Earticle

다운로드

Mem-Shot : 악성코드 난독화 분석을 위한 API-Trigger 기반의 메모리 덤프 시스템 설계 및 구현
Mem-Shot : Design and Implementation of API-Trigger Driven Memory Dump System for Obfuscated Malware Analysis

  • 간행물
    한국차세대컴퓨팅학회 논문지 KCI 등재 바로가기
  • 권호(발행년)
    Vol.12 No.4 (2016.08) 바로가기
  • 페이지
    pp.23-32
  • 저자
    최상훈, 박기웅
  • 언어
    영어(ENG)
  • URL
    https://www.earticle.net/Article/A283317

원문정보

초록

한국어
최근 유포되는 악성코드에는 악성코드 분석을 방해하기 한 코드삽입, 난독화, 문자열 암호화 등 다양한 악성코드 분석회피 기술이 용되고 있다. 본 논문에서는 이러한 분석회피 기술이 용된 악성코드의 분석을 해, 가상머신 에 악성코드를 구동시킨 후 악성코드가 특정 API를 호출하면 정확한 시에 가상머신의 메모리 이미지를 빠르게 추 출 할 수 있는 악성코드 분석 시스템을 구하다. 악성코드에서 특정 API가 호출된 정확한 시에 메모리 덤 일을 얻을 수 있다면, 메모리분석을 통해 악성코드가 사용한 함수의 매개변수나 암호화 된 데이터 난독화가 해 제된 코드 정보를 얻을 수 있게 된다. 실험결과 악성코드가 API호출한 정확한 시에 메모리 덤를 할 수 있었고, 메모리 분석을 통해 분석회피 기술이 용된 악성코드로부터 숨겨진 문자열과 API 매개변수를 추출 할 수 있었다.
영어
As malware generation techniques have been advanced, malware authors utilize various malware analysis evasion techniques such as obfuscation, garbage code insertions and string encryption. To alleviate such problems, we designed and implemented a malware analysis system which is specialized in dumping memory of a virtual machine. Malware analysis based on memory dump is a promising way to deep dive into the obfuscated malwares. Our system makes it possible to take a memory snapshot at a time of a certain API called. Furthermore, it accelerated the memory dump. Consequently, users can extract hidden information such as encrypted data and functional parameters from the malware in a user friendly manner. According to our experiments, our system can detect such hidden strings and API arguments even with analysis evasion techniques.

목차

요약
 Abstract
 1. Introduction
 2. Related Work
  2.1 Memory Dump Tools
  2.2 Memory Analysis
 3. Design and Implementation of Mem-Shot
  3.1 Memory Dump Acceleration
 4. Performance Evaluation
  4.1 Performance of Memory dump
  4.2 Measurement of Semantic gap
  4.3 Experiment using a sample malware
 5. Conclusion
 References

저자

  • 최상훈 [ Sang-Hoon Choi | 공주대학교 산학협력단 ]
  • 박기웅 [ Ki-Woong Park | 세종대학교 정보보호학과 ] 교신저자

참고문헌

자료제공 : 네이버학술정보

    간행물 정보

    • 간행물
      한국차세대컴퓨팅학회 논문지 [THE JOURNAL OF KOREAN INSTITUTE OF NEXT GENERATION COMPUTING]
    • 간기
      격월간
    • pISSN
      1975-681X
    • 수록기간
      2005~2026
    • 등재여부
      KCI 등재
    • 십진분류
      KDC 566 DDC 004