삭제된 파일 조각에서 기계어 코드 유사도를 이용한 악의적인 파일 탐지에 대한 연구

류동주; 이석봉; 김민수

삭제된 파일 조각에서 기계어 코드 유사도를 이용한 악의적인 파일 탐지에 대한 연구

류동주

이석봉

김민수

Vol. 16, No. 6, pp. 81-94, 12월. 2006

10.13089/JKIISC.2006.16.6.81, Full Text:

Keywords: 컴퓨터 포렌식스, 파일 복구, 해킹, 명령어 시퀀스, Computer Forensics, file recovery, hacking, instruction sequence
Abstract

컴퓨터 포렌식스에서 파일 시스템은 사이버범죄의 증거를 수집할 수 있는 대상이다. 이에 따라 파일 시스템을 복구하고 중요한 정보를 찾는 방법은 많이 제시되고 있다. 그러나 조각난 파일이나 파일 지스러기 공간에서 악성 파일을 찾는 방법은 제시되고 있지 않다. 본 논문에서는 파일 조각이 악의적인 파일인지를 조사하는 방법을 제시한다. 조각 파일 내의 기계어 코드 비율을 검사하여 실행파일인지를 판단하고, 명령어 시퀀스 유사도를 비교하여 악성파일인지를 판단한다. 명령어 시퀀스 유사도를 검사하기 위해, HMM을 이용하여 악성 파일을 프로파일링하고 연속된 평가값을 비교하는 방법을 제시한다. 이러한 방법을 적용하여 적절한 임계 수준에서 버퍼오버플로우 공격 특성을 갖는 악의적인 실행 파일을 정확히 가려낼 수 있었다.

Statistics

Show / Hide Statistics

Cite this article

[IEEE Style]

D. Lee, S. Lee, M. Kim, "A Study of Detecting Malicious Files using Similarity between Machine Code in Deleted File Slices," Journal of The Korea Institute of Information Security and Cryptology, vol. 16, no. 6, pp. 81-94, 2006. DOI: 10.13089/JKIISC.2006.16.6.81.

[ACM Style]

Dong-Ju Lee, Suk-Bong Lee, and Min-Soo Kim. 2006. A Study of Detecting Malicious Files using Similarity between Machine Code in Deleted File Slices. Journal of The Korea Institute of Information Security and Cryptology, 16, 6, (2006), 81-94. DOI: 10.13089/JKIISC.2006.16.6.81.