JP5687593B2 - 解析装置、解析方法および解析プログラム - Google Patents
解析装置、解析方法および解析プログラム Download PDFInfo
- Publication number
- JP5687593B2 JP5687593B2 JP2011222241A JP2011222241A JP5687593B2 JP 5687593 B2 JP5687593 B2 JP 5687593B2 JP 2011222241 A JP2011222241 A JP 2011222241A JP 2011222241 A JP2011222241 A JP 2011222241A JP 5687593 B2 JP5687593 B2 JP 5687593B2
- Authority
- JP
- Japan
- Prior art keywords
- obfuscation
- blocks
- unit
- execution
- obfuscated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
まず、図1を用いて、実施例1に係る解析装置について説明する。図1は、実施例1に係る解析装置10の構成例を示すブロック図である。図1に示した解析装置10は、所定のプログラムを実行するコンピュータに実装される。
次に、図5および図6を用いて、実施例1に係る解析装置10による処理を説明する。図5は、実施例1に係る解析装置のシグネチャ生成処理の手順を説明するためのフローチャートである。図6は、実施例1に係る解析装置のパッカー識別処理の手順を説明するためのフローチャートである。
上述してきたように、解析装置10は、複数の実行ファイルに対して複数のパッカーそれぞれを用いてパッキングされた各実行ファイルを動作させ、該各実行ファイルの動作結果として得られた各命令コードを複数のブロックごとに分割する。そして、解析装置10は、分割された各ブロックのうち、同一のパッカーでパッキングされた実行ファイル間で共通して出現するコードブロックを抽出し、該抽出したコードブロックのシグネチャを生成する。そして、解析装置10は、生成されたコードブロックのシグネチャを用いて、検査対象の実行ファイルのパッキングに用いられたパッカーを特定する。このため、精度の高いシグネチャを生成することができる結果、パッカーの識別精度の向上を図ることが可能である。
図7は、解析プログラムによる処理がコンピュータを用いて具体的に実現されることを示す図である。図7に例示するように、コンピュータ1000は、例えば、メモリ1001と、CPU1002と、ハードディスクドライブインタフェース1003と、ディスクドライブインタフェース1004と、シリアルポートインタフェース1005と、ビデオアダプタ1006と、ネットワークインタフェース1007とを有し、これらの各部はバス1008によって接続される。
11 入力部
12 出力部
13 制御部
13a シグネチャ生成部
13b 難読化ツール識別部
14 記憶部
14a 実行ファイル記憶部
14b パッキング済み実行ファイル記憶部
14c シグネチャ記憶部
Claims (6)
- 複数の実行ファイルに対して複数の難読化ツールそれぞれを用いて難読化された各実行ファイルを動作させ、該各実行ファイルの動作結果として得られた各命令コードを複数のブロックごとに分割する分割部と、
前記分割部によって分割された各ブロックのうち、同一の難読化ツールで難読化された実行ファイル間で共通して出現するブロックを抽出し、該抽出したブロックの特徴に関する情報を生成する生成部と、
前記生成部によって生成されたブロックの特徴に関する情報を用いて、検査対象の実行ファイルの難読化に用いられた難読化ツールを特定する特定部と
を備えることを特徴とする解析装置。 - 前記生成部は、前記分割部によって分割された各ブロックのうち、同一の難読化ツールで難読化された実行ファイル間で共通して出現するブロックであって、且つ、他の難読化ツールで難読化された実行ファイルでは出現しないブロックの特徴に関する情報を生成することを特徴とする請求項1に記載の解析装置。
- 前記生成部は、前記分割部によって分割された各ブロックのうち、同一の難読化ツールで難読化された実行ファイル間で共通して出現するブロックであって、且つ、難読化されていない実行ファイルでは出現しないブロックの特徴に関する情報を生成することを特徴とする請求項1または2に記載の解析装置。
- 前記特定部は、前記検査対象の実行ファイルを動作させ、前記検査対象の実行ファイルの動作結果として得られた命令コードと前記生成部によって生成された特徴に関する情報との適合度合いを算出し、算出した結果に応じて、検査対象の実行ファイルの難読化に用いられた難読化ツールを特定することを特徴とする請求項1〜3のいずれか一つに記載の解析装置。
- 解析装置で実行される解析方法であって、
前記解析装置が、複数の実行ファイルに対して複数の難読化ツールそれぞれを用いて難読化された各実行ファイルを動作させ、該各実行ファイルの動作結果として得られた各命令コードを複数のブロックごとに分割する分割工程と、
前記解析装置が、前記分割工程によって分割された各ブロックのうち、同一の難読化ツールで難読化された実行ファイル間で共通して出現するブロックを抽出し、該抽出したブロックの特徴に関する情報を生成する生成工程と、
前記解析装置が、前記生成工程によって生成されたブロックの特徴に関する情報を用いて、検査対象の実行ファイルの難読化に用いられた難読化ツールを特定する特定工程と
を含んだことを特徴とする解析方法。 - 複数の実行ファイルに対して複数の難読化ツールそれぞれを用いて難読化された各実行ファイルを動作させ、該各実行ファイルの動作結果として得られた各命令コードを複数のブロックごとに分割する分割部と、
前記分割部によって分割された各ブロックのうち、同一の難読化ツールで難読化された実行ファイル間で共通して出現するブロックを抽出し、該抽出したブロックの特徴に関する情報を生成する生成部と、
前記生成部によって生成されたブロックの特徴に関する情報を用いて、検査対象の実行ファイルの難読化に用いられた難読化ツールを特定する特定部と
を備える解析装置としてコンピュータを機能させる解析プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011222241A JP5687593B2 (ja) | 2011-10-06 | 2011-10-06 | 解析装置、解析方法および解析プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011222241A JP5687593B2 (ja) | 2011-10-06 | 2011-10-06 | 解析装置、解析方法および解析プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013084064A JP2013084064A (ja) | 2013-05-09 |
JP5687593B2 true JP5687593B2 (ja) | 2015-03-18 |
Family
ID=48529212
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011222241A Expired - Fee Related JP5687593B2 (ja) | 2011-10-06 | 2011-10-06 | 解析装置、解析方法および解析プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5687593B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6246377B2 (ja) | 2014-08-28 | 2017-12-13 | 三菱電機株式会社 | プロセス解析装置、プロセス解析方法、及びプロセス解析プログラム |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8732825B2 (en) * | 2008-05-28 | 2014-05-20 | Symantec Corporation | Intelligent hashes for centralized malware detection |
-
2011
- 2011-10-06 JP JP2011222241A patent/JP5687593B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2013084064A (ja) | 2013-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Luo et al. | Semantics-based obfuscation-resilient binary code similarity comparison with applications to software and algorithm plagiarism detection | |
WO2015101097A1 (zh) | 特征提取的方法及装置 | |
US10586026B2 (en) | Simple obfuscation of text data in binary files | |
US11048798B2 (en) | Method for detecting libraries in program binaries | |
EP1950663A1 (en) | A method for identifying unknown virus and deleting it | |
KR102317833B1 (ko) | 악성 코드 탐지 모델 학습 방법 및 이를 이용한 탐지 방법 | |
EP3506140B1 (en) | Hacking code sensing device, hacking code sensing method, and hacking code sensing program | |
KR20170068814A (ko) | 악성 모바일 앱 감지 장치 및 방법 | |
WO2015101043A1 (zh) | 检测智能终端中恶意代码的方法及装置 | |
RU2722692C1 (ru) | Способ и система выявления вредоносных файлов в неизолированной среде | |
JP2019502197A (ja) | ランタイム生成コードにおける悪意のあるコードの検出のためのシステムおよび方法 | |
WO2015035827A1 (en) | Method and apparatus for providing string encryption and decryption in program files | |
Nguyen et al. | Detecting repackaged android applications using perceptual hashing | |
Phu et al. | CFDVex: A novel feature extraction method for detecting cross-architecture IoT malware | |
JP5456715B2 (ja) | データ特定装置、データ特定方法及びデータ特定プログラム | |
Chen et al. | Malware classification using static disassembly and machine learning | |
JP5952218B2 (ja) | 情報処理装置および情報処理方法 | |
JP5687593B2 (ja) | 解析装置、解析方法および解析プログラム | |
KR101995176B1 (ko) | 프로그램 실행 컨텍스트 기반의 빅데이터를 활용한 역공학 방법 및 시스템 | |
US11307962B2 (en) | Method for semantic preserving transform mutation discovery and vetting | |
CN109241706B (zh) | 基于静态胎记的软件抄袭检测方法 | |
WO2018116522A1 (ja) | 判定装置、判定方法及び判定プログラム | |
JP5989599B2 (ja) | 情報処理装置、および、情報処理方法 | |
Wrench et al. | Detecting derivative malware samples using deobfuscation-assisted similarity analysis | |
Kinger et al. | Malware analysis using machine learning techniques |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140115 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140826 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140902 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141016 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150120 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150122 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5687593 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |