• Journal of KIISE
• /
• v.42 no.1
• /
• pp.44-53
• /
• 2015

Control flow information is useful in the analysis and comparison of programs. Virtualization-obfuscation hides control structures of the original program by transforming machine instructions into bytecode. Direct examination of the resulting binary reveals only the structure of the interpreter. Recovery of the original instructions requires knowledge of the virtual machine architecture, which is randomly generated and hidden. In this paper, we propose a method to reconstruct original control flow using only traces generated from the obfuscated binary. We consider traces as strings and find an automaton that represents the strings. State transitions in the automaton correspond to the control transfers in the original program. We have shown the effectiveness of our method with commercial obfuscators.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.30 no.6
• /
• pp.1043-1052
• /
• 2020

Signature-based malicious code detection methods share a common limitation; it is very hard to detect modified malicious codes or new malware utilizing zero-day vulnerabilities. To overcome this limitation, many studies are actively carried out to classify malicious codes using N-gram. Although they can detect malicious codes with high accuracy, it is difficult to identify malicious codes that uses very short codes such as Spectre. We propose a function level N-gram comparison algorithm to effectively identify the Spectre binary. To test the validity of this algorithm, we built N-gram data sets from 165 normal binaries and 25 malignant binaries. When we used Random Forest models, the model performance experiments identified Spectre malicious functions with 99.99% accuracy and its f1-score was 92%.

• Proceedings of the Korean Information Science Society Conference
• /
• 2012.06a
• /
• pp.104-106
• /
• 2012

소프트웨어 버스마크 (Software Birthmark)는 프로그램 실행 파일로부터 프로그램의 고유한 정보를 추출하는 기법이다. 프로그램의 도용을 판별하기 위해 바이너리로부터 버스마크를 추출하여 원본 프로그램과의 유사도를 측정하거나 악성 코드 탐지에 사용된다. 본 논문에서는 그래프 기반 바이너리 구조 매칭기법을 기반으로 한 버스마크를 제안한다. 제안 기법은 원본 프로그램과 대상 프로그램 사이에서 함수와 함수, 기본 블록과 기본 블록의 매칭 방법을 개선함으로써, 기존 기법에 비해 강인성(Resilience)이 향상된 버스마크를 추출한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2006.05a
• /
• pp.1195-1198
• /
• 2006

기존의 컴퓨터 시스템에서는 인터넷의 대표적인 통신 프로토콜인 TCP/IP 가 호스트 CPU 에서 처리되는데, 이는 호스트 CPU 에 많은 부하(load)를 발생시켜 전체 시스템의 성능을 저하시키는 문제를 야기한다. 최근 이러한 문제점을 해결하는 방안으로서 네트워크 어댑터에서 TCP/IP 를 처리하는 TOE(TCP/IP Offload Engine)에 대한 연구가 활발히 진행되고 있다. 이러한 TOE 가 성공적으로 컴퓨터 시스템에 적용되는 위해서는 이를 지원하는 운영체제용 커널 모듈의 개발이 필요하며, 커널 모듈은 기존의 TCP/IP 를 위한 소켓 인터페이스를 바이너리 수준에서 호환성을 제공해야 한다. 따라서, 본 논문에서는 Linux 시스템에서 소켓 인터페이스에 대한 바이너리 수준의 호환성을 제공하는 TOE 용 커널 모듈을 제안하고 개발하였다. 또한, 실험의 통하여 TOE 커널 모듈이 CPU 에 부하를 거의 발생시키지 않음을 확인하였다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2013.05a
• /
• pp.494-496
• /
• 2013

In this paper, we introduce a technique for delayed deallocation of temporary register allocation. We achieve faster binary translation that is used in the context of register allocation. By delaying deallocation of the temporary register containing the value, it is preserved until the next instruction fetched. If subsequent instruction does not require the value again, binary translator deallocate and release the temporary register at the first stage of the next instruction.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2016.05a
• /
• pp.755-758
• /
• 2016

In this paper, binary in the program function is to be called binary explain the function in any way to call with in the binary. And the functions required during the call to the elements and their dynamic links in the compilation process and its elements and C-language file describes the concept of 'linker' that connects, and static links and dynamic link Compare analysis differences. Also Do an experiment on Return To Dynamic Linker exploit.

• Journal of The Institute of Information and Telecommunication Facilities Engineering
• /
• v.1 no.2
• /
• pp.96-106
• /
• 2002

초고속 정보망의 급속한 보급과 무선 이동 통신시장의 팽창은 인터넷 사용자의 급증을 초래하였고, 이에 따른 댁내의 각종 정보기기와 가전기기를 인터넷으로 연결해주는 홈 네트워크의 필요성도 크게 부각되고 있다. 특히 한국은 아파트를 중심으로 한 대규모 주거단지가 많아 홈 네트워크 보급의 촉진제가 되고 있는 반면 동시에 이에 따른 여러 가지 문제점들을 내포하고 있다. 근래 확산되고 있는 사이버 아파트가 좋은 예이다. 홈 네트워킹 기술은 디지털 가전기기간의 정보공유를 가능하게 하며, 특히 무선 흠 네트워킹 기술은 21세기 정보통신 산업의 중요 제품군의 하나로 주목 받고 있다. 본 논문은 홈 네트워킹 기술의 현황을 소개하고, 홈 네트워크에 적합한 새로운 무선 기술인 바이너리 CDMA기술을 설명하고, 바이너리 CDMA 기반의 무선 홈 네트워크 표준화 활동을 소개한다.

• Journal of the Korea Computer Industry Society
• /
• v.3 no.8
• /
• pp.963-980
• /
• 2002

Software reengineering is making various research for solutions against problem of maintain existing systems. Reengineering has a meaning of development of software on exizting systems through the reverse engineering auf forward engineering. Most of the important concepts used in reengineering is composition that is restructuring of the existing objects. Is there a compiler that can compile a program written in a traditional procedural language (like C or Pascal) and generate a Java bytecode, rather than an executable code that runs oかy on the machine it was compiled (such as an a.out file on a Unix machine)\ulcorner This type of compiler may be very handy for today's computing environment of heterogeneous networks. In this paper we present a software system that does this job at the binary-to-binary level. It takes the compiled binary code of a procedural language and translates it into Java bytecode. To do this, we first translate into an assembler code called Jasmin [7] that is a human-readable representation of Java bytecode. Then the Jasmin assembler converts it into real Java bytecode. The system is not a compiler because it does not start at the source level. We believe this kind of translator is even more useful than a compiler because most of the executable code that is available for sharing does not come with source programs. Of course, it works only if the format of the executable binary code is known. This translation process consists of three major stages: (1) analysis stage that identifies the language constructs in the given binary code, (2) initialization stage where variables and objects are located, classified, and initialized, and (3) mapping stage that maps the given binary code into a Jasmin assembler code that is then converted to Java bytecode.

• Proceedings of the Korean Institute of Navigation and Port Research Conference
• /
• 2022.11a
• /
• pp.67-69
• /
• 2022

자율운항 선박의 모니터링을 위한 데이터는 센서신호와 같은 텍스트 형태의 데이터와 이미지와 같은 바이너리 데이터로 나눌수 있다. 선박의 위성 통신환경 특성상 네트워크 속도 및 대역폭이 제한적이므로, 효율적인 전송 방법이 필요하며, 이를 위해서는 고용량의 이미지 데이터를 수집하고 처리하는 과정의 분석과 실제 선박의 데이터 분석이 필요하였다. 이를 토대로 선박의 통신환경을 분석하고 개선방향을 모색하고자 하였다.

• 발명특허
• /
• v.35 no.11
• /
• pp.32-41
• /
• 2010