本論文は、リバースエンジニアリングとマルウェア分析のための新しい超透明なメモリ内部監視フレームワークを提案している。
主な特徴は以下の通り:
ハードウェアサポートの仮想化機能を活用し、ユーザーモードおよびカーネルモードのメモリアクセスを透過的に記録できる。これにより、ステルス型のルートキットなどの高度なマルウェアを効果的に分析できる。
メモリ構造、呼び出し規約、メモリオフセットなどを動的に再構築する手法を提案している。これにより、リバースエンジニアリングの効率を大幅に向上できる。
メモリアクセスパターンに基づくシグネチャ生成と検出機能を提供する。これにより、高度な難読化や回避技術を使ったマルウェアも検出できる。
実装したプロトタイプシステムを用いて、さまざまな評価を行っている。メモリ構造の再構築速度の向上、既知のマルウェアに対する検出精度の向上、さまざまなコンパイラやパッカーを使った類似性検出などを示している。
In eine andere Sprache
aus dem Quellinhalt
arxiv.org
Wichtige Erkenntnisse aus
by Mohammad Sin... um arxiv.org 05-02-2024
https://arxiv.org/pdf/2405.00298.pdfTiefere Fragen