Earticle

현재 위치 Home

2세대 PT(Processor Trace)를 이용한 동적 코드분석 방법 연구
A Study on Dynamic Code Analysis Method using 2nd Generation PT(Processor Trace)

첫 페이지 보기
  • 발행기관
    한국융합보안학회 바로가기
  • 간행물
    융합보안논문지 KCI 등재 바로가기
  • 통권
    제19권 제1호 (2019.03)바로가기
  • 페이지
    pp.97-101
  • 저자
    김현철
  • 언어
    한국어(KOR)
  • URL
    https://www.earticle.net/Article/A354945

※ 기관로그인 시 무료 이용이 가능합니다.
※ 학술발표대회집, 워크숍 자료집 중 4페이지 이내 논문은 '요약'만 제공되는 경우가 있으니, 구매 전에 간행물명, 페이지 수 확인 부탁 드립니다.

4,000원

원문정보

초록

영어
If the operating system's core file contains an Intel PT, the debugger can not only check the program state at the time of the crash, but can also reconfigure the control flow that caused the crash. We can also extend the execution trace scop e to the entire system to debug kernel panics and other system hangs. The second-generation PT, the WinIPT library, inc ludes an Intel PT driver with additional code to run process and core-specific traces through the IOCTL and registry mec hanisms provided by Windows 10 (RS5). In other words, the PT trace information, which was limited access only by the first generation PT, can be executed by process and core by the IOCTL and registry mechanism provided by the operatin g system in the second generation PT. In this paper, we compare and describe methods for collecting, storing, decoding an d detecting malicious codes of data packets in a window environment using 1/2 generation PT.
한국어
운영 체제의 코어에 Intel PT가 포함된 경우, 크래시 발생 시 디버거는 프로그램 상태를 검사할 수 있을 뿐만 아니라 크래 시를 발생시킨 제어 플로우를 재구성할 수 있다. 또한, 커널 패닉 및 기타 시스템 정지와 같은 상황을 디버그하기 위해 실행 트레이스 범위를 전체 시스템으로 확장할 수도 있다. 2세대 PT인 WinIPT 라이브러리는 Windows 10 (버전 1809/Redstone 5) 에서 제공하는 IOCTL 및 레지스트리 메커니즘을 통해 프로세스 별 및 코어 별 트레이스를 실행할 수 있는 추가 코드가 포함 된 Intel PT 드라이버를 포함하고 있다. 즉 기존 1세대 PT에서 비정규화된 방식으로만 제한적인 접근이 가능했던 PT 트레이 스 정보를 2세대 PT에서는 운영 체제에서 제공하는 IOCTL 및 레지스트리 메커니즘을 통해 프로세스 별 및 코어 별 트레이 스를 실행할 수 있게 되었다. 본 논문에서는 1/2세대 PT를 이용하여 윈도우 환경에서 PT 데이터 패킷의 수집·저장·디코딩 및 악성코드 검출을 위한 방법을 비교·설명하였다.

목차

요약
ABSTRACT
1. 서론
2. 1세대 PT와 활용
2.1 1세대 PT 개요
2.2 1세대 PT 활용
3. 2세대 PT와 활용
3.1 2세대 PT 개요
3.2 2세대 PT 활용
4. 결론
참고문헌

키워드

Tracing Processor Trace Flow Reconstruction Malicious Code Detection Flow Detection.

저자

  • 김현철 [ Hyuncheol Kim | 남서울대학교 컴퓨터소프트웨어학과 교수 ]

참고문헌

자료제공 : 네이버학술정보

간행물 정보

발행기관

  • 발행기관명
    한국융합보안학회 [Korea Information Assurance Society]
  • 설립연도
    2001
  • 분야
    공학>전자/정보통신공학
  • 소개
    본 학회는 사이버테러 및 정보전에 관한 학문연구ㆍ기술 개발ㆍ기반 구축을 도모하고 국내ㆍ외 관계기관과 학술교류와 정보교환을 통하여 회원 상호간의 전문지식을 배양하고, 궁극적으로는 국가 중요 정보기반구조를 보호함을 그 목적으로 한다.

간행물

  • 간행물명
    융합보안논문지 [Jouranl of Information and Security]
  • 간기
    연5회
  • pISSN
    1598-7329
  • 수록기간
    2001~2026
  • 등재여부
    KCI 등재
  • 십진분류
    KDC 005 DDC 005

이 권호 내 다른 논문 / 융합보안논문지 제19권 제1호

    피인용수 : 0(자료제공 : 네이버학술정보)

    함께 이용한 논문 이 논문을 다운로드한 분들이 이용한 다른 논문입니다.

      출처 : 네이버학술정보

        0개의 논문이 장바구니에 담겼습니다.

        페이지 저장
        소속기관 조회
        이용자님의 소속기관(단체)이 서비스에 가입되어 있는지 확인해 보십시오.
        기관회원에 소속되어 있는 이용자는 원문을 무료로 이용할 수 있습니다.