[发明专利]信息处理装置以及信息处理方法

说明书

技术领域

本发明涉及信息处理装置以及信息处理方法。

背景技术

为了分析恶意软件等分析对象的执行文件的举动，而在分析环境中使该执行文件实际进行动作，并利用取得其举动日志的动态分析。在动态分析中具有监视恶意软件向外部发送的数据包的网络举动分析型的动态分析(参照专利文献1)。

在这些网络举动分析型的动态分析中，可取得恶意软件进行的通信目标(communication destination)、端口编号、协议、有效负载(payload)的信息等。根据情况，有时还在有效负载部分中观测用于理解恶意软件的举动的重要信息。例如，当在有效负载部分中一直记载有设备名、用户信息或机密文件内容的信息等时，可判断为该恶意软件具有向外部发送感染终端的机密信息的举动。

但是，近年来的恶意软件大多对通信数据实施了加密、压缩等混淆化。在这样的情况下，由于根据通过网络举动分析型的动态分析能够观测的数据包的有效负载部分无法知晓所发送的数据的内容，因此无法理解恶意软件的举动。

在这样的情况下，存在对恶意软件的执行文件进行静态分析并确定所发送的数据的内容的方法。该方法是通过分析者以手动的方式隐藏恶意软件的执行文件并解读命令来掌握恶意软件的举动的方法。但是，对恶意软件静态分析的成本非常高，不适合分析大量的执行文件。

现有技术文献

专利文献

专利文献1:日本专利第4755658号公报

发明内容

发明所要解决的课题

如上所述，在恶意软件的动态分析中，当恶意软件对数据进行混淆并输出至分析环境设备的外部时，即使看到所输出的数据也无法确定该数据本来的意思。另一方面，只要分析者以手动的方式进行静态分析，理论上就能够掌握被混淆化的数据的内容，但是对于静态分析，不仅分析者需要特别的技能，而且分析中需要相当的时间等而成为高成本的作业。

因此，本发明是为了解决上述问题而作出的，其课题是即使在由于恶意软件等的程序数据被混淆化而向外部输出时，也通过动态分析来确定该数据的源信息。

解决问题的手段

为了解决上述课题，本发明的信息处理装置是确定为了生成输出数据而调用的库函数的信息处理装置，其具备：库函数执行监视部，其在作为生成监视对象的程序的分析日志时，捕捉上述监视对象的程序所调用的库函数，针对上述库函数的每次调用，对来自上述库函数的输出数据设定用于唯一识别上述库函数的调用的标记；日志存储部，其存储包含来自上述库函数的输出数据的分析日志；以及日志搜索部，其将对上述日志存储部中存储的分析日志设定的标记作为键，来确定为了生成作为来自该信息处理装置的输出数据的混淆化数据而调用的库函数。

发明效果

根据本发明，即使在由于恶意软件等的程序数据被混淆化而向外部输出时，也能够利用动态分析来确定该数据的源信息。

附图说明

图1是示出信息处理装置的整体结构的图。

图2是示出信息处理装置的处理的概要的图。

图3是示出虚拟机的功能结构的图。

图4是示出在影子存储器中存储的信息的例子的图。

图5是示出在影子盘中存储的信息的例子的图。

图6A是示出在各个库函数之间传播污点标签时的日志的例子的图。

图6B是示出针对每个库函数来设定新的污点标签时的日志的例子的图。

图7是示出虚拟机积蓄与向库函数的输入以及输出相关的日志的顺序的流程图。

图8是示出主机OS的日志搜索部确定生成了混淆化数据的库函数的顺序的流程图。

图9是示出执行监视程序的计算机的图。

具体实施方式

[第1实施方式]

[整体结构]

以下，说明用于实施本发明的方式(实施方式)。图1是示出信息处理装置的整体结构的图。如图1所示，信息处理装置具有硬件1、主机OS2、虚拟机软件3、虚拟机10。

硬件1是构成信息处理装置的电子电路或周边设备，例如是存储器、CPU(Central Processing Unit:中央处理器)等。主机OS2是作为使虚拟机进行动作的基础的OS，采用硬件1来执行。虚拟机软件3是采用硬件1来提供虚拟机的软件，这里，使虚拟机10进行动作。例如，虚拟机软件3将虚拟盘、虚拟物理存储器、虚拟CPU等分配给客户OS，使虚拟机进行动作。