問題本文
マルウェアの動的解析に該当するものはどれか。
選択肢
- ア.検体のハッシュ値を計算し、オンラインデータベースに登録された既知のマルウェアのハッシュ値のリストと照合してマルウェアを特定する。
- イ.検体をサンドボックス上で実行し、その動作や外部との通信を観測する。
- ウ.検体をネットワーク上の通信データから抽出し、さらに、逆コンパイルして取得したコードから検体の機能を調べる。
- エ.ハードディスク内のファイルの拡張子とファイルヘッダの内容を基に、拡張子が偽装された不正なプログラムファイルを検出する。
正解
イ. 検体をサンドボックス上で実行し、その動作や外部との通信を観測する。
解説
マルウェアの動的解析は、検体を実際に実行(サンドボックス内)して動作や通信を観測し、振る舞いから機能を解析する手法。
選択肢ごとの解説
- ア.これはハッシュベースの既知マルウェア識別(シグネチャ方式)。
- イ.サンドボックス上で実行し挙動を観測=動的解析=正解。
- ウ.逆コンパイルしてコードを調べるのは静的解析。
- エ.これはファイルヘッダ検査による拡張子偽装検出。
基本情報技術者試験 令和2年度 科目A 修了認定試験 の過去問一覧へ戻る・問38