令和元年秋期試験問題 午前問36
問36解説へ
マルウェアの動的解析に該当するものはどれか。
- 検体のハッシュ値を計算し,オンラインデータベースに登録された既知のマルウェアのハッシュ値のリストと照合してマルウェアを特定する。
- 検体をサンドボックス上で実行し,その動作や外部との通信を観測する。
- 検体をネットワーク上の通信データから抽出し,さらに,逆コンパイルして取得したコードから検体の機能を調べる。
- ハードディスク内のファイルの拡張子とファイルヘッダーの内容を基に,拡張子が偽装された不正なプログラムファイルを検出する。
正解 イ問題へ
広告
解説
検出したマルウェアの動作を解析するアプローチには「動的解析」と「静的解析」があります。
- 動的解析(ブラックボックス解析)
- サンドボックス(他に影響を与えない隔離された環境)上で検体を実際に動作させてその挙動を監視し、マルウェアの動作を解析すること
- 静的解析(ホワイトボックス解析)
- 検体の実行可能形式ファイルを逆コンパイル(ソースコードに還元する処理)し、そのソースコードを直接読むことで、マルウェアがどのような動作をするか解析すること
- コンペア法の説明です。マルウェアの解析手法というよりは、マルウェアを検知するための手法です。
- 正しい。マルウェアを実際に動作させて解析を行っているので、動的解析の説明です。
- 静的解析の説明です。
- メタ情報を利用したマルウェア検出手法に該当します。解析手法ではありません。
広告