2012 Fiscal Year Research-status Report
難読化されたウイルス攻撃を防御・検出する高速ベイジアンフィルタの研究
| Project/Area Number |
23500074
|
|---|
| Research Institution | Iwate University |
|---|
Principal Investigator |
厚井 裕司 岩手大学, 工学部, 教授 (20333750)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
中谷 直司 岩手大学, 工学部, 助教 (20322969)
|
|---|
| Keywords | コンピュータウイルス / ベイジアンフィルタ / 未知ウイルス / 実行可能圧縮 / ボット |
|---|
| Research Abstract |
本研究では、圧縮ツール自身の解凍ルーチンを利用して、コンピュータウイルスを自動解凍する手法を実現した。すなわち、圧縮されたウイルスが実行されるとき、圧縮ツールが生成した解凍ルーチンが先に実行され、圧縮されたデータをメモリ上に展開する。そして、圧縮データがメモリ上に全て復元されたら、解凍ルーチンによりオリジナル実行ファイルのエントリポイントへジャンプして、オリジナル実行ファイル本体を実行していくという仕組みである。ウイルスの解凍ルーチンが解凍完了のタイミングを検出できれば、ウイルスが実行される前に、ウイルス本体がメモリからダンプできる。この理論に基づいて、ウイルス自身の解凍ルーチンを利用した、圧縮形式に依存しない圧縮されたコンピュータウイルスをかなりの割合で解凍・解析することに成功した。しかしながら、この方法ではウイルスがデバッガーによる自身の解析に気が付いて実行を止める場合が多い。また、毎回ウイルスを実行させるために、処理に時間が掛かる。本研究では対策として以下の対応を図り、下記の結果を得た。
1.ウイルスに追跡を気付かれないような実行環境を通常のマンマシンインターフェイスのアクセススピードで実現できた。これによって、本研究が実用化できる可能性が非常に高くなった。
2.メモリ上に展開された解凍後のデータをどこかのサーバで記憶しておけば、常にそのデータを参照することによってウイルスチェックが可能となる。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
難読化されたウイルスをそのウイルス自体の解凍ルーチンで解凍する技術を確立できたために、後は動作の確認試験が存在するのみである。
|
| Strategy for Future Research Activity |
近年は、機能がますます高度になった新しい圧縮形式が続々出現しており、さらにウイルス作者が既存の圧縮形式を改造するなど新たな悪用方法も出現している。今後は、市販のアンチウイルスフィルタとの連携機能を保有させて、アンチウイルスメーカのウイルスデータベースを利用できる仕組みに発展させていくことが不可欠である。
|
| Expenditure Plans for the Next FY Research Funding |
「該当なし」
|
