プロフィール

大山恵弘

  • Author:大山恵弘
  • 公式なサイトはこちら

最近の記事

最近のコメント

最近のトラックバック

月別アーカイブ

ブロとも申請フォーム

ブログ内検索

RSSフィード

リンク

FC2カウンター

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

【セキュリティ】 Detection of Injected, Dynamically Generated and Obfuscated Malicious Code 【システムコールフック】

In WORM '03.

悪意コードを検出するための技術。

プログラムを静的解析して、どのプログラムポイントでシステムコールを発行するかを把握しておく。で、実行時にシステムコールが発行されたら、それが静的解析の結果と合うかどうかを検査する。

具体的には、実行可能バイナリを事前に逆コンパイルして、Win32 APIを呼び出している仮想アドレスとAPI名を記録。

Win32 APIの呼び出しのフックにはDetoursを利用。各Win32 APIの呼び出しポイントにDetoursでパッチを当てている。

Win32 APIを呼ばない攻撃(単にデータを壊すだけの攻撃など)は対象としていない。

実行可能バイナリは実行時に書き換えられないと仮定。ただし、書き換えられたとしても、ハッシュを使って防げると主張。

return-into-libc攻撃とか、Detoursのパッチをはがす攻撃とかで、本研究の防御をバイパスすることは可能。対策アイデアは論文で述べられているが、その実装と実験はfuture work。

私も以前似たような論文書きました。その論文の方法では、システムコールが呼び出されたときに、もっと色々なものを調べる。システムコールを呼び出しているプログラムポイントのみならず、スタックの中のリターンアドレスが全部正しいかどうか調べる。さらに、2つのスタックの間の遷移がプログラムに合ってるかどうかも調べる。
スポンサーサイト

<< 【耐故障】 System Support for Nonintrusive Failure Detection and Recovery using Backdoors 【ハードウェア支援】 | ホーム | 【セキュリティ】 Pioneer: Verifying Code Integrity and Enforcing Untampered Code Execution on Legacy Systems 【OS】 >>


コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック


この記事にトラックバックする(FC2ブログユーザー)


【サイバー犯罪事件簿】2005年12月19日-24日

----------------------------■不正なアクセス(日本を送信元とした攻撃)---------------------------- 2005年12月19日 http://ameblo.jp/amaterasu/entry-10007243870.html 2005年12月20日 http://ameblo.jp/amaterasu/entry-10007276420.html 2005年12月21日 http


 BLOG TOP 


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。