Cited 0 time in
PinDemonium 기반 Original Entry Point 탐지 방법 개선
| DC Field | Value | Language |
|---|---|---|
| dc.contributor.author | 김경민 | - |
| dc.contributor.author | 박용수 | - |
| dc.date.accessioned | 2022-07-11T17:17:14Z | - |
| dc.date.available | 2022-07-11T17:17:14Z | - |
| dc.date.created | 2021-05-13 | - |
| dc.date.issued | 2018-06 | - |
| dc.identifier.issn | 2287-5891 | - |
| dc.identifier.uri | https://scholarworks.bwise.kr/hanyang/handle/2021.sw.hanyang/149855 | - |
| dc.description.abstract | 많은 악성프로그램은 역공학을 막기 위해 다양한 상용 패커를 사용해 압축 혹은 암호화를 했기 때문에 악성코드 분석가는 압축해제 혹은 복 호화를 먼저 수행해야 한다. OEP(Original Entry Point)는 암호화되거나 압축되어 있는 실행파일을 다시 원본 바이너리 상태로 되돌린 후 실행된 첫 번째 명령어의 주소이다. 여러 언패커는 OEP가 나타나기 전까지 패킹된 파일을 실행하며 주소를 기록한다. 그리고 기록된 주소들 중에 OEP를 찾는다. 그러나 일부 언패커에서 제공하는 OEP 후보들은 비교적 큰 OEP 후보 집합을 제공하거나 후보들 중에 OEP가 없는 경우가 있다. 이에 악성코드 분석가들은 더 적은 OEP 후보 집합을 제공하는 도구가 필요한 실정이다. 본 논문에서는 PinDemonium이라 불리는 언패커에 두 가지 OEP 탐지방법을 추가하여 더 적은 OEP 후보 집합을 제공하는 도구를 만들었다. 첫 번째 방법은 패킹된 프로그램이 완전히 원본 바이너리상태로 되돌아 간 후에는 원프로그램 함수 호출과 동일하다는 것을 활용한 OEP 탐지방법이다. C/C++ 언어로 작성된 프로그램은 바이너리 코드로 언어를 변환하는 컴파일 과정을 거친다. 컴파일 과정을 거친 프로그램에는 특정 시스템 함수들이 추가된다. 이 시스템 함수들은 컴파일러 별로 다르다. 컴파일러 별로 사용되는 시스템 함수를 조사한 후, 패킹된 프로그램에서 호출되는 시스템 함수와 패턴매칭하여 언패킹 작업이 끝났는지 탐지하는 방법이다. 두 번째 방법은 패킹된 프로그램이 완전히 원본 바이너리 상태로 돌아간 후 시스템함수에서 사용되는 매개변수가 원프로그램과 동일하다는 것을 활용한 OEP 탐지방법이다. 시스템함수에서 사용되는 매개변수의 값을 이용해 OEP를 찾는 방법이다. 본 연구는 16종의 상용 패커로 압축된 샘플 프로그램을 대상으로 OEP 탐지 실험을 했다. 본 연구에선 안티 디버깅 기법으로 프로그램을 실행하지 못하는 경우인 2종을 제외하고 PinDemonium 대비 평균 40% 이상 OEP후보를 줄일 수 있었다. | - |
| dc.language | 한국어 | - |
| dc.language.iso | ko | - |
| dc.publisher | 한국정보처리학회 | - |
| dc.title | PinDemonium 기반 Original Entry Point 탐지 방법 개선 | - |
| dc.title.alternative | Improved Original Entry Point Detection Method Based on PinDemonium | - |
| dc.type | Article | - |
| dc.contributor.affiliatedAuthor | 박용수 | - |
| dc.identifier.doi | 10.3745/KTCCS.2018.7.6.155 | - |
| dc.identifier.bibliographicCitation | 정보처리학회논문지. 컴퓨터 및 통신시스템, v.7, no.6, pp.155 - 164 | - |
| dc.relation.isPartOf | 정보처리학회논문지. 컴퓨터 및 통신시스템 | - |
| dc.citation.title | 정보처리학회논문지. 컴퓨터 및 통신시스템 | - |
| dc.citation.volume | 7 | - |
| dc.citation.number | 6 | - |
| dc.citation.startPage | 155 | - |
| dc.citation.endPage | 164 | - |
| dc.type.rims | ART | - |
| dc.identifier.kciid | ART002366909 | - |
| dc.description.journalClass | 2 | - |
| dc.description.isOpenAccess | N | - |
| dc.description.journalRegisteredClass | kci | - |
| dc.subject.keywordAuthor | Computer Security | - |
| dc.subject.keywordAuthor | Malicious Code Analysis | - |
| dc.subject.keywordAuthor | Unpacking | - |
| dc.subject.keywordAuthor | OEP | - |
| dc.subject.keywordAuthor | Reverse Engineering | - |
| dc.subject.keywordAuthor | Dynamic Analysis | - |
| dc.subject.keywordAuthor | Code Obfuscation | - |
| dc.subject.keywordAuthor | 컴퓨터보안 | - |
| dc.subject.keywordAuthor | 악성코드 분석 | - |
| dc.subject.keywordAuthor | 언패킹 | - |
| dc.subject.keywordAuthor | OEP | - |
| dc.subject.keywordAuthor | 역공학 | - |
| dc.subject.keywordAuthor | 동적분석 | - |
| dc.subject.keywordAuthor | 코드난독화 | - |
| dc.identifier.url | http://koreascience.or.kr/article/JAKO201819352297409.page | - |
Items in ScholarWorks are protected by copyright, with all rights reserved, unless otherwise indicated.
222, Wangsimni-ro, Seongdong-gu, Seoul, 04763, Korea+82-2-2220-1366
COPYRIGHT © 2024 HANYANG UNIVERSITY.
Certain data included herein are derived from the © Web of Science of Clarivate Analytics. All rights reserved.
You may not copy or re-distribute this material in whole or in part without the prior written consent of Clarivate Analytics.
