JP7188208B2 - マルウェア解析装置、マルウェア解析方法、及び、プログラム - Google Patents
マルウェア解析装置、マルウェア解析方法、及び、プログラム Download PDFInfo
- Publication number
- JP7188208B2 JP7188208B2 JP2019053263A JP2019053263A JP7188208B2 JP 7188208 B2 JP7188208 B2 JP 7188208B2 JP 2019053263 A JP2019053263 A JP 2019053263A JP 2019053263 A JP2019053263 A JP 2019053263A JP 7188208 B2 JP7188208 B2 JP 7188208B2
- Authority
- JP
- Japan
- Prior art keywords
- malware
- image
- program
- unit
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本開示の第2の観点によれば、マルウェアプログラムを実行するプログラム実行ステップと、前記プログラム実行ステップにおけるメモリアクセスを監視してメモリアクセスログを出力するアクセス監視ステップと、前記メモリアクセスログに基づいて、前記マルウェアプログラムに関連するメモリイメージを生成するイメージ生成ステップと、前記メモリイメージのうちコード部分を特定するイメージ解析ステップと、前記コード部分のうち実行済み部分と未実行部分を特定する進捗管理ステップと、を含む、マルウェア解析方法が提供される。
以下、図1を参照して、第1実施形態を説明する。
次に、図2から図8を参照して、マルウェア解析システム30を説明する。
先ず、プログラム実行部12は、プログラム記憶部11に記憶されているマルウェアプログラムを実行する。
次に、メモリアクセス監視部13は、プログラム実行ステップ(S1)におけるメモリアクセスを監視してメモリアクセスログを出力する。
次に、イメージ生成部14は、メモリアクセスログに基づいて、マルウェアプログラムに関連するメモリイメージを生成する。
次に、イメージ解析部15は、メモリイメージのうちコード部分及びデータ部分を特定する。
次に、進捗管理部16は、コード部分のうち実行済み部分と未実行部分を特定する。同様に、進捗管理部16は、データ部分のうち読み込み済み部分と未読み込み部分を特定する。
次に、出力部17は、コード部分のうち実行済み部分の割合に関する情報を例えば棒グラフ形式で表示装置20に出力して表示させる。
そして、マルウェア解析装置10は、解析担当者によりマルウェアプログラムの実行が中断されたか判定する。マルウェアプログラムが実行中である場合は(S7:YES)、マルウェア解析装置10は、処理をステップS2に戻す。一方、マルウェアプログラムの実行が中断された場合は(S7:NO)、マルウェア解析装置10は、処理を終了する。
2 プログラム実行部
3 メモリアクセス監視部
4 イメージ生成部
5 イメージ解析部
6 進捗管理部
Claims (8)
- マルウェアプログラムを実行するプログラム実行部と、
前記プログラム実行部によるメモリアクセスを監視してメモリアクセスログを出力するアクセス監視部と、
前記メモリアクセスログに基づいて、前記マルウェアプログラムに関連するメモリイメージを生成するイメージ生成部と、
前記メモリイメージのうちコード部分を特定するイメージ解析部と、
前記コード部分のうち実行済み部分と未実行部分を特定する進捗管理部と、
を備えた、
マルウェア解析装置。 - 請求項1に記載のマルウェア解析装置であって、
前記イメージ解析部は、前記メモリイメージを逆アセンブルし、逆アセンブルに成功した部分のうち、一つの入口と一つの出口を有し内部に分岐を含まない連続した命令の並びである基本ブロックに該当する部分、又は、所定量以上連続した部分を前記コード部分として特定する、
マルウェア解析装置。 - 請求項1に記載のマルウェア解析装置であって、
前記イメージ解析部は、前記メモリイメージを逆アセンブルし、逆アセンブルに成功した部分のうち、一つの入口と一つの出口を有し内部に分岐を含まない連続した命令の並びである基本ブロックに該当する部分であって、所定量以上連続した部分を前記コード部分として特定する、
マルウェア解析装置。 - 請求項1から3までの何れか1項に記載のマルウェア解析装置であって、
前記コード部分のうち前記実行済み部分の割合に関する情報を表示部に出力する出力部を更に備えた、
マルウェア解析装置。 - 請求項4に記載のマルウェア解析装置であって、
前記出力部は、前記コード部分のうち前記実行済み部分の割合の時間軸上における変化に関する情報を前記表示部に出力する、
マルウェア解析装置。 - 請求項1から5までの何れか1項に記載のマルウェア解析装置であって、
前記イメージ解析部は、前記メモリイメージのうちデータ部分を特定するように構成されており、
前記進捗管理部は、前記データ部分のうち読み込み済み部分と未読み込み部分を特定するように構成されている、
マルウェア解析装置。 - マルウェアプログラムを実行するプログラム実行ステップと、
前記プログラム実行ステップにおけるメモリアクセスを監視してメモリアクセスログを出力するアクセス監視ステップと、
前記メモリアクセスログに基づいて、前記マルウェアプログラムに関連するメモリイメージを生成するイメージ生成ステップと、
前記メモリイメージのうちコード部分を特定するイメージ解析ステップと、
前記コード部分のうち実行済み部分と未実行部分を特定する進捗管理ステップと、
を含む、
マルウェア解析方法。 - コンピュータに、請求項7に記載のマルウェア解析方法を実行させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019053263A JP7188208B2 (ja) | 2019-03-20 | 2019-03-20 | マルウェア解析装置、マルウェア解析方法、及び、プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019053263A JP7188208B2 (ja) | 2019-03-20 | 2019-03-20 | マルウェア解析装置、マルウェア解析方法、及び、プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020154796A JP2020154796A (ja) | 2020-09-24 |
JP7188208B2 true JP7188208B2 (ja) | 2022-12-13 |
Family
ID=72559231
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019053263A Active JP7188208B2 (ja) | 2019-03-20 | 2019-03-20 | マルウェア解析装置、マルウェア解析方法、及び、プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7188208B2 (ja) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011248650A (ja) | 2010-05-27 | 2011-12-08 | Nippon Telegr & Teleph Corp <Ntt> | コード領域識別装置、コード領域識別方法及びコード領域識別プログラム |
JP2012103893A (ja) | 2010-11-10 | 2012-05-31 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析装置、解析方法及び解析プログラム |
JP2013114637A (ja) | 2011-12-01 | 2013-06-10 | Mitsubishi Electric Corp | マルウェア解析システム |
JP2013232113A (ja) | 2012-04-27 | 2013-11-14 | Nippon Telegr & Teleph Corp <Ntt> | 情報処理装置、監視方法および監視プログラム |
WO2014122662A1 (en) | 2013-02-10 | 2014-08-14 | Cyber Active Security Ltd. | Method and product for providing a predictive security product and evaluating existing security products |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5133192B2 (ja) * | 2008-10-06 | 2013-01-30 | 日本電信電話株式会社 | オリジナルコードの抽出装置、抽出方法、および抽出プログラム |
JP2014063346A (ja) * | 2012-09-21 | 2014-04-10 | Renesas Electronics Corp | 情報処理装置 |
-
2019
- 2019-03-20 JP JP2019053263A patent/JP7188208B2/ja active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011248650A (ja) | 2010-05-27 | 2011-12-08 | Nippon Telegr & Teleph Corp <Ntt> | コード領域識別装置、コード領域識別方法及びコード領域識別プログラム |
JP2012103893A (ja) | 2010-11-10 | 2012-05-31 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析装置、解析方法及び解析プログラム |
JP2013114637A (ja) | 2011-12-01 | 2013-06-10 | Mitsubishi Electric Corp | マルウェア解析システム |
JP2013232113A (ja) | 2012-04-27 | 2013-11-14 | Nippon Telegr & Teleph Corp <Ntt> | 情報処理装置、監視方法および監視プログラム |
WO2014122662A1 (en) | 2013-02-10 | 2014-08-14 | Cyber Active Security Ltd. | Method and product for providing a predictive security product and evaluating existing security products |
Also Published As
Publication number | Publication date |
---|---|
JP2020154796A (ja) | 2020-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5933762B2 (ja) | コード網羅率決定方法およびシステム | |
US20190294536A1 (en) | Automated software deployment and testing based on code coverage correlation | |
CN105593870A (zh) | 用于恶意软件检测的复杂评分 | |
US20190294428A1 (en) | Automated software release distribution | |
US20220035905A1 (en) | Malware analysis through virtual machine forking | |
US9471454B2 (en) | Performing automated system tests | |
CN113114680B (zh) | 用于文件上传漏洞的检测方法和检测装置 | |
CN108170552A (zh) | 一种抓取Dump文件的方法、装置和设备 | |
US6978399B2 (en) | Debug thread termination control points | |
CN113179194B (zh) | Opc协议网关的测试系统及方法 | |
JP6282217B2 (ja) | 不正プログラム対策システムおよび不正プログラム対策方法 | |
CN109783316B (zh) | 系统安全日志篡改行为的识别方法及装置、存储介质、计算机设备 | |
JP2010257150A (ja) | 不正処理検知装置、不正処理検知方法及びプログラム | |
US20190138425A1 (en) | Exception prediction before an actual exception during debugging | |
CN110851352A (zh) | 一种模糊测试系统及终端设备 | |
US20220058260A1 (en) | Binary image stack cookie protection | |
CN114969760A (zh) | 漏洞检测方法及装置、计算机可读介质和电子设备 | |
CN105404813B (zh) | 一种基于主机防御系统的日志生成方法、装置及系统 | |
JP7188208B2 (ja) | マルウェア解析装置、マルウェア解析方法、及び、プログラム | |
US7823018B2 (en) | Methods, systems and computer program products for CPU signaturing to aide in performance analysis | |
CN116522345A (zh) | 漏洞挖掘方法、装置、设备及可读存储介质 | |
US11880470B2 (en) | System and method for vulnerability detection in computer code | |
CN114048487A (zh) | 网络靶场的攻击过程评估方法、装置、存储介质及设备 | |
CN114328171A (zh) | 测试用例库的生成方法、装置、设备及存储介质 | |
JP2018085040A (ja) | プログラムテスト装置、プログラムテストプログラムおよびプログラムテスト方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220203 |
|
TRDD | Decision of grant or rejection written | ||
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221026 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221101 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221114 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7188208 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |