Journal of Advanced Navigation Technology (한국항행학회논문지)

The Korean Navigation Institute (한국항행학회)
권호 표지
DOI QR코드

DOI QR Code

A Study on Generic Unpacking to Prevent Zombie Client on Mobile Platform

좀비 클라이언트 차단을 위한 실행 압축 기술에 관한 연구

  • Ko, Jong-Bin (Division of Computer Engineering, Ajou University) ;
  • Lee, Sang-Ha (Department of Information and Communication, Dong Seoul University) ;
  • Shon, Tae-Shik (Department of Information and Computer Engineering, Ajou University)
  • 고종빈 (아주대학교 컴퓨터공학과) ;
  • 이상하 (동서울대학교 정보통신과) ;
  • 손태식 (아주대학교 정보컴퓨터공학부)
  • Received : 2013.07.30
  • Accepted : 2013.10.30
  • Published : 2013.10.30
Download PDF
⟨ Previous Next ⟩

Abstract

Packed technique makes difficult to respond quickly because the malicious-code is reduced size that easy to diffusion and changed code that make spend longer time for analysis. In this paper, we analysed the packing tool softwares and we proposed construction and detection methods of the packed technique for easy to analysis of the packed malicious code based on variation of entropy value.

다양한 악성코드 탐지 및 분석 회피 기술 중 실행 압축 기술은 악성코드의 용량을 줄이고 분석가가 코드를 분석할 때 혼란을 주도록 코드가 변형되기 때문에 악성코드의 확산이 용이해지고 분석하는데 시간이 오래 걸려 신속한 대응이 어렵게 만들고 있다. 본 논문에서는 실행 압축 도구들을 분석하고 엔트로피 값의 변화량을 기반으로 하는 실행 압축 기술 무력화 방법을 제안한다.

Keywords

References

  1. Virus Total. http://www.virustotal.com/
  2. WildList. http://www.wildlist.org
  3. PEID. http://www.peid.info
  4. AT4RE(Arab Team 4 Reverse Engineering). http://www.at4re.com
  5. Robert Lyda, James Hamrock, "Using Entropy Analysis to Find Encrypted and Packed Malware,"IEEE Security and Privacy, Vol. 5, no. 2, pp. 40-45, Mar/Apr, 2007.
  6. Thomas M. Cover and Joy A. Thomas, "Elements of Information Theory," Second Edition. Wiley Interscience, New York, NY, 2006.