| 研究課題/領域番号 |
23500074
|
|---|
| 研究機関 | 岩手大学 |
|---|
研究代表者 |
厚井 裕司 岩手大学, 工学部, 教授 (20333750)
|
|---|
| 研究分担者 |
中谷 直司 岩手大学, 工学部, 助教 (20322969)
|
|---|
| キーワード | コンピュータウイルス / ベイジアンフィルタ / 未知ウイルス / 実行可能圧縮 / ボット |
|---|
| 研究概要 |
本研究では、圧縮ツール自身の解凍ルーチンを利用して、コンピュータウイルスを自動解凍する手法を実現した。すなわち、圧縮されたウイルスが実行されるとき、圧縮ツールが生成した解凍ルーチンが先に実行され、圧縮されたデータをメモリ上に展開する。そして、圧縮データがメモリ上に全て復元されたら、解凍ルーチンによりオリジナル実行ファイルのエントリポイントへジャンプして、オリジナル実行ファイル本体を実行していくという仕組みである。ウイルスの解凍ルーチンが解凍完了のタイミングを検出できれば、ウイルスが実行される前に、ウイルス本体がメモリからダンプできる。この理論に基づいて、ウイルス自身の解凍ルーチンを利用した、圧縮形式に依存しない圧縮されたコンピュータウイルスをかなりの割合で解凍・解析することに成功した。しかしながら、この方法ではウイルスがデバッガーによる自身の解析に気が付いて実行を止める場合が多い。また、毎回ウイルスを実行させるために、処理に時間が掛かる。本研究では対策として以下の対応を図り、下記の結果を得た。
1.ウイルスに追跡を気付かれないような実行環境を通常のマンマシンインターフェイスのアクセススピードで実現できた。これによって、本研究が実用化できる可能性が非常に高くなった。
2.メモリ上に展開された解凍後のデータをどこかのサーバで記憶しておけば、常にそのデータを参照することによってウイルスチェックが可能となる。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
難読化されたウイルスをそのウイルス自体の解凍ルーチンで解凍する技術を確立できたために、後は動作の確認試験が存在するのみである。
|
| 今後の研究の推進方策 |
近年は、機能がますます高度になった新しい圧縮形式が続々出現しており、さらにウイルス作者が既存の圧縮形式を改造するなど新たな悪用方法も出現している。今後は、市販のアンチウイルスフィルタとの連携機能を保有させて、アンチウイルスメーカのウイルスデータベースを利用できる仕組みに発展させていくことが不可欠である。
|
| 次年度の研究費の使用計画 |
「該当なし」
|
