정보처리학회논문지C (The KIPS Transactions:PartC)

한국정보처리학회 (Korea Information Processing Society)
권호 표지
DOI QR코드

DOI QR Code

악성코드 포렌식을 위한 패킹 파일 탐지에 관한 연구

Packed PE File Detection for Malware Forensics

  • 한승원 (고려대학교 정보경영공학전문대학원) ;
  • 이상진 (고려대학교 정보경영공학전문대학원)
  • 발행 : 2009.10.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

악성코드 사고 조사에서 가장 중요한 것은 신속하게 악성코드를 탐지하고 수집하는 것이다. 기존의 조사 방법은 시그니쳐 기반의 안티바이러스 소프트웨어를 이용하는 것이다. 시그니쳐 기반의 탐지는 실행파일 패킹, 암호화 등을 통해 쉽게 탐지를 회피할 수 있다. 그렇기 때문에 악성코드 조사에서 패킹을 탐지하는 것도 중요한 일이다. 패킹탐지는 패킹 시그니쳐 기반과 엔트로피 기반의 탐지 방법이 있다. 패킹 시그니쳐기반의 탐지는 새로운 패킹을 탐지하지 못하는 문제가 있다. 그리고 엔트로피 기반의 탐지 방법은 오탐의 문제가 존재한다. 본 논문에서는 진입점 섹션의 엔트로피 통계와 패킹의 필수적인 특징인 'write' 속성을 이용하여 패킹을 탐지하는 기법을 제시한다. 그리고 패킹 PE 파일을 탐지하는 도구를 구현하고 도구의 성능을 평가한다.

In malware accident investigation, the most important thing is detection of malicious code. Signature based anti-virus softwares have been used in most of the accident. Malware can easily avoid signature based detection by using packing or encryption method. Because of this, packed file detection is also important. Detection methods can be divided into signature based detection and entropy based detection. Signature based detection can not detect new packing. And entropy based detection has a problem with false positive. We provides detection method using entropy statistics of entry point section and 'write' properties of essential characteristic of packed file. And then, we show packing detection tool and evaluate its performance.

키워드

참고문헌

  1. Nwokedi Idika, Aditya P. Mathur, “A Survey of Malware Detection Techniques”, Purdue University, 2007.
  2. Mihai Christodorescu, Somesh Jha, Johannes Kinder, “Software transformations to improve malware detection”, Journal in Computer Virology, Springer, pp.253-265, 2007. https://doi.org/10.1007/s11416-007-0059-8
  3. Fanglu Guo, Peter Ferrie, Tzi-cker Chiueh, “A Study of the Packer Problem and Its Solutions”, Recent Advances in Intrusion Detection, Springer, pp.98-115, 2008. https://doi.org/10.1007/978-3-540-87403-4_6
  4. T. Brosch and M. Morgenstern, “Runtime Packers: The Hidden Problem”, Proc. Black Hat USA, Black Hat, 2006; https://www.blackhat.com/presentations/bh-usa-06/BH-U S-06-Morgenstern.pdf
  5. Robert Lyda, James Hamrock, “Using entropy analysis to find encrypted and packed malware”, Security & Privacy, IEEE Vol.5, Issue2, pp.40-45, 2007. https://doi.org/10.1109/MSP.2007.48
  6. Yang-seo Choi, Ik-kyun Kim, Jin-tae Oh, Jae-cheol Ryou, “PE File Header Analysis-Based Packed PE File Detection Technique (PHAD),” International Symposium on Computer Science and its Applications, pp.28-31, 2008. https://doi.org/10.1109/CSA.2008.28
  7. Peid hompage, http://www.peid.info
  8. MRC homepage, http://www.mandiant.com/mrc/
  9. 이호동, Windows 시스템 실행파일의 구조와 원리, 한빛출판사, pp.1-30, 2005.
  10. James M. Aquilina, Eoghan Casey, Cameron H. Malin, “Malware Forensics - Investigating and Analyzing Malicious Code”, Syngress, pp.140-151, 2008.
  11. Thomas M. Cover and Joy A. Thomas, “Elements of Information Theory”, Second Edition. Wiley Interscience, pp. 1-16, 2006.
  12. Nenad Stojanovski, Marjan Gusev, Danilo Gligoroski, vein.J.Knapskog, “Bypassing Data Execution Preventioni on MicrosoftWindows XP SP2”, Second International Conference on Availability Reliability and Security(ARES '7), 2007. https://doi.org/10.1109/ARES.2007.54

피인용 문헌

  1. A Study on Unknown Malware Detection using Digital Forensic Techniques vol.24, pp.1, 2014, https://doi.org/10.13089/JKIISC.2014.24.1.107