論文の概要: TLSCheck 2.0: An Enhanced Memory Forensics Approach to Efficiently Detect TLS Callbacks

• arxiv url: http://arxiv.org/abs/2604.20378v1
• Date: Wed, 22 Apr 2026 09:26:45 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-04-23 15:36:11.066808
• Title: TLSCheck 2.0: An Enhanced Memory Forensics Approach to Efficiently Detect TLS Callbacks
• Title（参考訳）: TLSCheck 2.0:TLSコールバックを効率的に検出するための拡張メモリフォサイズックアプローチ
• Authors: Kartik N. Iyer, Parag H. Rughani,
• Abstract要約: 本稿では,プロセスメモリにおけるTLSコールバックの検出と解析を目的としたTlsCheck for Volatility 3の強化版を提案する。 ヘッダとメモリ構造を分析してTLSコールバックテーブルを正確に検出し、特定のコールバックルーチンを分解する。 このフレームワークには、アンチエイジング、コードインジェクション、プロセス操作など、マルウェアに頻繁にリンクされる振る舞いをハイライトするインストラクションレベル分析も含まれている。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Memory analysis is a crucial technique in digital forensics that enables investigators to examine the runtime state of a system through physical memory dumps. While significant advances have been made in memory forensics, the detection and analysis of Thread Local Storage (TLS) callbacks remain challenging due to their dual nature as both legitimate Windows constructs and potential vectors for malware execution. An early version of the TlsCheck plugin received recognition in the Volatility Plugin Contest 2024. In this paper, we present an enhanced version of TlsCheck for Volatility 3, designed to detect and analyze TLS callbacks in process memory. It implements precise detection of TLS callback tables through analysis of PE headers and memory structures, combined with disassembly of identified callback routines. The plugin supports both 32-bit and 64-bit architectures, offering investigators insights into callback locations, assembly behavior, and potential signs of suspicious activity. To enhance detection, we incorporate pattern matching using custom regular expressions and YARA rules, helping analysts identify specific code patterns or suspicious constructs within TLS callbacks. The framework also includes instruction-level analysis to highlight behavior often linked to malware, such as anti-debugging, code injection, and process manipulation. This implementation significantly improves defenders' ability to detect and investigate TLS-based threats during memory forensics, supporting more effective malware analysis and incident response operations.
• Abstract（参考訳）: メモリ分析は、研究者が物理メモリダンプを通してシステムの実行状態を調べることを可能にする、デジタル法医学において重要な技術である。 メモリフォサイスでは大きな進歩があったが、スレッドローカルストレージ(TLS)のコールバックの検出と解析は、マルウェアの実行に有効なWindows構造と潜在的なベクターの両方を兼ね備えているため、依然として困難である。 TlsCheckプラグインの初期バージョンは、Volatility Plugin Contest 2024で承認された。 本稿では,プロセスメモリにおけるTLSコールバックの検出と解析を目的としたTlsCheck for Volatility 3の強化版を提案する。 PEヘッダとメモリ構造を分析してTLSコールバックテーブルを正確に検出し、同一のコールバックルーチンを分解する。 このプラグインは32ビットアーキテクチャと64ビットアーキテクチャの両方をサポートし、コールバック位置、アセンブリ動作、疑わしい活動の兆候に関する調査員の洞察を提供する。 検出を強化するために、カスタム正規表現とYARAルールを用いたパターンマッチングを導入し、TLSコールバック内の特定のコードパターンや不審な構造を特定するのに役立つ。 このフレームワークには、アンチデバッグ、コードインジェクション、プロセス操作など、マルウェアに頻繁にリンクされる振る舞いをハイライトするインストラクションレベルの分析も含まれている。 この実装は、メモリ鑑定中にTLSベースの脅威を検出し、調査するディフェンダーの能力を大幅に改善し、より効果的なマルウェア分析とインシデント対応操作をサポートする。

関連論文リスト

• An Explainable Memory Forensics Approach for Malware Analysis [1.2744523252873352]
  メモリフォサイシクス(Memory forensics)は、ランドオフ・ザ・ランドのマルウェアを分析する効果的な方法である。 本稿では,AI支援型メモリフォサイシクス手法を提案する。 提案手法を Windows と Android のマルウェアに適用する。
  論文  参考訳（メタデータ） (2026-02-23T13:30:04Z)
• Multi-Agent Taint Specification Extraction for Vulnerability Detection [49.27772068704498]
  コンテナ分析を使用した静的アプリケーションセキュリティテスト(SAST)ツールは、高品質な脆弱性検出結果を提供するものとして広く見なされている。 本稿では,Large Language Models (LLM) のセマンティック理解と従来の静的プログラム解析を戦略的に組み合わせたマルチエージェントシステムであるSemTaintを提案する。 私たちは、SemTaintを最先端のSASTツールであるCodeQLと統合し、これまでCodeQLで検出できなかった162の脆弱性の106を検出して、その効果を実証しています。
  論文  参考訳（メタデータ） (2026-01-15T21:31:51Z)
• InspectCoder: Dynamic Analysis-Enabled Self Repair through interactive LLM-Debugger Collaboration [71.18377595277018]
  大きな言語モデル(LLM)は、診断が難しい複雑なロジックエラーを伴うバグの多いコードを生成することが多い。 対話型デバッガ制御による動的解析を LLM に委ねる初のエージェントプログラム修復システムである InspectCoder を提案する。
  論文  参考訳（メタデータ） (2025-10-21T06:26:29Z)
• TraceRAG: A LLM-Based Framework for Explainable Android Malware Detection and Behavior Analysis [8.977634735108895]
  本稿では,TraceRAGを紹介した。TraceRAGは,マルウェアの検出と解析を行うための検索拡張世代(RAG)フレームワークである。 まず、TraceRAGは、ベクトルデータベースにインデックスされたメソッドレベルのコードスニペットの要約を生成する。 クエリ時に、行動に焦点を当てた質問は、より深い検査のために最も意味のあるスニペットを検索する。 最後に、マルチターン解析結果に基づいて、TraceRAGは、識別された悪意のある振る舞いとその対応するコード実装を示す人間可読レポートを生成する。
  論文  参考訳（メタデータ） (2025-09-10T06:07:12Z)
• Certifiably robust malware detectors by design [48.367676529300276]
  設計によるロバストなマルウェア検出のための新しいモデルアーキテクチャを提案する。 すべての堅牢な検出器を特定の構造に分解することができ、それを経験的に堅牢なマルウェア検出器の学習に適用できることを示す。 我々のフレームワークERDALTはこの構造に基づいている。
  論文  参考訳（メタデータ） (2025-08-10T09:19:29Z)
• RX-INT: A Kernel Engine for Real-Time Detection and Analysis of In-Memory Threats [0.0]
  本稿では,TOCTOU攻撃に対するレジリエンスを提供するアーキテクチャを特徴とするカーネル支援システムであるRX-INTを提案する。 RX-INTはリアルタイムスレッド生成モニタとステートフル仮想アドレス記述子(VAD)スキャナを組み合わせた検出エンジンを導入した。 RX-INTは,PE-sieveで同定されなかった手動マッピング領域を正常に検出した。
  論文  参考訳（メタデータ） (2025-08-05T19:43:25Z)
• LAMeD: LLM-generated Annotations for Memory Leak Detection [5.529919602615033]
  機能固有のアノテーションを自動的に生成する新しいアプローチであるLAMeDを提案する。 Cooddyのようなアナライザと統合すると、LAMeDはメモリリークの検出を大幅に改善し、パスの爆発を低減する。
  論文  参考訳（メタデータ） (2025-05-05T05:34:33Z)
• FoC: Figure out the Cryptographic Functions in Stripped Binaries with LLMs [51.898805184427545]
  削除されたバイナリの暗号関数を抽出するFoCと呼ばれる新しいフレームワークを提案する。 まず、自然言語における暗号関数のセマンティクスを要約するために、バイナリ大言語モデル(FoC-BinLLM)を構築した。 次に、FoC-BinLLM上にバイナリコード類似モデル(FoC-Sim)を構築し、変更に敏感な表現を作成し、データベース内の未知の暗号関数の類似実装を検索する。
  論文  参考訳（メタデータ） (2024-03-27T09:45:33Z)
• MeMOT: Multi-Object Tracking with Memory [97.48960039220823]
  私たちのモデルはMeMOTと呼ばれ、トランスフォーマーベースの3つの主要モジュールで構成されています。 MeMOTは広く採用されているMOTデータセット上で非常に競争力のあるパフォーマンスを観測する。
  論文  参考訳（メタデータ） (2022-03-31T02:33:20Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。