• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2006.06a
• /
• pp.799-803
• /
• 2006

리눅스 메모리 덤프데이터 분석기술은 메모리에 저장되는 데이터를 찾는데 목적이 있고, 현재 수행중인 프로그램이나, 리눅스 커널의 오류 발생 원인을 찾는데 이용이 된다. 이 논문에서는 리눅스 메모리 덤프 방법과 메모리 덤프 데이터 분석 기술에 대하여 기존의 방법들을 조사한 결과를 설명한다. 메모리 덤프데이터 분석기술은 메모리에 저장되는 기본적인 데이터를 조사를 할 수 있고, 수행중인 프로그램을 분석하고, 이미 만들어진 시스템을 역으로 추적하여 애초의 문서나 설계기법 등의 자료를 얻어낼 수 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2014.04a
• /
• pp.429-430
• /
• 2014

쿠쿠 샌드박스(Cuckoo Sandbox)는 가상머신을 이용해 악성코드를 효율적으로 분석할 수 있는 도구이다. 가상머신에서 동작하기 때문에 악성코드에 거상머신 탐지기법(VM Detect)이 있다면, 분석을 하는데 어려움이 있다. 이러한 경우 악성코드를 분석하기 위해 실머신 기반에서 분석이 가능하도록 구현하고, 구현 과정에서 메모리 덤프(Memory Dump)문제가 존재한다. 이전 방식은 가상머신 소프트웨어들이 메모리 덤프 파일을 따로 만들고 해당 파일을 분석하였지만, 실머신에서는 메모리파일을 따로 가지지 않는다. 이러한 문제를 해결하기 위해 실머신에서는 어떻게 메모리덤프 문제를 해결할 수 있는지를 알아보고 덤프를 하였을 때, 가상머신과 실머신에서 어떤 차이점이 나타나는지 알아보고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2018.10a
• /
• pp.102-103
• /
• 2018

위성으로 송신하는 원격명령은 실시간 명령과 저장 명령, 메모리업로드 명령 등으로 구분된다. 저장 명령은 특정한 시간에 수행하는 절대시간 명령과 정해진 시간 간격에 따라 수행하는 상대시간 명령으로 구분할 수 있고, 절대시간 명령은 위성 본체에서 수행하는 명령과 탑재체에서 수행하는 명령으로 구분되고, 각각의 메모리 영역에 구분 저장된다. 지상으로부터 전송된 명령이 정상적으로 저장되었는지를 확인하기 위하여 메모리 덤프 명령을 통하여 해당 영역의 데이터를 전송받는다. 그런데 메모리 덤프로 받은 원시 데이터는 용량이 크고 연속적인 데이터 패턴으로 되어 있어 사용자가 바로 분석할 수 없으므로 별도의 파싱 프로그램이 요구된다. 본 논문은 위성으로부터 전송받은 임무명령 저장영역의 원시 데이터 내용을 사용자가 쉽게 분석할 수 있도록 하기 위해 개발된 파싱 프로그램에 대하여 서술한 것이다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.16 no.1
• /
• pp.87-96
• /
• 2006

In this paper, we examine general digital evidence collection process which is according to RFC3227 document[l], and establish specific steps for memory information collection. Besides, we include memory dump process to existing digital evidence collection process, and examine privacy information through dumping real user's memory and collecting pagefile which is part of virtual memory system. Especially, we discovered sensitive data which is like password and userID that exist in the half of pagefiles. Moreover, we suggest each analysis technique and computer forensic process for memory information and virtual memory.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.10a
• /
• pp.49-52
• /
• 2015

시스템 통합 테스팅 중 결함 위치 추정을 위한 메모리 정보 획득을 위해 SUT(System Under Test) 내에 상주하여 메모리 덤프를 수행하는 테스트 에이전트가 존재한다. 그러나 테스트 에이전트가 프로세서에 미치는 영향이 충분히 고려되지 않아 특정 상황에서 비정상적인 동작이 수행됨을 관찰되었다. 따라서 본 논문에서는 테스트 에이전트가 프로세서 성능에 미치는 영향을 파악하고 개선하기 위해 전송작업과 프로세서 부하의 모델을 구성, 가변적인 전송 에이전트, 그리고 손실 예상 패킷을 보상하는 알고리즘으로 전송 작업을 개선한다. 제안된 방법의 검증을 위해 차량 전장 제어기를 재현하여 메모리 덤프 전송 실험을 하였다. 결과로 데이터의 정상 전송을 확인하였으며, 기존 방법에 비해 30%의 테스트 시간 단축을 보였다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.27 no.4
• /
• pp.775-783
• /
• 2017

As interest in cloud computing grows, the number of users using cloud computing services is increasing. However, cloud computing technology has been steadily challenged by security concerns. Therefore, various security breaches are springing up to enhance the system security for cloud services users. In particular, research on detection of malicious VM (Virtual Machine) is actively underway through the introspecting virtual machines on the cloud platform. However, memory analysis technology is not used as a monitoring tool in the environments where multiple virtual machines are run on a single server platform due to obstructive monitoring overhead. As a remedy to the challenging issue, we proposes a computationally efficient instance memory introspection scheme to minimize the overhead that occurs in memory dump and monitor it through a partial memory monitoring based on the well-defined kernel memory map library.

• Journal of Korea Multimedia Society
• /
• v.12 no.8
• /
• pp.1120-1127
• /
• 2009

The commensurate number of the attacks and infringement targeting a vulnerability of the game service has been increasing constantly, due to the dramatic growth and expansion of the impact of the game industry. However, there exist no subsequent researches for the differentiated technology, which is to prevent the reverse function of the game service. Therefore, in this study, we examined the current status of infringement toward online game services which are provided in the market currently and designed the proper technical measures for a manipulation of the game service which is the most vulnerable part. We have encrypted an execution file and decrypted it in real time process. Furthermore, we conducted debugging, disassemble, and prevented a its own memory dump, also concealed the information to overcome the module dependency to preclude a manipulation.

• Review of KIISC
• /
• v.24 no.1
• /
• pp.39-44
• /
• 2014

악성코드는 다양해진 감염 경로를 통해 쉽게 노출될 수 있으며, 개인정보의 유출뿐만 아니라 봇넷을 이용한 DDoS 공격과 지능화된 APT 공격 등을 통해 심각한 보안 위협을 발생시키고 있다. 최근 악성코드들은 실행 후에는 메모리에서만 동작하는 방식으로 파일로 존재하지 않기 때문에 기존의 악성코드 탐지 기법으로 이를 찾기가 쉽지 않다. 이를 극복하고자 최근에는 물리 메모리 덤프를 포함하여 악성코드 분석 및 탐지 연구가 활발하게 진행되고 있다. 본 논문에서는 윈도우 시스템의 물리 메인 메모리에서 악성코드 탐지 기술에 대해 설명하고, 기존 개발된 물리 메모리 악성코드 탐지 도구에 대한 분석을 수행하여 도구별 악성코드 탐지 기능에 대한 특징을 설명한다. 물리 메모리 악성코드 탐지 도구의 분석 결과를 통해 기존 물리 메모리 악성코드 탐지 기술의 한계점을 제시하고, 향후 정확하고 효율적인 물리 메모리 악성코드 탐지의 기반 연구로 활용하고자 한다.

• Proceedings of the Korean Society of Broadcast Engineers Conference
• /
• 2008.02a
• /
• pp.103-106
• /
• 2008

물리 메모리 영역에는 증거로 활용될 수 있는 프로세스 정보와 이름, ID, 비밀 번호, 전자 메일 주소 등의 정보를 담고 있다. 또 용의자가 행위를 감추기 위해 안티 포렌식 기법을 사용하여 저장매체 상에서 완전 삭제한 파일의 잔여 데이터를 취득할 수 있는 가능성이 있다. 하드 디스크와 같은 저장 매체의 경우 증거 수집 절차시 Hash와 같은 무결성 보장 과정을 거쳐 복사본의 유효성 확인이 가능하지만 물리 메모리 영역의 경우 운용 중인 시스템에서 발생하는 운영체제와 응용 프로그램의 동작에 의한 지속적인 데이터의 변화로 무결성 및 동일한 대상에서 수집되었다는 것을 확인하기 어렵고 소프트웨어 기반의 수집은 시스템의 상태를 변화 시킨다. 본 논문에서는 물리 메모리 영역 수집 기법을 알아보고 IEEE1394의 특성을 이용한 하드웨어 기반 물리 메모리 영역 수집 도구를 구현하였다. 또 수집된 물리 메모리 덤프를 이용하여 물리 메모리에서 얻을 수 있는 정보를 확인하고 동일 대상의 메모리와 다른 대상의 메모리를 비교하여 그 차이를 확인한다.

• Journal of the Institute of Electronics Engineers of Korea TC
• /
• v.49 no.7
• /
• pp.71-79
• /
• 2012

As advances in computer technology, dissemination of smartphones and tablet PCs has increased and digital media has become easily accessible. The performance of computer hardware is improved and the form of hardware is changed, but basically the change in mechanism was not occurred. Typically, the data used in the program is resident in memory during the operation because of the operating system efficiency. So, these data in memory is accessible through the memory dumps or real-time memory analysis. The user's personal information or confidential data may be leaked by exploiting data; thus, the countermeasures should be provided. In this paper, we proposed the method that minimizes user's data leakage through finding the physical memory address of the process using virtual memory address, and initializing memory data of the process.