한국정보과학회:학술대회논문집 (Proceedings of the Korean Information Science Society Conference)
- 한국정보과학회 2007년도 가을 학술발표논문집 Vol.34 No.2 (C)
- /
- Pages.546-551
- /
- 2007
- /
- 1598-5164(pISSN)
Windows PE 파일의 임포트 테이블에 기반한 소프트웨어 버스마킹(Birthmarking) 기법
A Software Birthmark of Windows PE File Based on Import Table
- 박희완 (한국과학기술원 전자산학과 전산학, 첨단정보기술 연구센터) ;
- 임현일 (한국과학기술원 전자산학과 전산학, 첨단정보기술 연구센터) ;
-
최석우
(한국과학기술원 전자산학과 전산학, 첨단정보기술 연구센터)
;
-
한태숙
(한국과학기술원 전자산학과 전산학, 첨단정보기술 연구센터)
- Park, Hee-Wan (Division of Computer Science and Advanced Information Technology Research Center(AITrc). Korea Advanced Institute of Science and Technology) ;
- Lim, Hyun-Il (Division of Computer Science and Advanced Information Technology Research Center(AITrc). Korea Advanced Institute of Science and Technology) ;
-
Choi, Seok-Woo
(Division of Computer Science and Advanced Information Technology Research Center(AITrc). Korea Advanced Institute of Science and Technology)
;
-
Han, Tai-Sook
(Division of Computer Science and Advanced Information Technology Research Center(AITrc). Korea Advanced Institute of Science and Technology)
- 발행 : 2007.10.26
초록
소프트웨어 버스마크는 프로그램을 식별하는데 사용될 수 있는 프로그램의 고유한 특징을 말한다. 본 논문에서는 windows PE(Portable Executable) 파일의 API에 대한 정보를 가지는 임포트 테이블에 기반한 프로그램 버스마킹 기법을 제안한다. 버스마크의 신뢰도를 높이기 위한 방법으로 대부분의 Windows 프로그램에서 사용되는 범용의 API는 버스마크에서 제외시키고 프로그램 개개의 특성을 나타낼 수 있는 특화된 API에 초점을 맞추어서 비교하는 방법을 사용한다. 본 논문에서 제안한 버스마킹 기법을 평가하기 위해서 다양한 카테고리의 Windows 프로그램에 대해서 실험을 하였다. 신뢰도를 측정하기 위해서 같은 프로그램에 대해서 버전별로 비교를 하였고, 프로그램의 분류에 따라서 유사한 카테고리와 다른 카테고리에 대해서 비교를 하였다. 프로그램의 변환이나 난독화에도 견딜 수 있는 강인도(Resilience)를 평가하기 위해서 서로 다른 컴파일러를 사용하여 생성된 프로그램에 대해서 비교를 하였다. 실험 결과에서 본 논문에서 제안하는 버스마크가 프로그램의 특징을 충분히 표현하고 있음을 보여준다.
키워드