JP6600034B2 - 動作解析システム及び動作解析方法 - Google Patents
動作解析システム及び動作解析方法 Download PDFInfo
- Publication number
- JP6600034B2 JP6600034B2 JP2018077432A JP2018077432A JP6600034B2 JP 6600034 B2 JP6600034 B2 JP 6600034B2 JP 2018077432 A JP2018077432 A JP 2018077432A JP 2018077432 A JP2018077432 A JP 2018077432A JP 6600034 B2 JP6600034 B2 JP 6600034B2
- Authority
- JP
- Japan
- Prior art keywords
- diskless
- analysis
- server
- file
- malware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Stored Programmes (AREA)
- Debugging And Monitoring (AREA)
Description
ディスクレスクライアント10は、CPU、RAM、ROM等の制御部11を備え、ハードディスクなどの記憶装置を持たない物理マシン(ディスクレスマシン)である。ディスクレスクライアント10は、ネットワークカード(NIC:Network Interface Card)を備え、PXE(Preboot eXecution Environment)機能を内蔵する。
DHCPサーバ21は、ネットワークに接続されたクライアントが起動した場合、DHCP(Dynamic Host Configuration Protocol)を用いて、ネットワーク利用に必要な設定情報を自動的に割り当てる機能部である。
(起動プロセス)
まず、図2を用いて、起動プロセスを説明する。
ここでは、ディスクレスクライアント10の電源を投入する(ステップS1−1)。
この場合、ディスクレスクライアント10は、PXE起動処理を行なう(ステップS1−2)。具体的には、ネットワークカードのROMに内蔵されたPXEクライアントを起動する。
そして、DHCPサーバ21は、HDDロールバック要求処理を行なう(ステップS1−9)。具体的には、DHCPサーバ21は、ファイルシステム23に対して、記憶部230のロールバックを要求する。この場合、ファイルシステム23は、スナップショット機能を用いて、記憶部230のロールバックを行なう。
次に、ディスクレスクライアント10は、OS起動処理を行なう(ステップS1−17)。具体的には、ディスクレスクライアント10は、制御部11においてOSを起動する。
ここでは、ディスクレスクライアント10は、マルウェア投入処理を実行する(ステップS2−1)。具体的には、ディスクレスクライアント10は、自動解析環境30から、解析対象のマルウェアを取得し、ファイルシステム23の記憶部に感染させる。
(1)本実施形態では、ディスクレスクライアント10は、DHCP要求処理を行ない(ステップS1−8)、DHCPサーバ21は、HDDロールバック要求処理を行なう(ステップS1−9)。これにより、スナップショット機能を用いて、マルウェアに感染させたOSを感染前に戻すことができる。
・上記実施形態では、ファイルシステム23には、ZFSを用いる。スナップショット機能を備えたファイルシステムであれば、ZFSに限定されるものではない。
(a)ファイルサーバとして、ZFSを用いることを特徴とする動作解析システム及び動作解析方法。
これにより、物理マシンにおいてスナップショット機能を利用することができる。
これにより、ディスクレスマシンとサーバ上の記憶部とを接続できる。
Claims (2)
- ディスクレスマシンと、前記ディスクレスマシンに接続されるとともに、ウィルスプログラムの動作前のスナップショットを保存したファイルサーバと、挙動解析装置とを備え、ウィルスプログラムの動作を解析する動作解析システムであって、
前記ディスクレスマシンは、
設定割当サーバから、ファイル転送サーバのアドレスとスクリプト名を取得し、
前記取得したアドレス及びスクリプト名に基づいて、前記ファイル転送サーバから、プリブートスクリプトを取得し、
前記プリブートスクリプトに基づいて、前記ファイルサーバに保存されたスナップショットを用いて、前記ファイルサーバ上の記憶部のロールバックを行なった後で、前記ディスクレスマシンと前記ファイルサーバ上の記憶部とを、IPアドレスを用いたハードウェア間インターフェース規格で接続してOSを起動する起動処理を実行し、
前記ディスクレスマシンにおいて、ウィルスプログラムを実行させ、
前記挙動解析装置が、前記ウィルスプログラムの動作解析を行ない、
前記ディスクレスマシンは、前記動作解析の終了後に再起動指示を取得した場合、前記起動処理を行なうことを特徴とする動作解析システム。 - ディスクレスマシンと、前記ディスクレスマシンに接続されるとともに、ウィルスプログラムの動作前のスナップショットを保存したファイルサーバと、挙動解析装置とを備えた動作解析システムを用いて、ウィルスプログラムの動作を解析する方法であって、
前記ディスクレスマシンは、
設定割当サーバから、ファイル転送サーバのアドレスとスクリプト名を取得し、
前記取得したアドレス及びスクリプト名に基づいて、前記ファイル転送サーバから、プリブートスクリプトを取得し、
前記プリブートスクリプトに基づいて、前記ファイルサーバに保存されたスナップショットを用いて、前記ファイルサーバ上の記憶部のロールバックを行なった後で、前記ディスクレスマシンと前記ファイルサーバ上の記憶部とを、IPアドレスを用いたハードウェア間インターフェース規格で接続してOSを起動する起動処理を実行し、
前記ディスクレスマシンにおいて、ウィルスプログラムを実行させ、
前記挙動解析装置が、前記ウィルスプログラムの動作解析を行ない、
前記ディスクレスマシンは、前記動作解析の終了後に再起動指示を取得した場合、前記起動処理を行なうことを特徴とする動作解析方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018077432A JP6600034B2 (ja) | 2018-04-13 | 2018-04-13 | 動作解析システム及び動作解析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018077432A JP6600034B2 (ja) | 2018-04-13 | 2018-04-13 | 動作解析システム及び動作解析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019185517A JP2019185517A (ja) | 2019-10-24 |
JP6600034B2 true JP6600034B2 (ja) | 2019-10-30 |
Family
ID=68341417
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018077432A Active JP6600034B2 (ja) | 2018-04-13 | 2018-04-13 | 動作解析システム及び動作解析方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6600034B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20220093585A (ko) * | 2020-12-28 | 2022-07-05 | 주식회사 에스투더블유 | 악성코드 분석 시스템 및 시스템의 동작 방법 |
KR102514513B1 (ko) * | 2021-10-28 | 2023-03-29 | 아이지엠 주식회사 | 병원 의료영상 등록기를 이용한 컴퓨터 바이러스 사전차단 방법 |
CN114780302B (zh) * | 2022-06-23 | 2022-09-16 | 山东爱特云翔信息技术有限公司 | 基于openstack云主机的快照回滚方法、系统、装置及存储介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
JP2009042892A (ja) * | 2007-08-07 | 2009-02-26 | Nippon Telegr & Teleph Corp <Ntt> | データ管理システム,データ管理方法 |
FR2957700B1 (fr) * | 2010-03-22 | 2012-04-13 | Bull Sas | Procede, programme d'ordinateur et dispositif d'optimisation de chargement et de demarrage d'un systeme d'exploitation dans un systeme informatique via un reseau de communication |
JP5389855B2 (ja) * | 2011-04-28 | 2014-01-15 | 日本電信電話株式会社 | 解析システム、解析方法および解析プログラム |
CN103164295B (zh) * | 2013-03-22 | 2015-05-13 | 危子彪 | 基于zfs文件系统和kvm内核虚拟底层系统的企业it业务虚拟化容灾方法 |
ITRM20130712A1 (it) * | 2013-12-23 | 2015-06-24 | Alma Mater Studiorum Uni D I Bologna | Metodo e sistema per la fruizione di dati in informatica forense in ambienti virtuali. |
-
2018
- 2018-04-13 JP JP2018077432A patent/JP6600034B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019185517A (ja) | 2019-10-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9146767B2 (en) | Secure cloud hypervisor monitor | |
Lindorfer et al. | Detecting environment-sensitive malware | |
TWI514283B (zh) | 擷取輕型虛擬機器管理員中錯誤條件的方法、系統及設備 | |
US9804869B1 (en) | Evaluating malware in a virtual machine using dynamic patching | |
US20170366563A1 (en) | Agentless ransomware detection and recovery | |
US20100175108A1 (en) | Method and system for securing virtual machines by restricting access in connection with a vulnerability audit | |
US20100199351A1 (en) | Method and system for securing virtual machines by restricting access in connection with a vulnerability audit | |
JP6600034B2 (ja) | 動作解析システム及び動作解析方法 | |
US10678918B1 (en) | Evaluating malware in a virtual machine using copy-on-write | |
US9813443B1 (en) | Systems and methods for remediating the effects of malware | |
US20080016572A1 (en) | Malicious software detection via memory analysis | |
US9792436B1 (en) | Techniques for remediating an infected file | |
CN101436234A (zh) | 一种确保操作环境安全的系统和方法 | |
US10140454B1 (en) | Systems and methods for restarting computing devices into security-application-configured safe modes | |
US9330260B1 (en) | Detecting auto-start malware by checking its aggressive load point behaviors | |
US11971994B2 (en) | End-point visibility | |
US20190294796A1 (en) | Resolving anomalies for network applications using code injection | |
US10601867B2 (en) | Attack content analysis program, attack content analysis method, and attack content analysis apparatus | |
US20180137274A1 (en) | Malware analysis method and storage medium | |
CN110505246B (zh) | 客户端网络通讯检测方法、装置及存储介质 | |
US9785492B1 (en) | Technique for hypervisor-based firmware acquisition and analysis | |
US10200374B1 (en) | Techniques for detecting malicious files | |
US9141795B2 (en) | Techniques for detecting malicious activity | |
US9342694B2 (en) | Security method and apparatus | |
US20180276382A1 (en) | System and Method for Automation of Malware Unpacking and Analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180413 |
|
A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A80 Effective date: 20180510 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190625 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190821 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190903 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191003 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6600034 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |