論文の概要: To Unpack or Not to Unpack: Living with Packers to Enable Dynamic Analysis of Android Apps
- arxiv url: http://arxiv.org/abs/2509.16340v1
- Date: Fri, 19 Sep 2025 18:29:25 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-09-30 15:18:27.553381
- Title: To Unpack or Not to Unpack: Living with Packers to Enable Dynamic Analysis of Android Apps
- Title(参考訳): To Unpack or Not to Unpack: Androidアプリの動的解析を可能にするPackerで生活する
- Authors: Mohammad Hossein Asghari, Lianying Zhao,
- Abstract要約: 本稿では,パッカーのアンチアナリシス手法を回避し,パッケージングされたアプリの動的解析を可能にするための回避エンジンであるPurifireを提案する。
評価の結果,Purifireはパッカーの抗分析チェックを回避でき,さらに重要な点として,パッカーに苦しむこれまでの研究で,大幅な改善が見られた。
- 参考スコア(独自算出の注目度): 2.463653514623161
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Android apps have become a valuable target for app modifiers and imitators due to its popularity and being trusted with highly sensitive data. Packers, on the other hand, protect apps from tampering with various anti-analysis techniques embedded in the app. Meanwhile, packers also conceal certain behavior potentially against the interest of the users, aside from being abused by malware for stealth. Security practitioners typically try to capture undesired behavior at runtime with hooking (e.g., Frida) or debugging techniques, which are heavily affected by packers. Unpackers have been the community's continuous effort to address this, but due to the emerging commercial packers, our study shows that none of the unpackers remain effective, and they are unfit for this purpose as unpacked apps can no longer run. We first perform a large-scale prevalence analysis of Android packers with a real-world dataset of 12,341 apps, the first of its kind, to find out what percentage of Android apps are actually packed and to what extent dynamic analysis is hindered. We then propose Purifire, an evasion engine to bypass packers' anti-analysis techniques and enable dynamic analysis on packed apps without unpacking them. Purifire is based on eBPF, a low-level kernel feature, which provides observability and invisibility to userspace apps to enforce defined evasion rules while staying low-profile. Our evaluation shows that Purifire is able to bypass packers' anti-analysis checks and more importantly, for previous research works suffering from packers, we observe a significant improvement (e.g., a much higher number of detected items such as device fingerprints).
- Abstract(参考訳): Androidアプリは、人気が高く、非常に機密性の高いデータで信頼されているため、アプリ修飾者と模倣者にとって貴重なターゲットになっている。
一方、パッケージは、アプリに埋め込まれたさまざまなアンチアナリシス技術によって、アプリを改ざんするのを防ぐ。
一方、パッカーは、盗難でマルウェアに虐待されたこと以外は、ユーザーの興味に反してある行動を隠している。
セキュリティ実践者は、通常、実行時に望ましくない振る舞いをフック(例えば、Frida)やデバッグテクニックでキャプチャしようとします。
アンパッカーはコミュニティの継続的な取り組みとしてこの問題に対処していますが、新興の商用パッカーのおかげで、我々の調査では、アンパッカーはどれも有効ではなく、アンパッカーはもはや実行できないため、この目的には適していません。
われわれはまず、実世界の12,341のアプリのデータセットを使って、Androidパッケージの大規模頻度分析を行い、その1つとして、実際にどのAndroidアプリが詰め込まれているか、どの程度に動的解析が妨げられているかを調べる。
そこで我々は,パッカーのアンチアナリシステクニックを回避し,パッケージングされたアプリの動的解析を可能にする回避エンジンであるPurifireを提案する。
Purifireは低レベルのカーネル機能であるeBPFをベースとして,ユーザ空間アプリの可観測性と可視性を提供して,低レベルを維持しながら定義された回避ルールを強制する。
評価の結果、Purifireはパッカーの抗分析チェックを回避でき、さらに重要な点として、パッカーに苦しむ過去の研究に対して、大きな改善(例えば、デバイス指紋などの検出項目がはるかに多い)が見られた。
関連論文リスト
- Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。
攻撃パラダイムを初期感染と持続性という2つの段階に分類する。
当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
論文 参考訳(メタデータ) (2025-09-19T04:10:52Z) - Investigating red packet fraud in Android applications: Insights from user reviews [12.461418756465415]
我々は,赤いパケットを持つアプリのユーザレビューの広範な収集について,最初の調査を行っている。
334のアプリから36万以上の実際のユーザーレビューを集めており、赤いパケットはGoogle Playと3つの人気Androidアプリマーケットで入手できる。
赤いパケット詐欺が普及し、ユーザー体験に大きな影響を与え、アプリの評判を損なうことがわかりました。
論文 参考訳(メタデータ) (2025-08-23T08:19:26Z) - ConfuGuard: Using Metadata to Detect Active and Stealthy Package Confusion Attacks Accurately and at Scale [3.259700715934023]
パッケージ混乱の脅威を検知する最先端の検出器であるConfuGuardを紹介する。
本稿では,前パッケージ混同データから得られた良性信号の最初の経験的分析について述べる。
パッケージメタデータを活用して良質なパッケージを識別し、サポートを最大7つのソフトウェアパッケージレジストリに拡張します。
論文 参考訳(メタデータ) (2025-02-27T21:25:10Z) - Unveiling Malware Patterns: A Self-analysis Perspective [15.517313565392852]
VisUnpackは静的解析ベースのデータ可視化フレームワークで、攻撃防止と攻撃後の回復を支援する。
本手法は,パッケージ化されたマルウェアプログラムのアンパック化,基本ブロックに基づく局所的類似性記述子の計算,ディスクリプタ間の相関性の向上,ノイズの最小化による修正を含む。
27,106以上のサンプルを収集したデータセットに基づくVisUnpackの包括的評価では、99.7%の精度でマルウェアプログラムを正確に分類する能力が確認されている。
論文 参考訳(メタデータ) (2025-01-10T16:04:13Z) - Understanding crypter-as-a-service in a popular underground marketplace [51.328567400947435]
Cryptersは、ターゲットバイナリを変換することで、アンチウイルス(AV)アプリケーションからの検出を回避できるソフトウェアの一部です。
シークレット・アズ・ア・サービスモデルは,検出機構の高度化に対応して人気を博している。
本論文は,シークレット・アズ・ア・サービスに特化したオンライン地下市場に関する最初の研究である。
論文 参考訳(メタデータ) (2024-05-20T08:35:39Z) - A StrongREJECT for Empty Jailbreaks [72.8807309802266]
StrongREJECTは、ジェイルブレイクのパフォーマンスを評価するための高品質なベンチマークである。
これは、被害者モデルが禁止されたプロンプトに対する応答の有害性を評価する。
それは、ジェイルブレイクの有効性の人間の判断と最先端の合意を達成します。
論文 参考訳(メタデータ) (2024-02-15T18:58:09Z) - Erasing Labor with Labor: Dark Patterns and Lockstep Behaviors on Google
Play [13.658284581863839]
Google Playのポリシーは、アプリの配置を操作するためのインセンティブ付きインストール、評価、レビューの使用を禁止している。
社会技術レンズによるインストールインセンティブアプリについて検討し、レビューとパーミッションの混合メソッド分析を行う。
私たちのデータセットには、60以上のアプリから5ヶ月以上にわたって収集された319万のレビューが含まれています。
インストールインセンティブのアプリに対する不正なレビューの証拠を見つけ、それに続いて、アプリとレビュアーの動的二部グラフのエッジストリームとしてモデル化します。
論文 参考訳(メタデータ) (2022-02-09T16:54:27Z) - Emerging App Issue Identification via Online Joint Sentiment-Topic
Tracing [66.57888248681303]
本稿では,MERITという新しい問題検出手法を提案する。
AOBSTモデルに基づいて、1つのアプリバージョンに対するユーザレビューに否定的に反映されたトピックを推測する。
Google PlayやAppleのApp Storeで人気のアプリに対する実験は、MERITの有効性を実証している。
論文 参考訳(メタデータ) (2020-08-23T06:34:05Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。