抄録

L-028
多段パックされたマルウェアからのコード取得

近年のマルウェアには，解析を困難にするためにパッキングという難読化が施されている場合が多い．そのため，マルウェアの解析を行う際には，まずパッキングを解除する必要がある．解析手法としては，マルウェア実行時のメモリの状態を観測し，自動でオリジナルコードの特定・抽出を行う方法が検討されている．しかしながら，パッカーの中には，複数のデコーダを用いて多段で復号を行うものがあり，完全なオリジナルコードを抽出することは難しい．そこで本研究では，多段で復号を行うようなパッカーに対して，部分的にでもオリジナルコードを取得し，それらを用いてマルウェア間の類似度判定を行う手法を提案する．