JP5952218B2 - 情報処理装置および情報処理方法 - Google Patents
情報処理装置および情報処理方法 Download PDFInfo
- Publication number
- JP5952218B2 JP5952218B2 JP2013104525A JP2013104525A JP5952218B2 JP 5952218 B2 JP5952218 B2 JP 5952218B2 JP 2013104525 A JP2013104525 A JP 2013104525A JP 2013104525 A JP2013104525 A JP 2013104525A JP 5952218 B2 JP5952218 B2 JP 5952218B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- address
- stored
- library function
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000010365 information processing Effects 0.000 title claims description 47
- 238000003672 processing method Methods 0.000 title claims description 10
- 238000004458 analytical method Methods 0.000 claims description 96
- 238000000034 method Methods 0.000 claims description 43
- 230000006870 function Effects 0.000 claims description 34
- 230000000644 propagated effect Effects 0.000 claims description 11
- 238000012545 processing Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 11
- 230000003068 static effect Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
以下、本発明を実施するための形態(実施形態)について説明する。図1は、情報処理装置の全体構成を示す図である。図1に示すように、情報処理装置は、ハードウェア1、ホストOS2、仮想マシンソフトウェア3、仮想マシン10を有する。
次に、図1に示した仮想マシン10の構成を説明する。なお、ハードウェア1、ホストOS2、仮想マシンソフトウェア3については、一般的な構成と同様の構成を有するので、詳細な説明は省略する。
次に、図6を用いて、第1の実施形態に係る仮想マシン10の処理の手順を説明する。図6は、仮想マシン10がゲストOSを起動するまでの処理の手順を説明するためのフローチャートである。図7は、仮想マシン10がゲストOSを起動した後の処理の手順を説明するためのフローチャートである。
上述してきたように、第1の実施形態にかかる情報処理装置の仮想マシン10では、EATの各エントリに対してそれぞれ異なるテイントタグを設定する。そして、仮想マシン10は、テイントタグが設定された後、解析対象プログラムを実行し、テイントタグを該解析対象プログラムの命令の実行結果に伝搬させ、APIのアドレス情報を保存したメモリ箇所にテイントタグを設定する。続いて、仮想マシン10は、解析対象プログラムを所定期間実行された後、設定されたテイントタグを用いて、APIのアドレス情報が格納されている格納位置を特定する。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、テイント解析部14とダンプファイル解析部15を統合してもよい。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、情報処理装置が実行する処理をコンピュータが実行可能な言語で記述した情報処理プログラムを作成することもできる。この場合、コンピュータが情報処理プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる情報処理プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された情報処理プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、図1等に示した情報処理装置と同様の機能を実現する情報処理プログラムを実行するコンピュータの一例を説明する。
2 ホストOS
3 仮想マシンソフトウェア
10 仮想マシン
10a 仮想物理メモリ
10b シャドウメモリ
11a 仮想ディスク
11b シャドウディスク
12 仮想CPU
13 テイントタグ設定部
14 テイント解析部
15 ダンプファイル解析部
Claims (5)
- ライブラリ関数のアドレス情報を記憶する第一のアドレステーブルの各エントリに対してそれぞれ、各ライブラリ関数を一意に特定できるタグ情報を設定する設定部と、
前記設定部によってタグ情報が設定された後、解析対象プログラムを実行し、前記タグ情報を該解析対象プログラムの命令の実行結果に伝搬させ、ライブラリ関数のアドレス情報を保存した箇所に前記タグ情報を設定する解析部と、
前記解析対象プログラムが所定期間実行された後、前記解析部によって設定されたタグ情報を用いて、前記ライブラリ関数のアドレス情報が格納されている位置を特定する特定部と、
を備えることを特徴とする情報処理装置。 - 前記設定部は、前記第一のアドレステーブルの各エントリに対してそれぞれ異なるタグ情報を設定する際に、各タグ情報に対応付けて、エントリに対応するライブラリ関数の名前、モジュールの名前、および、序数をそれぞれ記憶し、
前記特定部は、前記ライブラリ関数のアドレス情報が保存された位置を特定するとともに、前記設定部によってタグ情報に対応付けて記憶されたライブラリ関数の名前、モジュールの名前、および、序数を用いて、解析対象プログラムが利用しているライブラリ関数のアドレス情報を記憶する第二のアドレステーブルを再構築することを特徴とする請求項1に記載の情報処理装置。 - 前記特定部は、前記解析部によって設定されたタグ情報を用いて、各ライブラリ関数のアドレス情報が格納されている位置をそれぞれ特定し、複数の位置情報からアドレス範囲を絞り込み、該アドレス範囲に基づいて解析対象プログラムが利用しているライブラリ関数のアドレス情報を記憶する第二のアドレステーブルが格納されている位置を特定することを特徴とする請求項1または2に記載の情報処理装置。
- 前記解析部は、前記解析対象プログラムが所定期間実行された後、該解析対象プログラムを停止して、物理メモリと前記ライブラリ関数のアドレス情報が記載されたタグ情報とをダンプし、
前記特定部は、前記解析部によってダンプされた前記物理メモリおよび前記タグ情報を用いて、前記ライブラリ関数のアドレス情報が格納されている位置を特定することを特徴とする請求項1〜3のいずれか一つに記載の情報処理装置。 - 情報処理装置で実行される情報処理方法であって、
ライブラリ関数のアドレス情報を記憶する第一のアドレステーブルの各エントリに対してそれぞれ、各ライブラリ関数を一意に特定できるタグ情報を設定する設定工程と、
前記設定工程によってタグ情報が設定された後、解析対象プログラムを実行し、前記タグ情報を該解析対象プログラムの命令の実行結果に伝搬させ、ライブラリ関数のアドレス情報を保存した箇所に前記タグ情報を設定する解析工程と、
前記解析対象プログラムが所定期間実行された後、前記解析工程によって設定されたタグ情報を用いて、前記ライブラリ関数のアドレス情報が格納されている位置を特定する特定工程と、
を含んだことを特徴とする情報処理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013104525A JP5952218B2 (ja) | 2013-05-16 | 2013-05-16 | 情報処理装置および情報処理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013104525A JP5952218B2 (ja) | 2013-05-16 | 2013-05-16 | 情報処理装置および情報処理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014225160A JP2014225160A (ja) | 2014-12-04 |
JP5952218B2 true JP5952218B2 (ja) | 2016-07-13 |
Family
ID=52123791
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013104525A Expired - Fee Related JP5952218B2 (ja) | 2013-05-16 | 2013-05-16 | 情報処理装置および情報処理方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5952218B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AT521713B1 (de) * | 2018-10-11 | 2023-07-15 | Avl List Gmbh | Verfahren zur Detektion sicherheitsrelevanter Datenflüsse |
KR102392394B1 (ko) * | 2020-11-09 | 2022-05-02 | 동국대학교 산학협력단 | 함수 요약 정보를 생성하는 보안 취약점 분석 방법 및 이를 포함하는 전자 장치 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4669053B2 (ja) * | 2008-09-29 | 2011-04-13 | 株式会社半導体理工学研究センター | 情報処理装置、情報処理方法及びこれを実現させるためのプログラム |
US20120066698A1 (en) * | 2009-05-20 | 2012-03-15 | Nec Corporation | Dynamic data flow tracking method, dynamic data flow tracking program, and dynamic data flow tracking apparatus |
US8893280B2 (en) * | 2009-12-15 | 2014-11-18 | Intel Corporation | Sensitive data tracking using dynamic taint analysis |
-
2013
- 2013-05-16 JP JP2013104525A patent/JP5952218B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2014225160A (ja) | 2014-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8424093B2 (en) | System and method for updating antivirus cache | |
Yin et al. | Temu: Binary code analysis via whole-system layered annotative execution | |
US9811663B2 (en) | Generic unpacking of applications for malware detection | |
US7962959B1 (en) | Computer resource optimization during malware detection using antivirus cache | |
US10102373B2 (en) | Method and apparatus for capturing operation in a container-based virtualization system | |
US9710355B2 (en) | Selective loading of code elements for code analysis | |
Stüttgen et al. | Robust Linux memory acquisition with minimal target impact | |
US20110231455A1 (en) | Detailed Inventory Discovery on Dormant Systems | |
JP6734481B2 (ja) | コールスタック取得装置、コールスタック取得方法、および、コールスタック取得プログラム | |
CN103631573A (zh) | 可迁移函数执行时间的获得方法及系统 | |
US10129275B2 (en) | Information processing system and information processing method | |
US20160292417A1 (en) | Generic Unpacking of Program Binaries | |
JP5952218B2 (ja) | 情報処理装置および情報処理方法 | |
Zhong et al. | A virtualization based monitoring system for mini-intrusive live forensics | |
JP5766650B2 (ja) | 情報処理装置、監視方法および監視プログラム | |
JP5989599B2 (ja) | 情報処理装置、および、情報処理方法 | |
Lin et al. | VMRe: A reverse framework of virtual machine protection packed binaries | |
JP5710547B2 (ja) | 情報処理装置、監視方法および監視プログラム | |
JP5389734B2 (ja) | 抽出装置及び抽出方法 | |
JP5437913B2 (ja) | コード領域識別装置、コード領域識別方法及びコード領域識別プログラム | |
JP7420269B2 (ja) | バグ検出支援装置、バグ検出支援方法およびバグ検出支援プログラム | |
US20230325477A1 (en) | Program protection apparatus, program protection method, and program protection program | |
JP7355211B2 (ja) | シグネチャ生成装置、シグネチャ生成方法およびシグネチャ生成プログラム | |
JP5687593B2 (ja) | 解析装置、解析方法および解析プログラム | |
JP6163678B2 (ja) | プログラムバイナリの汎用的なアンパッキング |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150623 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20151001 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20151005 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160531 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160607 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160609 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5952218 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |