국립중앙도서관 "우편 복사 서비스"로 연결 됩니다.
ScienceON
DBpia
악성코드의 탐지 및 분석 회피 기술 중 실행 압축 기술은 악성코드의 용량을 줄이고 분석가가 코드를 분석할 때 혼란을 주도록 코드를 변형하고 있다. 따라서 악성코드의 확산이 용이해지고...
다국어 입력
あ
ぁ
か
が
さ
ざ
た
だ
な
は
ば
ぱ
ま
や
ゃ
ら
わ
ゎ
ん
い
ぃ
き
ぎ
し
じ
ち
ぢ
に
ひ
び
ぴ
み
り
う
ぅ
く
ぐ
す
ず
つ
づ
っ
ぬ
ふ
ぶ
ぷ
む
ゆ
ゅ
る
え
ぇ
け
げ
せ
ぜ
て
で
ね
へ
べ
ぺ
め
れ
お
ぉ
こ
ご
そ
ぞ
と
ど
の
ほ
ぼ
ぽ
も
よ
ょ
ろ
を
ア
ァ
カ
サ
ザ
タ
ダ
ナ
ハ
バ
パ
マ
ヤ
ャ
ラ
ワ
ヮ
ン
イ
ィ
キ
ギ
シ
ジ
チ
ヂ
ニ
ヒ
ビ
ピ
ミ
リ
ウ
ゥ
ク
グ
ス
ズ
ツ
ヅ
ッ
ヌ
フ
ブ
プ
ム
ユ
ュ
ル
エ
ェ
ケ
ゲ
セ
ゼ
テ
デ
ヘ
ベ
ペ
メ
レ
オ
ォ
コ
ゴ
ソ
ゾ
ト
ド
ノ
ホ
ボ
ポ
モ
ヨ
ョ
ロ
ヲ
―
http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
예시)
- 中文 을 입력하시려면 zhongwen을 입력하시고 space를누르시면됩니다.
- 北京 을 입력하시려면 beijing을 입력하시고 space를 누르시면 됩니다.
А
Б
В
Г
Д
Е
Ё
Ж
З
И
Й
К
Л
М
Н
О
П
Р
С
Т
У
Ф
Х
Ц
Ч
Ш
Щ
Ъ
Ы
Ь
Э
Ю
Я
а
б
в
г
д
е
ё
ж
з
и
й
к
л
м
н
о
п
р
с
т
у
ф
х
ц
ч
ш
щ
ъ
ы
ь
э
ю
я
′
″
℃
Å
¢
£
¥
¤
℉
‰
$
%
F
₩
㎕
㎖
㎗
ℓ
㎘
㏄
㎣
㎤
㎥
㎦
㎙
㎚
㎛
㎜
㎝
㎞
㎟
㎠
㎡
㎢
㏊
㎍
㎎
㎏
㏏
㎈
㎉
㏈
㎧
㎨
㎰
㎱
㎲
㎳
㎴
㎵
㎶
㎷
㎸
㎹
㎀
㎁
㎂
㎃
㎄
㎺
㎻
㎽
㎾
㎿
㎐
㎑
㎒
㎓
㎔
Ω
㏀
㏁
㎊
㎋
㎌
㏖
㏅
㎭
㎮
㎯
㏛
㎩
㎪
㎫
㎬
㏝
㏐
㏓
㏃
㏉
㏜
㏆
RISS 인기검색어
https://www.riss.kr/link?id=A60115233
- 저자
- 발행기관
- 학술지명
- 권호사항
-
발행연도
2012
-
작성언어
Korean
- 주제어
-
등재정보
KCI등재
-
자료형태
학술저널
- 발행기관 URL
-
수록면
179-188(10쪽)
-
KCI 피인용횟수
5
- DOI식별코드
- 제공처
- 소장기관
-
0
상세조회 -
0
다운로드
부가정보
국문 초록 (Abstract)
악성코드의 탐지 및 분석 회피 기술 중 실행 압축 기술은 악성코드의 용량을 줄이고 분석가가 코드를 분석할 때 혼란을 주도록 코드를 변형하고 있다. 따라서 악성코드의 확산이 용이해지고 분석하는데 시간이 오래 걸려 신속한 대응이 어렵게 만들고 있다. 최근에는 이러한 실행 압축된 악성코드에 대응하기 위하여 실행 압축 해제 관련 연구가 진행되고 있다. 실행 압축 프로그램은 실행되면 실행 압축을 해제하게 된다. 실행 압축 해제 때 압축되어 있던 데이터가 해제 되면서 실행 압축 파일의 데이터가 변경되거나 추가되어 데이터의 변화가 생기게 된다. 이때 이러한 변화 때문에 실행 압축 파일의 엔트로피 값이 변화하게 된다. 실행 압축 해제가 끝나게 되면 이러한 데이터 변화가 끝나고 실제적인 프로그램이 수행되므로 엔트로피 값이 변화하지 않게 된다. 그러므로 이러한 성질을 이용하여 실행 압축 해제되는 시점을 찾게 되면 실행 압축 알고리즘에 상관없이 실행 압축을 해제 할 수 있게 된다. 본 논문에서는 실행 압축 파일의 압축 해제 때의 엔트로피 값 변화량을 보고 실행 압축 해제가 끝나는 시점을 판단하여 실행 압축을 해제하는 방법을 제안한다.
악성코드의 탐지 및 분석 회피 기술 중 실행 압축 기술은 악성코드의 용량을 줄이고 분석가가 코드를 분석할 때 혼란을 주도록 코드를 변형하고 있다. 따라서 악성코드의 확산이 용이해지고 분석하는데 시간이 오래 걸려 신속한 대응이 어렵게 만들고 있다. 최근에는 이러한 실행 압축된 악성코드에 대응하기 위하여 실행 압축 해제 관련 연구가 진행되고 있다. 실행 압축 프로그램은 실행되면 실행 압축을 해제하게 된다. 실행 압축 해제 때 압축되어 있던 데이터가 해제 되면서 실행 압축 파일의 데이터가 변경되거나 추가되어 데이터의 변화가 생기게 된다. 이때 이러한 변화 때문에 실행 압축 파일의 엔트로피 값이 변화하게 된다. 실행 압축 해제가 끝나게 되면 이러한 데이터 변화가 끝나고 실제적인 프로그램이 수행되므로 엔트로피 값이 변화하지 않게 된다. 그러므로 이러한 성질을 이용하여 실행 압축 해제되는 시점을 찾게 되면 실행 압축 알고리즘에 상관없이 실행 압축을 해제 할 수 있게 된다. 본 논문에서는 실행 압축 파일의 압축 해제 때의 엔트로피 값 변화량을 보고 실행 압축 해제가 끝나는 시점을 판단하여 실행 압축을 해제하는 방법을 제안한다.
다국어 초록 (Multilingual Abstract)
Packing techniques, one of malicious code detection and analysis avoidance techniques, change code to reduce size and make analysts confused. Therefore, malwares have more time to spread out and it takes longer time to analyze them. Thus, these kind of unpacking techniques have been studied to deal with packed malicious code lately. Packed programs are unpacked during execution. When it is unpacked, the data inside of the packed program are changed. Because of these changes, the entropy value of packed program is changed. After unpacking, there will be no data changes; thus, the entropy value is not changed anymore. Therefore, packed programs could be unpacked finding the unpacking point using this characteristic regardless of packing algorithms. This paper suggests the generic unpacking mechanism using the method estimating the unpacking point through the variation of entropy values.
Packing techniques, one of malicious code detection and analysis avoidance techniques, change code to reduce size and make analysts confused. Therefore, malwares have more time to spread out and it takes longer time to analyze them. Thus, these kind o...
Packing techniques, one of malicious code detection and analysis avoidance techniques, change code to reduce size and make analysts confused. Therefore, malwares have more time to spread out and it takes longer time to analyze them. Thus, these kind of unpacking techniques have been studied to deal with packed malicious code lately. Packed programs are unpacked during execution. When it is unpacked, the data inside of the packed program are changed. Because of these changes, the entropy value of packed program is changed. After unpacking, there will be no data changes; thus, the entropy value is not changed anymore. Therefore, packed programs could be unpacked finding the unpacking point using this characteristic regardless of packing algorithms. This paper suggests the generic unpacking mechanism using the method estimating the unpacking point through the variation of entropy values.
목차 (Table of Contents)
- 요약
- ABSTRACT
- Ⅰ. 서론
- Ⅱ. 실행 압축 해제 방법
- Ⅲ. 제안 기법
- 요약
- ABSTRACT
- Ⅰ. 서론
- Ⅱ. 실행 압축 해제 방법
- Ⅲ. 제안 기법
- Ⅳ. 실험 내용
- Ⅴ. 결론
- 참고문헌
참고문헌 (Reference)
1 정구현, "엔트로피를 이용한 실행 압축 해제 기법 연구" 한국정보기술학회 7 (7): 232-238, 2009
2 한승원, "악성코드 포렌식을 위한 패킹 파일 탐지에 관한 연구" 한국정보처리학회 16 (16): 555-562, 2009
3 "malware"
4 Robert Lyda, "Usingentropy analysis to find encrypted andpacked malware" 5 (5): 40-45, 2007
5 "Skap. Using dual-mapping to evade automated unpacked"
6 Min Gyung Kang, "Renovo: A Hidden CodeExtractor for Packed Executables" 46-53, 2007
7 Paul Royal, "PolyUnpack: Automating the Hidden-Code Extraction of Unpack-ExecutingMalware" 289-300, 2006
8 Yang-seo Choi, "PE File Header Analysis-Based Packed PE File DetectionTechnique (PHAD)" 28-31, 2008
9 Martignoni, L., "OmniUnpack: Fast, Generic andSafe Unpacking of Malware" 431-441, 2007
10 "OllyDbg"
1 정구현, "엔트로피를 이용한 실행 압축 해제 기법 연구" 한국정보기술학회 7 (7): 232-238, 2009
2 한승원, "악성코드 포렌식을 위한 패킹 파일 탐지에 관한 연구" 한국정보처리학회 16 (16): 555-562, 2009
3 "malware"
4 Robert Lyda, "Usingentropy analysis to find encrypted andpacked malware" 5 (5): 40-45, 2007
5 "Skap. Using dual-mapping to evade automated unpacked"
6 Min Gyung Kang, "Renovo: A Hidden CodeExtractor for Packed Executables" 46-53, 2007
7 Paul Royal, "PolyUnpack: Automating the Hidden-Code Extraction of Unpack-ExecutingMalware" 289-300, 2006
8 Yang-seo Choi, "PE File Header Analysis-Based Packed PE File DetectionTechnique (PHAD)" 28-31, 2008
9 Martignoni, L., "OmniUnpack: Fast, Generic andSafe Unpacking of Malware" 431-441, 2007
10 "OllyDbg"
11 Guhyeon Jeong, "Generic Unpacking using EntropyAnalysis" 98-105, 2010
12 Thomas M. Cover, "Elements of Information Theory : SecondEdition" Wiley Interscience 1-16, 2006
13 Silvio Cesare, "Classificationof Malware Using Structuredcontrol Flow" 107 : 61-70, 2010
14 Roberto Perdisci, "Classification of packedexecutables for accurate computer virusdetection" 29 (29): 1941-1946, 2008
15 "AV-Test"
동일학술지(권/호) 다른 논문
-
- 한국정보보호학회
- 김이룩(Iluk Kim)
- 2012
- KCI등재
-
3GPP LTE/SAE 네트워크에서의 인증 시그널링 부하에 대한 평가
- 한국정보보호학회
- 강성용(Seong-Yong Kang)
- 2012
- KCI등재
-
개인정보 오․남용 방지 및 보호를 위한 정보공유센터 프레임워크
- 한국정보보호학회
- 고유미(Yumi Ko)
- 2012
- KCI등재
-
게임 사이트의 계정과 비밀번호 유출 악성코드 분석을 통한 탐지 및 대응방안 연구
- 한국정보보호학회
- 이승원(SeungWon Lee)
- 2012
- KCI등재
분석정보
인용정보 인용지수 설명보기
학술지 이력
| 연월일 | 이력구분 | 이력상세 | 등재구분 |
|---|---|---|---|
| 2026 | 평가예정 | 재인증평가 신청대상 (재인증) | |
| 2020-01-01 | 평가 | 등재학술지 유지 (재인증) |  |
| 2017-01-01 | 평가 | 등재학술지 유지 (계속평가) | |
| 2013-01-01 | 평가 | 등재학술지 유지 (등재유지) | |
| 2010-01-01 | 평가 | 등재학술지 유지 (등재유지) | |
| 2008-01-01 | 평가 | 등재 1차 FAIL (등재유지) | |
| 2005-01-01 | 평가 | 등재학술지 선정 (등재후보2차) | |
| 2004-01-01 | 평가 | 등재후보 1차 PASS (등재후보1차) |  |
| 2003-01-01 | 평가 | 등재후보학술지 선정 (신규평가) | |
학술지 인용정보
| 기준연도 | WOS-KCI 통합IF(2년) | KCIF(2년) | KCIF(3년) |
|---|---|---|---|
| 2016 | 0.41 | 0.41 | 0.43 |
| KCIF(4년) | KCIF(5년) | 중심성지수(3년) | 즉시성지수 |
| 0.45 | 0.4 | 0.508 | 0.04 |
이 자료와 함께 이용한 RISS 자료
나만을 위한 추천자료
