マルウェアの耐解析機能の続き。
「マルウェアの耐解析機能」に対してどう対応するか。
ググってみたらこんなのが出てきた。
この手法が主流なのか、他があるのかわからない。
2008年 ステルスデバッガを利用したマルウェア解析手法の提案
ステルスデバッガが何かと言うと、仮想マシン上でマルウェアを実行させ、デバッガはゲストOSの外からデバッグ機能を提供するというもの。CPUやOSのデバッグ支援機構に頼らないことで、マルウェアに検知されないとのこと。マルウェアが仮想環境で実行されていることさえ気づかなければ、よい方法に思える。
BlackHat USA 2010で、まさにステルスデバッガが発表されたらしい。
blackhat usa+2010での発表
- Virt-ICE: next generation debugger for malware analysis
- BLACK HAT USA 2010
- 論文 (pdf)
- YouTube .. 6本に分かれているが、これをみるとおおよそ内容が把握できる。 最後にVirt-ICE Clientからの操作デモをやっているが、普通にデバッガとして便利そうと思った。 Windowsドライバの開発の時とか、WinDbg代わりによいんじゃないかしら?と思ったり。
その他、関連しそうなもの。
- 2012 仮想化技術によるマルウェア対策とその問題点 (SlideShare)
- 情報セキュリティ研究の方向性と研究開発上の課題 (pdf)
- 第26回仮想化実装技術勉強会 での産総研のNguyen Anh Quynhさんの話
おわり。