号化されたプログラムの領域を含むデータが所定の容量ごとにメモリから読み出される当該所定の容量のデータによって示される第1の値と、前記メモリから読み出され、復元されて書き込まれる所定の容量のデータによって示される第2の値とを取得する取得部と、
前記取得部によって取得された前記第1の値を用いて所定の回数の読み出しに相当するデータ量のデータの第1エントロピー値、および前記取得部によって取得された前記第2の値を用いて所定の回数の書き込みに相当するデータ量のデータの第2エントロピー値を算出する算出部と、
前記算出部によって算出された前記第1エントロピー値が所定の閾値よりも高くなった時点から、前記第2エントロピー値が所定の閾値よりも低くなった時点までの時間区間の中で前記メモリに対して書き込まれた前記所定の容量のデータのうち、最も早く実行されたデータの書き込み先を、復元された前記プログラムが実行される際の開始位置として特定する特定部と、
を有することを特徴とするデータ特定装置。 - 前記特定部は、前記第1エントロピー値が第1の閾値よりも高い時点からなる高区間と、前記第2エントロピー値が第2の閾値よりも低い時点からなり、かつ、発生時点が前記高区間よりも遅い低区間とを抽出し、前記高区間の開始時点から前記低区間の終了時点までの間を、前記圧縮又は暗号化された領域が前記メモリから読み出され、復元されて当該メモリに書き込まれるまでの前記時間区間として特定することを特徴とする請求項1に記載のデータ特定装置。
- データ特定装置によって実行されるデータ特定方法であって、
前記データ特定装置が備える取得手段が、
圧縮又は暗号化されたプログラムの領域を含むデータが所定の容量ごとにメモリから読み出される当該所定の容量のデータによって示される第1の値と、前記メモリから読み出され、復元されて書き込まれる所定の容量のデータによって示される第2の値とを取得する取得工程と、
前記データ特定装置が備える算出手段が、
前記取得工程によって取得された前記第1の値を用いて所定の回数の読み出しに相当するデータ量のデータの第1エントロピー値、および前記取得工程によって取得された前記第2の値を用いて所定の回数の書き込みに相当するデータ量のデータの第2エントロピー値を算出する算出工程と、
前記データ特定装置が備える特定手段が、
前記算出工程によって算出された前記第1エントロピー値が所定の閾値よりも高くなった時点から、前記第2エントロピー値が所定の閾値よりも低くなった時点までの時間区間の中で前記メモリに対して書き込まれた前記所定の容量のデータのうち、最も早く実行されたデータの書き込み先を、復元された前記プログラムが実行される際の開始位置として特定する特定工程と、
を含んだことを特徴とするデータ特定方法。 - コンピュータを請求項1又は2に記載のデータ特定装置として機能させるためのデータ特定プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011058598A JP5456715B2 (ja) | 2011-03-16 | 2011-03-16 | データ特定装置、データ特定方法及びデータ特定プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011058598A JP5456715B2 (ja) | 2011-03-16 | 2011-03-16 | データ特定装置、データ特定方法及びデータ特定プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012194814A JP2012194814A (ja) | 2012-10-11 |
JP5456715B2 true JP5456715B2 (ja) | 2014-04-02 |
Family
ID=47086636
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011058598A Expired - Fee Related JP5456715B2 (ja) | 2011-03-16 | 2011-03-16 | データ特定装置、データ特定方法及びデータ特定プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5456715B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103838721B (zh) * | 2012-11-20 | 2017-06-27 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
WO2015100327A1 (en) | 2013-12-26 | 2015-07-02 | Mcafee, Inc. | Generic unpacking of program binaries |
JP6163678B2 (ja) * | 2013-12-26 | 2017-07-19 | マカフィー, インコーポレイテッド | プログラムバイナリの汎用的なアンパッキング |
JP6407311B2 (ja) | 2015-02-06 | 2018-10-17 | 三菱電機株式会社 | 暗号ブロック特定装置、暗号ブロック特定方法、及び暗号ブロック特定プログラム |
JP6319369B2 (ja) * | 2016-06-23 | 2018-05-09 | 日本電気株式会社 | 処理制御装置、処理制御方法、及び、処理制御プログラム |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4825767B2 (ja) * | 2007-10-02 | 2011-11-30 | Kddi株式会社 | 異常検知装置、プログラム、および記録媒体 |
JP5133192B2 (ja) * | 2008-10-06 | 2013-01-30 | 日本電信電話株式会社 | オリジナルコードの抽出装置、抽出方法、および抽出プログラム |
-
2011
- 2011-03-16 JP JP2011058598A patent/JP5456715B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2012194814A (ja) | 2012-10-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5456715B2 (ja) | データ特定装置、データ特定方法及びデータ特定プログラム | |
US10586026B2 (en) | Simple obfuscation of text data in binary files | |
CN109598122B (zh) | 用于检测侧信道攻击的方法和装置 | |
Guido et al. | Rapid differential forensic imaging of mobile devices | |
US8904145B2 (en) | Adjusting memory allocation of a partition using compressed memory paging statistics | |
US11874925B2 (en) | Data processing method for coping with ransomware, program for executing the method, and computer-readable recording medium storing the program | |
EP2988242B1 (en) | Information processing device, and information processing method | |
CN104298917A (zh) | 一种基于tpm的虚拟机内应用程序完整性度量方法 | |
JP2004303114A (ja) | インタープリタおよびネイティブコード実行方法 | |
EP3761181A1 (en) | Analysis device, analysis method, and storage medium in which analysis program is recorded | |
CN107908954B (zh) | 一种基于地址压缩技术的动态检测gpu上内存溢出的方法 | |
Jun et al. | Zip-io: Architecture for application-specific compression of big data | |
JP2019053448A (ja) | 情報処理装置、情報処理方法、および情報処理プログラム | |
JP5606261B2 (ja) | デバッグシステムおよびデバッグシステムのトレースデータ取得方法 | |
KR101995176B1 (ko) | 프로그램 실행 컨텍스트 기반의 빅데이터를 활용한 역공학 방법 및 시스템 | |
JP5952218B2 (ja) | 情報処理装置および情報処理方法 | |
JP5687593B2 (ja) | 解析装置、解析方法および解析プログラム | |
JP5389734B2 (ja) | 抽出装置及び抽出方法 | |
JP5389733B2 (ja) | 抽出装置及び抽出方法 | |
US11924069B2 (en) | Time-series telemetry data compression | |
US20230325477A1 (en) | Program protection apparatus, program protection method, and program protection program | |
KR101977265B1 (ko) | 패킹된 실행파일의 시작지점 탐지 방법 및 장치 | |
Rajput et al. | Towards Non-intrusive Malware Detection for Industrial Control Systems | |
JP2018181196A (ja) | 情報処理装置、プログラム、情報処理方法及びデータ構造 | |
WO2020065960A1 (ja) | 情報処理装置、制御方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121226 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131031 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131112 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131213 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140108 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5456715 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |