アンチデバッグのバイパス:実環境とシミュレーションのハイブリッドアプローチによるRootkit解析
DAY 2
09:00-
09:40
ルートキットのリバースエンジニアリングは、高度な難読化とパッキングによってますます困難になっており、Windowsドライバーの動的デバッグを妨げています。SpeakeasyやQilingのようなUnicornベースのフレームワークは存在しますが、アンチシミュレーション技術においては依然として不十分です。
本研究は、部分的なパススルーによってハイブリッドな実環境・シミュレート環境でドライバーを実行するUnicornベースの半シミュレーションフレームワークを提案します。これは、実環境コンポーネントを抽出し、並列実行と構造化例外処理をサポートすることで、アンチシミュレーションおよびアンチデバッグ保護をバイパスします。Ring 3で分離して実行することで、オブジェクトとレジスタを正確に監視し、ルートキットのロジックとその自己保護メカニズムを明らかにすることができます。
本セッションでは、最新のアンチデバッグ技術、Unicornの応用、および市場シェアの高いアンチチートエンジンのカーネルドライバー保護のケーススタディを探ります。このセッションの後、参加者は内部ドライバー保護とルートキット分析についてより深く理解することができます。
-
Location :
-
Track 2(HALL A)
-
-
Category :
-
U25
-
-
Share :
Speakers
-
Yong-Xu Yang
ヨンシュー・ヤン
現在、TeamT5のインターンとして、中華台北代表のWorldSkillsサイバーセキュリティ競技者として、国立中山大学コンピュータサイエンス・工学部で3年生として在籍しています。主な研究テーマは、ゲームハッキング、カーネルルートキット検出、関連する問題を含むWindowsセキュリティトピックです。さらに、リバースエンジニアリングに取り組むCTFプレイヤーでもあります。
-
Heng-Ming Fan
ヘンミン・ファン
知識を探求する
国立サイバーセキュリティ研究所勤務 -
Yu Xuan Luo
ユーシュエン・ルオ
国立中山大学コンピュータサイエンス・工学部の4年生です。