マルウェアの動的解析に該当するものはどれか。
ア 解析対象となる検体のハッシュ値を計算し,オンラインデータベースに登録された既知のマルウェアのハッシュ値のリストと照合してマルウェアを特定する。
イ サンドボックス上で検体を実行し,その動作や外部との通信を観測する。
ウ ネットワーク上の通信データから検体を抽出し,さらに, 逆コンパイルして取得したコードから検体の機能を調べる。
エ ハードディスク内のファイルの拡張子とファイルヘッダの内容を基に,拡張子が偽装された不正なプログラムファイルを検出する。
解説を読む
正解:イ
解説:
マルウェアの動的解析とはマルウェアを実際に動かしてどのような挙動をするかを調査します。具体的には新種のウィルスの挙動をテストする為にウィルスに感染させてどのようなことが起きるかを観測します。その際、ウィルスに感染させるPCから他に伝染しないようにサンドボックスという隔離された場所で実行します。
ア.ハッシュ値を用いて同一のマルウェアを検出する方法をコンペア法と呼びます。
イ.正解です。上記解説もご参照ください。
ウ.検体のコード解析による機能調査は静的解析に該当します。
エ.拡張子偽装のテクニックとしてはRLO Unicodeトリックが考えられます。これはアラビア文字など右から左に読む言語を利用して拡張子を偽装するものです。
解説を閉じる
コメント