An improved extraction technique of executable file from physical memory by analyzing file object

According to the intelligence of the malicious code to extract the executable file in physical memory is emerging as an import researh issue. In previous physical memory studies on executable file extraction which is targeting running files, they are not extracted as same as original file saved in disc. Therefore, we need a method that can extract files as same as original one saved in disc and also can analyze file-information loaded in physical memory. In this paper, we provide a method that executable file extraction by analyzing information of Windows kernel file object. Also we analyze the characteristic of physical memory loaded file data from the experiment and we demonstrate superiority because the suggested method can effectively extract more of original file data than the existing method.

파일 오브젝트 분석 기반 개선된 물리 메모리 실행 파일 추출 방법

악성코드의 지능화에 따라 물리 메모리에서 실행 파일을 추출하는 것이 중요한 연구 이슈로 부각되고 있다. 물리 메모리에서 파일 데이터를 추출하는 경우 일반적으로 프로그램 실행과정에서 사용 중인 파일 데이터를 추출하기 때문에 원본 파일 데이터가 추출되지 않는 문제점이 있다. 따라서 물리 메모리에 저장되는 파일 정보를 분석하고 이를 기반으로 디스크에 저장된 파일과 동일하게 추출하는 방법이 요구된다. 본 논문에서는 윈도우 파일 오브젝트 커널 정보 분석을 통한 실행 파일 데이터 추출 방법을 제시한다. 실험을 통해 물리 메모리에 저장되어있는 실행 파일 데이터 특징을 분석하고, 기존 방법과 비교하여 원본 파일 데이터를 효과적으로 추출함으로써 제안 방법의 우수함을 증명한다.