메모리 실행영력 추적을 사용한 버퍼오버플로 악성코드 탐지기법

최성운; 조재익; 문종섭

메모리 실행영력 추적을 사용한 버퍼오버플로 악성코드 탐지기법

최성운

조재익

문종섭

Vol. 19, No. 5, pp. 189-194, 10월. 2009

10.13089/JKIISC.2009.19.5.189, Full Text:

Keywords: Buffer Overflow, API, Anti-Virus, NOP Detect
Abstract

버퍼오버플로 악성코드 탐지를 위해 대부분의 안티바이러스 프로그램은 공격코드의 시그너처만 비교 탐지하고 있어 알려지지 않은 공격코드에 대해 탐지하지 못하는 문제점이 있다. 본 논문에서는 공격코드에서 필수적으로 사용하는 API의 메모리 실행영역 추적기법을 이용하여 알려지지 않은 공격코드에 대한 탐지기법을 제안한다. 제윤기법 검증을 위해 7개의 샘플 공격코드를 선정하여 8개의 안티바이러스 프로그램과 비교 실험한 결과, 대부분의 안티바이러스 프로그램은 Stack영역만 감시하고 Heap영역은 감시하지 않아 제안적인 탐지만 가능하였다. 이에 대부분의 안티 바이러스 프로그램에서 탐지할 수 없는 공격코드를 제안 기법을 이용하여 탐지할 수 있음을 시뮬레이션 하였다.

Statistics

Show / Hide Statistics

Cite this article

[IEEE Style]

S. Choi, J. Cho, J. Moon, "Buffer Overflow Malicious Code Detection by Tracing Executable Area of Memory," Journal of The Korea Institute of Information Security and Cryptology, vol. 19, no. 5, pp. 189-194, 2009. DOI: 10.13089/JKIISC.2009.19.5.189.

[ACM Style]

Sung-Woon Choi, Jae-Ik Cho, and Jong-Sub Moon. 2009. Buffer Overflow Malicious Code Detection by Tracing Executable Area of Memory. Journal of The Korea Institute of Information Security and Cryptology, 19, 5, (2009), 189-194. DOI: 10.13089/JKIISC.2009.19.5.189.