プロジェクトの目的

Sunaniwa（砂庭）は、仮想環境（VM）を検知して挙動を変える高度なステルス型マルウェアに対抗するため、物理ハードウェアによる「純粋なベアメタル実行環境」を自動提供するサンドボックスシステムです。

ハイパーバイザを一切介在させない物理実行を通じて、検体が持つ解析回避機能を無効化し、その真の挙動を精密に記録・分析します。

高度解析機能

1. システム差分抽出 (File & Registry)

• 物理レイヤ・スナップショット 検体実行前後の物理ディスクイメージおよびレジストリを比較。OS外部からのオフライン解析により、ステルス化されたファイルやレジストリの変更を完全に可視化します。

2. メモリ解析 (Memory Forensics)

• 非侵襲メモリダンプ 解析対象OSの機能を使用せず、外部から物理メモリを直接抽出。ルートキットやメモリ展開型ペイロードなど、揮発性領域に隠された脅威を暴きます。

3. 通信内容解析 (Network Analysis)

• アイソレーション・トラフィック分析 厳重に隔離されたネットワーク環境下で全パケットをキャプチャ。外部への感染被害を防ぎつつ、検体の独自プロトコルやデータ送出挙動を詳細に分析します。

コア・テクノロジー

• Anti-VM Evasion (仮想環境検知の完全回避) 実機（ベアメタル）ハードウェアで直接実行するため、ハイパーバイザ固有の痕跡が存在しません。
• Bare-metal Restoration (高速ロールバック) 解析終了後、物理ディスクを瞬時にクリーンな状態へ復元する独自技術を搭載。常に汚染されていない環境を維持します。
• Network Isolation (安全な通信シミュレート) 厳重な隔離環境を維持したまま、名前解決（DNS）など解析に不可欠な応答を内部でエミュレートし、検体の活動を誘発します。