• Proceedings of the Korean Information Science Society Conference
• /
• 2012.06a
• /
• pp.104-106
• /
• 2012

소프트웨어 버스마크 (Software Birthmark)는 프로그램 실행 파일로부터 프로그램의 고유한 정보를 추출하는 기법이다. 프로그램의 도용을 판별하기 위해 바이너리로부터 버스마크를 추출하여 원본 프로그램과의 유사도를 측정하거나 악성 코드 탐지에 사용된다. 본 논문에서는 그래프 기반 바이너리 구조 매칭기법을 기반으로 한 버스마크를 제안한다. 제안 기법은 원본 프로그램과 대상 프로그램 사이에서 함수와 함수, 기본 블록과 기본 블록의 매칭 방법을 개선함으로써, 기존 기법에 비해 강인성(Resilience)이 향상된 버스마크를 추출한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2016.10a
• /
• pp.426-428
• /
• 2016

컴퓨터 시스템은 악성 프로그램 또는 프로그램의 취약점을 통한 해커의 공격 등 위험에 항시 노출되어 있다. 따라서 이러한 컴퓨터 시스템에서 처리되는 보안적으로 중요한 데이터는 언제나 노출될 위험이 있다. 이 문제를 해결하기 위해 보안적으로 중요한 데이터의 처리 과정을 다른 프로그램 부분과 분리하여 다른 프로그램 부분의 취약점을 통해 해당 데이터까지 위험에 노출되는 것을 막으려는 연구들이 있다. 이러한 연구들에서 필요한 것은 보안적으로 중요한 데이터가 프로그램 상에서 처리되는 시작점을 찾고, 해당 데이터가 처리되는 부분을 분석하는 것이다. 본 연구에서는 그 중 첫 번째 문제를 자동적으로 풀기 위한 컴파일러 기반 분석 도구를 개발하였다.

• Review of KIISC
• /
• v.17 no.2
• /
• pp.45-50
• /
• 2007

윈도우즈 비스타(Windows Vista)는 용이성, 안전성, 연결성, 엔터테인먼트 기능의 향상을 기반으로 한다. 특히 사용자계정 제어, 악성 프로그램에 대한 보호 기능, 인터넷 익스플로러 7(Internet Explorer 7)의 보호 모드, Windows Defender 등의 제공으로 개선된 보안기능을 제공한다. 기존 응용 프로그램의 대부분은 관리자 권한만을 고려하여 설계 및 작성되었으므로 보안이 강화된 윈도우즈 비스타에서는 호환성에 대한 문제가 제기되었다. 본고에서는 윈도우즈 비스타로 인해 발생한 문제점을 해결하기 위해 새로운 플랫폼이라는 관점에서 대응책을 제안한다.

• KSCI Review
• /
• v.14 no.2
• /
• pp.255-262
• /
• 2006

A Malicious code is used to SMiShing disguised as finance mobile Vishing, using Phishing, Pharming mail, VoIP service etc. to capture of personal information. A Malicious code deletes in Anti-Virus Spyware removal programs. or to cure use. By the way, the Malicious cord which is parasitic as use a DLL Injection technique, and operate are Isass.exe, winlogon.exe. csrss.exe of the window operating system. Be connected to the process that you shall be certainly performed of an exe back, and a treatment does not work. A user forces voluntarily a process, and rebooting occurs, or a blue screen occurs, and Compulsory end, operating system everyone does. Propose a treatment way like a bird curing a bad voice code to use a DLL Injection technique to occur in these fatal results. Click KILL DLL since insert voluntarily an end function to Thread for a new treatment, and Injection did again the Thread which finish an action of DLL, and an end function has as control Thread, and delete. The cornerstone that the treatment way that experimented on at these papers and a plan to solve will become a researcher or the revolutionary dimension that faced of a computer virus, and strengthen economic financial company meeting Ubiquitous Security will become.

• Journal of the Korea Society of Computer and Information
• /
• v.19 no.1
• /
• pp.85-94
• /
• 2014

This paper studied the detection technique using file DNA-based behavior pattern analysis in order to minimize damage to user system by malicious programs before signature or security patch is released. The file DNA-based detection technique was applied to defend against zero day attack and to minimize false detection, by remedying weaknesses of the conventional network-based packet detection technique and process-based detection technique. For the file DNA-based detection technique, abnormal behaviors of malware were splitted into network-related behaviors and process-related behaviors. This technique was employed to check and block crucial behaviors of process and network behaviors operating in user system, according to the fixed conditions, to analyze the similarity of behavior patterns of malware, based on the file DNA which process behaviors and network behaviors are mixed, and to deal with it rapidly through hazard warning and cut-off.

• Journal of the Korea Society of Computer and Information
• /
• v.11 no.5 s.43
• /
• pp.251-258
• /
• 2006

A Malicious code is used to SMiShing disguised as finance mobile Vishing, using Phishing, Pharming mail, VoIP service etc. to capture of personal information. A Malicious code deletes in Anti-Virus Spyware removal programs, or to cure use. By the way, the Malicious cord which is parasitic as use a DLL Injection technique, and operate are Isass.exe, winlogon.exe, csrss.exe of the window operating system. Be connected to the process that you shall be certainly performed of an exe back, and a treatment does not work. A user forces voluntarily a process, and rebooting occurs, or a blue screen occurs, and Compulsory end, operating system everyone does. Propose a treatment way like a bird curing a bad voice code to use a DLL Injection technique to occur in these fatal results. Click KILL DLL since insert voluntarily an end function to Thread for a new treatment, and Injection did again the Thread which finish an action of DLL, and an end function has as control Thread, and delete. The cornerstone that the treatment wav that experimented on at these papers and a plan to solve will become a researcher of the revolutionary dimension that faced of a computer virus, and strengthen economic financial company meeting Ubiquitous Security will become.

• Journal of Internet of Things and Convergence
• /
• v.9 no.1
• /
• pp.1-7
• /
• 2023

Cases in which personal terminals or servers are infected by ransomware are rapidly increasing. Ransomware uses a self-developed encryption module or combines existing symmetric key/public key encryption modules to illegally encrypt files stored in the victim system using a key known only to the attacker. Therefore, in order to decrypt it, it is necessary to know the value of the key used, and since the process of finding the decryption key takes a lot of time, financial costs are eventually paid. At this time, most of the ransomware malware is included in a hidden form in binary files, so when the program is executed, the user is infected with the malicious code without even knowing it. Therefore, in order to respond to ransomware attacks in the form of binary files, it is necessary to identify the encryption module used. Therefore, in this study, we developed a mechanism that can detect and identify by reverse analyzing the encryption module applied to the malicious code hidden in the binary file.

• Review of KIISC
• /
• v.16 no.2
• /
• pp.30-36
• /
• 2006

최근 정보보호분야는 공격기술이 방어기술보다 더 뛰어난 상태이며, 이는 사회공학, 악성코드, 제로데이 공격 등으로 인하여 정보보호 솔루션을 아무리 이용하여도 막을 수 없는 것이다. 그러므로 정보보호를 모든 참여자들이 생활화하기 위한 정보보호인식제고 프로그램 효율적으로 진행하기 위한 방안을 기술한다.

• The Journal of the Korea Contents Association
• /
• v.9 no.4
• /
• pp.131-141
• /
• 2009

An increasing variety of malware, such as worms, spyware and adware, threatens both personal and business computing. Remotely controlled bot networks of compromised systems are growing quickly. This paper proposes an intrusion detection system based outflow traffic analysis. Many research efforts and commercial products have focused on preventing intrusion by filtering known exploits or unknown ones exploiting known vulnerabilities. Complementary to these solutions, the proposed IDS can detect intrusion of unknown new mal ware before their signatures are widely distributed. The proposed IDS is consists of a outflow detector, user monitor, process monitor and network monitor. To infer user intent, the proposed IDS correlates outbound connections with user-driven input at the process level under the assumption that user intent is implied by user-driven input. As a complement to existing prevention system, proposed IDS decreases the danger of information leak and protects computers and networks from more severe damage.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2001.04a
• /
• pp.425-428
• /
• 2001

알려지지 않은 악성 코드의 수행을 막는 방법으로 프로그램의 실행 환경을 제한하는 '샌드박스' 기법이 많이 쓰여져 왔다. 코드의 비정상 행위를 탐지하는 이 방식은 얼마나 다양한 샌드박스들을 두는가에 따라 적용성(configurability)과 편리성(ease of use) 간의 양면성 (trade-off)을 가진다. 기존의 MAPbox는 이 두 가지를 동시에 만족시키기 위해 프로그램의 종류별로 샌드박스를 두는 클래스별 샌드박스 적용 기법을 사용한다[3]. 그러나, 이 방법은 정적으로 클래스들이 결정되므로 적용성에 한계가 있다. 본 논문에서는 MAPbox의 개념에 동적 클래스 생성 기능을 추가함으로써 적용성을 높이는 기법을 소개하고 실제로 구현한다. MAPbox에 비해 적용성이 높아진 예로 MAPbox에서는 정상행위이지만 비정상행위로 판단되는 경우가 제안된 기법을 통해 올바르게 판단됨을 보인다.