[发明专利]密钥生成源确定装置、密钥生成源确定方法和密钥生成源确定程序

权利要求书

1.一种密钥生成源确定装置，其中，所述密钥生成源确定装置具有：

密钥确定部，其使恶意软件执行加密处理，取得表示所述加密处理的执行状况的执行轨迹，根据所述执行轨迹确定在所述加密处理中使用的加密密钥作为解析密钥；

提取部，其从所述执行轨迹中提取所述解析密钥依存的命令的列表作为命令列表；以及

取得部，其判定由所述命令列表中包含的调出命令调出的函数是否是取得动态变化的动态信息的动态取得函数，在由所述调出命令调出的函数是所述动态取得函数的情况下，取得所述命令列表作为在所述加密处理中生成了所述解析密钥的程序的至少一部分即密钥生成源的候选。

2.根据权利要求1所述的密钥生成源确定装置，其中，

所述密钥生成源确定装置具有存储有所述动态取得函数的函数数据库，

所述取得部判定由所述调出命令调出的函数是否包含在所述函数数据库中，在由所述调出命令调出的函数包含在所述函数数据库中的情况下，取得所述命令列表作为所述密钥生成源的候选。

3.根据权利要求1或2所述的密钥生成源确定装置，其中，

所述密钥生成源确定装置具有：

程序数据库，其存储程序的模板；以及

决定部，其计算所述密钥生成源的候选与所述模板的相似度，根据所述相似度判定所述密钥生成源的候选是否与所述模板相似，在所述密钥生成源的候选与所述模板相似的情况下，将所述密钥生成源的候选决定为所述密钥生成源。

4.根据权利要求1或2所述的密钥生成源确定装置，其中，

所述取得部将所述密钥生成源的候选决定为所述密钥生成源。

5.根据权利要求1～4中的任意一项所述的密钥生成源确定装置，其中，

所述动态取得函数取得根据所述加密处理的执行环境而动态变化的信息作为所述动态信息。

6.根据权利要求5所述的密钥生成源确定装置，其中，

所述密钥生成源确定装置具有程序生成部，该程序生成部根据所述密钥生成源生成密钥生成程序，该密钥生成程序生成在所述执行环境下执行的所述加密处理中使用的加密密钥。

7.根据权利要求5或6所述的密钥生成源确定装置，其中，

所述密钥生成源确定装置具有受害密钥取得部，该受害密钥取得部根据所述密钥生成源、所述动态取得函数调出的所述动态信息和所述执行环境，取得执行了所述加密处理时的加密密钥作为受害密钥。

8.一种密钥生成源确定方法，其中，

密钥确定部使恶意软件执行加密处理，取得表示所述加密处理的执行状况的执行轨迹，根据所述执行轨迹确定在所述加密处理中使用的加密密钥作为解析密钥，

提取部从所述执行轨迹中提取所述解析密钥依存的命令的列表作为命令列表，

取得部判定由所述命令列表中包含的调出命令调出的函数是否是取得动态变化的动态信息的动态取得函数，在由所述调出命令调出的函数是所述动态取得函数的情况下，取得所述命令列表作为在所述加密处理中生成了所述解析密钥的程序的至少一部分即密钥生成源的候选。

9.一种密钥生成源确定程序，其中，所述密钥生成源确定程序使计算机执行以下处理：

密钥确定处理，使恶意软件执行加密处理，取得表示所述加密处理的执行状况的执行轨迹，根据所述执行轨迹确定在所述加密处理中使用的加密密钥作为解析密钥；

提取处理，从所述执行轨迹中提取所述解析密钥依存的命令的列表作为命令列表；以及

取得处理，判定由所述命令列表中包含的调出命令调出的函数是否是取得动态变化的动态信息的动态取得函数，在由所述调出命令调出的函数是所述动态取得函数的情况下，取得所述命令列表作为在所述加密处理中生成了所述解析密钥的程序的至少一部分即密钥生成源的候选。