2005 Fiscal Year Annual Research Report
ユーザの意図に反する「悪意のある」振舞いパターン検出のフレームワークに関する研究
| Project/Area Number |
15500025
|
|---|
| Research Institution | Shibaura Institute of Technology |
|---|
Principal Investigator |
松浦 佐江子 芝浦工業大学, システム工学部, 助教授 (10348906)
|
|---|
| Keywords | コンピュータウイルスの検出 / フレームワーク / 振る舞いパターン / オブジェクト指向モデリング / アスペクト指向 / 検出モデル / データ移動追跡 / APISPY |
|---|
| Research Abstract |
本年度は、メール添付型のウイルスの検出のためのデータ移動アドレス追跡の方法と、本方法を用いたウイルスの振る舞いパターン検出方法の定義ならびに検出実験を行った。ウイルスのような悪意のある振る舞いをもつプログラムには、自己の解析を困難にする工夫が行われており、このような振る舞いを検出する仕組みを検討した。ウイルスそのものはプログラムであるが、悪意を含む振る舞いを行うプログラム部分を、暗号化・圧縮やデータ化を行い、単純なコードパターンによる発見を難しくしている。しかし、最終的には、暗号化やデータ化されたコード自身を実行しなければ、当初の目的を達成することはできない。そこで、暗号化の場合には、暗号を解除するコードをプログラム自身が保持しており、実行開始直後に悪意のある振る舞いを含むコードの暗号解除を実行し、その後に本来の振る舞いを実行する。そこで、プログラムファイルの構造を解析し、コードセクションが本来の順序や位置にない場合、暗号化していると考え、暗号解除をした新たな対象ファイルを作成する。まず、アセンブルリストを解析し、暗号解除が終わるアドレスを取得する。そして、対象ファイルのコードセクションの終わりに自分自身のメモリダンプをファイルに出力するコードを挿入するとともに、暗号解除が終わるアドレスの命令を、挿入したコードの先頭にジャンプする命令に変更する。変更した対象ファイルを実行することによって、悪意のある振る舞いを含む可能性のあるコードを解析対象とすることができる。このように悪意のある振る舞いパターンにはメタレベルの操作が含まれること考慮してフレームワークを検討した。
|
Research Products
(1 results)
