論文の概要: LibIHT: A Hardware-Based Approach to Efficient and Evasion-Resistant Dynamic Binary Analysis
- arxiv url: http://arxiv.org/abs/2510.16251v1
- Date: Fri, 17 Oct 2025 22:42:33 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-10-25 00:56:38.916169
- Title: LibIHT: A Hardware-Based Approach to Efficient and Evasion-Resistant Dynamic Binary Analysis
- Title(参考訳): LibIHT: 効率的でエベイジョン耐性のある動的バイナリ解析のためのハードウェアベースアプローチ
- Authors: Changyu Zhao, Yohan Beugin, Jean-Charles Noirot Ferrand, Quinn Burke, Guancheng Li, Patrick McDaniel,
- Abstract要約: LibIHTは、パフォーマンスへの影響を最小限に抑えてプログラム制御フローをキャプチャする、ハードウェア支援のトレースフレームワークである。
我々は,OSカーネルモジュールとユーザ空間ライブラリとしてLibIHTを実装し,良質なベンチマークプログラムと対向型アンチインストラメンテーションサンプルの両方で評価する。
- 参考スコア(独自算出の注目度): 4.42052953892569
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Dynamic program analysis is invaluable for malware detection, debugging, and performance profiling. However, software-based instrumentation incurs high overhead and can be evaded by anti-analysis techniques. In this paper, we propose LibIHT, a hardware-assisted tracing framework that leverages on-CPU branch tracing features (Intel Last Branch Record and Branch Trace Store) to efficiently capture program control-flow with minimal performance impact. Our approach reconstructs control-flow graphs (CFGs) by collecting hardware generated branch execution data in the kernel, preserving program behavior against evasive malware. We implement LibIHT as an OS kernel module and user-space library, and evaluate it on both benign benchmark programs and adversarial anti-instrumentation samples. Our results indicate that LibIHT reduces runtime overhead by over 150x compared to Intel Pin (7x vs 1,053x slowdowns), while achieving high fidelity in CFG reconstruction (capturing over 99% of execution basic blocks and edges). Although this hardware-assisted approach sacrifices the richer semantic detail available from full software instrumentation by capturing only branch addresses, this trade-off is acceptable for many applications where performance and low detectability are paramount. Our findings show that hardware-based tracing captures control flow information significantly faster, reduces detection risk and performs dynamic analysis with minimal interference.
- Abstract(参考訳): 動的プログラム解析は、マルウェアの検出、デバッグ、パフォーマンスプロファイリングに有用である。
しかし、ソフトウェアベースの計測は高いオーバーヘッドを発生させ、アンチアナリシス技術によって回避できる。
本稿では,CPU上の分岐トレース機能(Intel Last Branch Record と Branch Trace Store)を活用するハードウェア支援型トレースフレームワークであるLibIHTを提案する。
本手法は,カーネル内のハードウェア生成した分岐実行データを収集し,回避マルウェアに対するプログラム動作を保存することにより,制御フローグラフ(CFG)を再構築する。
我々は,OSカーネルモジュールとユーザ空間ライブラリとしてLibIHTを実装し,良質なベンチマークプログラムと対向型アンチインストラメンテーションサンプルの両方で評価する。
その結果,LibIHT は Intel Pin (7x vs 1,053x のスローダウン) と比較して,実行時のオーバーヘッドを 150 倍以上削減し,CFG 再構築において高い忠実性(実行基本ブロックとエッジの 99% 以上を占める)を実現していることがわかった。
このハードウェア支援アプローチは、分岐アドレスのみをキャプチャすることで、完全なソフトウェアインスツルメンテーションから得られるよりリッチなセマンティックディテールを犠牲にするが、性能と低検出性が最重要である多くのアプリケーションでは、このトレードオフが受け入れられる。
その結果,ハードウェアベーストレーシングは制御フロー情報をはるかに高速に取得し,検出リスクを低減し,干渉を最小限に抑えた動的解析を行うことがわかった。
関連論文リスト
- InspectCoder: Dynamic Analysis-Enabled Self Repair through interactive LLM-Debugger Collaboration [71.18377595277018]
大きな言語モデル(LLM)は、診断が難しい複雑なロジックエラーを伴うバグの多いコードを生成することが多い。
対話型デバッガ制御による動的解析を LLM に委ねる初のエージェントプログラム修復システムである InspectCoder を提案する。
論文 参考訳(メタデータ) (2025-10-21T06:26:29Z) - PARIS: A Practical, Adaptive Trace-Fetching and Real-Time Malicious Behavior Detection System [6.068607290592521]
本稿では,適応的トレースフェッチ,軽量かつリアルタイムな悪意ある行動検出システムを提案する。
具体的には、Event Tracing for Windows (ETW)で悪意ある振る舞いを監視し、悪意のあるAPIやコールスタックを選択的に収集することを学ぶ。
その結果、より広い範囲のAPIを監視し、より複雑な攻撃行動を検出することができる。
論文 参考訳(メタデータ) (2024-11-02T14:52:04Z) - SLIFER: Investigating Performance and Robustness of Malware Detection Pipelines [12.940071285118451]
アカデミアは、モデル1つまたはアンサンブル内の静的解析と動的解析を組み合わせることに焦点を当てる。
本稿では,多種多様な解析手法を用いて構築したマルウェア検知器の特性について検討する。
私たちが知る限り、我々はシーケンシャルなマルウェア検知器の特性を初めて調査し、実際の生産環境での行動に光を当てています。
論文 参考訳(メタデータ) (2024-05-23T12:06:10Z) - RTracker: Recoverable Tracking via PN Tree Structured Memory [71.05904715104411]
本稿では,木構造メモリを用いてトラッカーと検出器を動的に関連付け,自己回復を可能にするRTrackerを提案する。
具体的には,正負と負のターゲットサンプルを時系列に保存し,維持する正負のツリー構造メモリを提案する。
我々の中核となる考え方は、正と負の目標カテゴリーの支持サンプルを用いて、目標損失の信頼性評価のための相対的距離に基づく基準を確立することである。
論文 参考訳(メタデータ) (2024-03-28T08:54:40Z) - Exploring Dynamic Transformer for Efficient Object Tracking [58.120191254379854]
効率的なトラッキングのための動的トランスフォーマーフレームワークであるDyTrackを提案する。
DyTrackは、様々な入力に対して適切な推論ルートを設定することを学習し、利用可能な計算予算をより活用する。
複数のベンチマークの実験では、DyTrackは単一のモデルで有望な速度精度のトレードオフを実現している。
論文 参考訳(メタデータ) (2024-03-26T12:31:58Z) - One for All and All for One: GNN-based Control-Flow Attestation for
Embedded Devices [16.425360892610986]
Control-Flow (CFA) は、エンティティ(検証者)がリモートコンピュータシステム上でのコード実行の整合性を検証するためのセキュリティサービスである。
既存のCFAスキームは、証明者の内部状態へのアクセスを要求するなど、非現実的な仮定に悩まされる。
RAGEは、最小限の要件を持つ、新しくて軽量なCFAアプローチです。
論文 参考訳(メタデータ) (2024-03-12T10:00:06Z) - Beyond Over-Protection: A Targeted Approach to Spectre Mitigation and Performance Optimization [3.4439829486606737]
LLVMの投機的負荷硬化は、投機状態を追跡し、誤特定時に値をマスキングすることで、漏洩を防止する。
既存のサイドチャネルモデル検証フレームワークであるScam-Vを拡張して、Spectre-PHT攻撃に対するプログラムの脆弱性をチェックし、slhアプローチを用いてプログラムの保護を最適化する。
論文 参考訳(メタデータ) (2023-12-15T13:16:50Z) - Kellect: a Kernel-Based Efficient and Lossless Event Log Collector for
Windows Security [5.043058252123722]
ETW for Windows上に構築されている既存のログ収集ツールは、データ損失、オーバーヘッドの増大、リアルタイムのパフォーマンスの低下など、作業不足に悩まされている。
本稿では, www.kellect.orgでオープンソースプロジェクトをオープンソース化したKellectという,効率的でロスレスなカーネルログコレクタを提案する。
論文 参考訳(メタデータ) (2022-07-23T14:38:43Z) - MAPLE-Edge: A Runtime Latency Predictor for Edge Devices [80.01591186546793]
汎用ハードウェアの最先端遅延予測器であるMAPLEのエッジデバイス指向拡張であるMAPLE-Edgeを提案する。
MAPLEと比較して、MAPLE-Edgeはより小さなCPUパフォーマンスカウンタを使用して、ランタイムとターゲットデバイスプラットフォームを記述することができる。
また、共通ランタイムを共有するデバイスプール上でトレーニングを行うMAPLEとは異なり、MAPLE-Edgeは実行時に効果的に一般化できることを示す。
論文 参考訳(メタデータ) (2022-04-27T14:00:48Z) - AQD: Towards Accurate Fully-Quantized Object Detection [94.06347866374927]
本稿では,浮動小数点演算を除去するために,AQDと呼ばれる高精度な量子化オブジェクト検出ソリューションを提案する。
我々のAQDは、非常に低ビットのスキームの下での完全精度と比較して、同等またはそれ以上の性能を実現しています。
論文 参考訳(メタデータ) (2020-07-14T09:07:29Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。