Automatic Dynamic Analyzer for Malware by System Call Tracing using Virtualization Technology

• Project/Area Number: 23500101
• Research Category: Grant-in-Aid for Scientific Research (C)
• Allocation Type: Multi-year Fund
• Section: 一般
• Research Field: Computer system/Network
• Research Institution: Ritsumeikan University
• Principal Investigator: MOURI Koichi 立命館大学, 情報理工学部, 准教授 (90313296)
• Project Period (FY): 2011 – 2013
• Project Status: Completed (Fiscal Year 2013)
• Budget Amount: ¥4,550,000 (Direct Cost: ¥3,500,000、Indirect Cost: ¥1,050,000); Fiscal Year 2013: ¥1,040,000 (Direct Cost: ¥800,000、Indirect Cost: ¥240,000); Fiscal Year 2012: ¥1,560,000 (Direct Cost: ¥1,200,000、Indirect Cost: ¥360,000); Fiscal Year 2011: ¥1,950,000 (Direct Cost: ¥1,500,000、Indirect Cost: ¥450,000)
• Keywords: マルウェア解析 / コンピュータセキュリティ / ネットワークセキュリティ / 仮想化技術 / オペレーティングシステム / エンドポイントセキュリティ / システムコールトレース

Research Abstract

Nowadays our society depends on computers and networks deeply. It is very difficult to keep them safe completely. Its one big reason is that new kinds of malware appear everyday. To achieve their safety, we need to quickly know what threat malwares cause. Then we need to propose a countermeasure against them. In this research subject, the goal is to establish a method to quick analysis of malwares, using virtualization technology. As the result, we have developed system call tracer named Alkanet. It can do it more quickly than other methods. It also has a resistance facility against anti-debug function of malwares. Furthermore we developed various analyzing tools for Alkanet, which enable to know easily what the malwares cause.

Research Products

• [Journal Article] Alkanet におけるシステムコールの呼出し元動的リンクライブラリの特定手法 (2013)
  • Author(s): 大月 勇人, 瀧本 栄二, 齋藤 彰一, 毛利 公一
  • Journal Title: コンピュータセキュリティシンポジウム 2013(CSS2013)論文集 Volume: Vol. 2013, No. 4 Pages: 753-760
  • NAID: 170000080838
  • URL: http://id.nii.ac.jp/1001/00098272/
• [Journal Article] Tracing Malicious Injected Threads Using Alkanet Malware Analyzer (2013)
  • Author(s): Yuto Otsuki, Eiji Takimoto, Takehiro Kashiyama, Shoichi Saito, Eric W. Cooper, and Koichi Mouri
  • Journal Title: IAENG Transactions on Engineering Technologies Volume: 247 Pages: 283-299
  • DOI: 10.1007/978-94-007-6818-5_21
  • ISBN: 9789400768178, 9789400768185
  • Peer Reviewed
• [Journal Article] Alkanetにおけるシステムコールの呼出し元動的リンクライブラリの特定手法 (2013)
  • Author(s): 大月 勇人，瀧本 栄二，齋藤 彰一，毛利 公一
  • Journal Title: コンピュータセキュリティシンポジウム2013(CSS2013)論文集 Volume: 2013-4 Pages: 753-760
  • NAID: 170000080838
• [Journal Article] マルウェアアナライザ Alkanet によるマルウェア解析報告 2012 (2012)
  • Author(s): 大月 勇人, 若林 大晃, 瀧本 栄二, 齋藤 彰一, 毛利 公一
  • Journal Title: コンピュータセキュリティシンポジウム 2012(CSS2012)論文集 Volume: Vol. 2012, No. 3 Pages: 106-113
  • NAID: 170000072675
  • URL: http://id.nii.ac.jp/1001/00086635/
• [Journal Article] Alkanet: A Dynamic Malware Analyzer based on Virtual Machine Monitor (2012)
  • Author(s): Yuto Otsuki, Eiji Takimoto, Takehiro Kashiyama, Shoichi Saito, Eric W. Cooper, and Koichi Mouri
  • Journal Title: World Congress on Engineering and Computer Science 2012 (WCECS 2012) Volume: Vol. 1 Pages: 36-44
  • URL: http://www.iaeng.org/publication/WCECS2012/WCECS2012_pp36-44.pdf
  • Peer Reviewed
• [Journal Article] マルウェアアナライザAlkanetによるマルウェア解析報告2012 (2012)
  • Author(s): 大月 勇人，若林 大晃，瀧本 栄二，齋藤 彰一，毛利 公一
  • Journal Title: コンピュータセキュリティシンポジウム2012(CSS2012)論文集 Volume: 2012 Pages: 106-113
  • NAID: 170000072675
• [Journal Article] マルウェア挙動解析のためのシステムコール実行結果取得法 (2011)
  • Author(s): 大月 勇人, 瀧本 栄二, 樫山 武浩, 毛利 公一
  • Journal Title: コンピュータセキュリティシンポジウム2011(CSS2011)論文集 Volume: Vol. 2011, No. 3 Pages: 95-100
  • NAID: 170000067457
  • URL: http://id.nii.ac.jp/1001/00077912/
• [Presentation] Alkanet におけるシステムコールの呼出し元動的リンクライブラリの特定手法 (2013)
  • Author(s): 大月 勇人, 瀧本 栄二, 齋藤 彰一, 毛利 公一
  • Organizer: コンピュータセキュリティシンポジウム 2013(CSS2013)
  • Place of Presentation: かがわ国際会議場(香川県)
  • Year and Date: 2013-10-23
• [Presentation] BitVisor へのシステムコールトレース機能追加によるマルウェアアナライザの実現 (2012)
  • Author(s): 大月 勇人, 瀧本 栄二, 毛利 公一
  • Organizer: BitVisor Summit
  • Place of Presentation: 筑波大学東京キャンパス文京校舎(東京都)
  • Year and Date: 2012-12-04
• [Presentation] マルウェアアナライザ Alkanet によるマルウェア解析報告 2012 (2012)
  • Author(s): 大月 勇人, 若林 大晃, 瀧本 栄二, 齋藤 彰一, 毛利 公一
  • Organizer: コンピュータセキュリティシンポジウム 2012(CSS2012)
  • Place of Presentation: くにびきメッセ(島根県)
  • Year and Date: 2012-10-30
• [Presentation] Alkanet : A Dynamic Malware Analyzer based on Virtual Machine Monitor (2012)
  • Author(s): Yuto Otsuki, Eiji Takimoto, Takehiro Kashiyama, Shoichi Saito, Eric W. Cooper, and Koichi Mouri
  • Organizer: World Congress on Engineering and Computer Science 2012 (WCECS 2012)
  • Place of Presentation: Berkeley, California (USA)
  • Year and Date: 2012-10-25
• [Presentation] 仮想計算機モニタを用いたマルウェアの挙動解析 (2011)
  • Author(s): 大月 勇人, 瀧本 栄二, 樫山 武浩, 毛利 公一
  • Organizer: コンピュータシステム・シンポジウム ポスター・デモセッション
  • Place of Presentation: 立命館大学朱雀キャンパス(京都府)
  • Year and Date: 2011-11-30
• [Presentation] マルウェア挙動解析のためのシステムコール実行結果取得法 (2011)
  • Author(s): 大月 勇人, 瀧本 栄二, 樫山 武浩, 毛利 公一
  • Organizer: コンピュータセキュリティシンポジウム2011(CSS2011)
  • Place of Presentation: 朱鷺メッセ(新潟県)
  • Year and Date: 2011-10-19
• [Presentation] マルウェア挙動解析のためのシステムコール実行結果取得法 (2011)
  • Author(s): 大月 勇人，瀧本 栄二，樫山 武浩，毛利 公一
  • Organizer: コンピュータセキュリティシンポジウム2011(CSS2011)
  • Place of Presentation: 新潟県新潟市・朱鷺メッセ
• [Presentation] 仮想計算機モニタを用いたマルウェアの挙動解析 (2011)
  • Author(s): 大月 勇人，瀧本 栄二，樫山 武浩，毛利 公一
  • Organizer: コンピュータシステム・シンポジウム
  • Place of Presentation: 京都府京都市・立命館大学
• [Presentation] Alkanetにおけるシステムコールの呼出し元動的リンクライブラリの特定手法
  • Author(s): 大月 勇人，瀧本 栄二，齋藤 彰一，毛利 公一
  • Organizer: コンピュータセキュリティシンポジウム2013(CSS2013)
  • Place of Presentation: かがわ国際会議場（香川県）
• [Presentation] BitVisorへのシステムコールトレース機能追加によるマルウェアアナライザの実現
  • Author(s): 大月 勇人，瀧本 栄二，毛利 公一
  • Organizer: BitVisor Summit
  • Place of Presentation: 筑波大学東京キャンパス文京校舎（東京都）
• [Remarks]
  • URL: http://www.asl.cs.ritsumei.ac.jp/
• [Remarks] プロジェクト紹介・研究成果一覧
  • URL: http://www.asl.cs.ritsumei.ac.jp/