DOI QR코드

DOI QR Code

A Study on the Unpacking Algorithm based on Import Table

임포트 테이블 기반의 언패킹 알고리즘 연구

  • Min, Jae-Won (Dept of Electrical and Computer Engineering, Sungkyunkwan Univ.) ;
  • Kim, Ho-Yeon (Dept of Electrical and Computer Engineering, Sungkyunkwan Univ.) ;
  • Jung, Sung-Min (Dept of Electrical and Computer Engineering, Sungkyunkwan Univ.) ;
  • Chung, Tai-Myoung (School of Information Communication Engineering, Sungkyunkwan Univ.)
  • 민재원 (성균관대학교 전자전기컴퓨터공학과) ;
  • 김호연 (성균관대학교 전자전기컴퓨터공학과) ;
  • 정성민 (성균관대학교 전자전기컴퓨터공학과) ;
  • 정태명 (성균관대학교 정보통신공학부)
  • Published : 2012.04.26

Abstract

최근 악성코드들은 패킹을 하여 분석을 어렵게 한다. 패킹이란, 프로그램을 압축하거나 암호화를 해서 원래 의미를 알 수 없게 하는 과정을 뜻한다. 주로 압축을 해서 악성코드의 크기를 줄이거나, 분석시간을 지연시키기 위해 사용된다. 따라서 악성코드의 행동을 분석하고 시그니처를 생성하기 위해서는 언패킹이 필요하다. 하지만 계속해서 새로운 패커가 개발되고 다중 패킹된 악성코드들이 등장을 하면서, 언패킹을 수동으로 하거나 전용 언패커를 만드는 것은 무의미해졌다. 따라서, 본 논문에서는 범용적인 임포트 테이블 기반의 언패킹 알고리즘을 제안한다.

Keywords