問36
マルウェアの動的解析に該当するものはどれか。
ア 検体のハッシュ値を計算し、オンラインデータベースに登録された既知のマルウェアのハッシュ値のリストと照合してマルウェアを特定する。
イ 検体をサンドボックス上で実行し、その動作や外部との通信を観測する。
ウ 検体をネットワーク上の通信データから抽出し、さらに、逆コンパイルして取得したコードから検体の機能を調べる。
エ ハードディスク内のファイルの拡張子とファイルヘッダの内容を基に、拡張子が偽装された不正なプログラムファイルを検出する。
正解
イ
解説
ア コンペア法の説明であり、静的解析に該当する。
イ 正しい。マルウェアの動的解析は、実際にマルウェアを活動させ、その挙動を観測することで解析を行うことである。
ウ コードから検体の機能を調べる方法は、静的解析に該当する。
エ マルウェア検出であり、解析ではない。いずれにせよ、静的手法である。