• Title/Summary/Keyword: 실행 은닉

Search Result 35, Processing Time 0.028 seconds

A Study on the Method for detecting Stealth Native API calls in User-mode (유저 모드 기반의 은닉된 네이티브 API 호출 탐지 기법 연구)

  • Choe, Sim Hyeon
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • 2018.10a
    • /
    • pp.264-267
    • /
    • 2018
  • 본 연구에서는 API 호출을 은닉할 수 있는 새로운 유형의 유저모드 기반 루트킷으로 Cuckoo Sandbox를 회피하는 기법과 이를 탐지하기 위한 연구를 한다. Cuckoo Sandbox의 행위 분석을 회피하기 위해 잠재적으로 출현 가능한 은닉된 코드 이미지 기반의 신종 루트킷 원리를 연구하고 탐지하기 위한 방안을 함께 연구한다. 네이티브 API 호출 코드 영역을 프로세스 공간에 직접 적재하여 네이티브 API를 호출하는 기법은 Cuckoo Sandbox에서 여전히 잠재적으로 행위 분석 회피가 가능하다. 본 연구에서는 은닉된 외부주소 호출 코드 영역의 탐지를 위해 프로세스의 가상메모리 공간에서 실행 가능한 페이지 영역을 탐색 후 코사인 유사도 분석으로 이미지 탐지 실험을 하였으며, 코드 영역이 맵핑된 정렬 단위의 4가지 실험 조건에서 평균 83.5% 유사도 탐지 결과를 확인하였다.

A Study of Research Issue about Behavior Extraction Technique for Evasive Malware (은닉형 악성코드 분석을 위한 행위 추출연구 동향)

  • Hwang, Ho;Moon, Dae-Sung;Kim, Ik-Kun
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • 2016.10a
    • /
    • pp.193-195
    • /
    • 2016
  • 오늘날의 백신은 일반적으로 시그니처 기반 탐지법을 이용한다. 시그니처 탐지기법은 악성코드의 특정한 패턴을 비교하여 효율적이고 오탐율이 낮은 기법이다. 하지만 알려지지 않은 악성코드와 난독화 기법이 적용된 악성코드를 분석하는데 한계가 있다. 악성코드를 실행하여 나타나는 행위를 분석하는 동적분석 방법은 특정한 조건에서만 악성행위를 나타내는 은닉형 악성코드(Evasive Malware)를 탐지하는 데 한계를 지닌다. 본 논문에서는 은닉형 악성코드에 적용된 기법에 관하여 소개하고 나아가 이를 탐지하기 위한 방법에 관한 기술동향을 소개한다.

A Study of Multiple Compression for Malicious Code Execution and Concealment (악성코드 실행과 은닉을 위한 다중 압축 연구)

  • Yi, Jeong-Hoon;Park, Dea-Woo
    • Proceedings of the Korean Institute of Information and Commucation Sciences Conference
    • /
    • 2010.05a
    • /
    • pp.299-302
    • /
    • 2010
  • Recently, the malicious code is not easily detectable in the vaccine for the virus, malicious code as a compressed file by modulation pattern is the tendency to delay. Among the many antivirus engines on the market a compressed file that can be modulated by malicious code, and test whether the pattern will need to know. We cover a multi-compressed files, malicious code modulated secreted by examining patterns of test engine is being detected is through a computer simulation. Analysis of secreted activities of malicious code and infect the host file tampering with the system driver files and registry, it gets registered is analyzed. this study will contribute hidden malicious code inspection and enhance vaccine efficacy in reducing the damage caused by malicious code.

  • PDF

An effective detection method for hiding data in compound-document files (복합문서 파일에 은닉된 데이터 탐지 기법에 대한 연구)

  • Kim, EunKwang;Jeon, SangJun;Han, JaeHyeok;Lee, MinWook;Lee, Sangjin
    • Journal of the Korea Institute of Information Security & Cryptology
    • /
    • v.25 no.6
    • /
    • pp.1485-1494
    • /
    • 2015
  • Traditionally, data hiding has been done mainly in such a way that insert the data into the large-capacity multimedia files. However, the document files of the previous versions of Microsoft Office 2003 have been used as cover files as their structure are so similar to a File System that it is easy to hide data in them. If you open a compound-document file which has a secret message hidden in it with MS Office application, it is hard for users who don't know whether a secret message is hidden in the compound-document file to detect the secret message. This paper presents an analysis of Compound-File Binary Format features exploited in order to hide data and algorithms to detect the data hidden with these exploits. Studying methods used to hide data in unused area, unallocated area, reserved area and inserted streams led us to develop an algorithm to aid in the detection and examination of hidden data.

Performance Analysis of Optimal Neural Network structural BPN based on character value of Hidden node (은닉노드의 특징 값을 기반으로 한 최적신경망 구조의 BPN성능분석)

  • 강경아;이기준;정채영
    • Journal of the Korea Society of Computer and Information
    • /
    • v.5 no.2
    • /
    • pp.30-36
    • /
    • 2000
  • The hidden node plays a role of the functional units that classifies the features of input pattern in the given question. Therefore, a neural network that consists of the number of a suitable optimum hidden node has be on the rise as a factor that has an important effect upon a result. However there is a problem that decides the number of hidden nodes based on back-propagation learning algorithm. If the number of hidden nodes is designated very small perfect learning is not done because the input pattern given cannot be classified enough. On the other hand, if designated a lot, overfitting occurs due to the unnecessary execution of operation and extravagance of memory point. So, the recognition rate is been law and the generality is fallen. Therefore, this paper suggests a method that decides the number of neural network node with feature information consisted of the parameter of learning algorithm. It excludes a node in the Pruning target, that has a maximum value among the feature value obtained and compares the average of the rest of hidden node feature value with the feature value of each hidden node, and then would like to improve the learning speed of neural network deciding the optimum structure of the multi-layer neural network as pruning the hidden node that has the feature value smaller than the average.

  • PDF

A Design of Fair Blind Signatures Protocol using PVNIOT (PVNIOT를 적용한 공정한 은닉 서명 프로토콜 설계)

  • 김상춘;권기현
    • Convergence Security Journal
    • /
    • v.3 no.2
    • /
    • pp.33-40
    • /
    • 2003
  • The biggest problem for the oblivious transfer protocol is the rapid increasement of network traffic and computational complexity if the protocol is used as a sub-protocol compare to the case that when it is used as a standalone protocol. To fix such problems, in this paper, we propose a verifiable Non-interactive OT protocol that reduces the network traffic and computational complexity by preprocessing the necessary computations when the network traffic is low. The proposed protocol uses third root mechanism instead of square root mechanism that is used for the Fiat-Shamir signature mechanism and also uses 1-out-of-2 oblivious transfer based on signature mechanism. We also analyze the proposed protocol by comparing to the Lein Harn, YNIOT protocols.

  • PDF

Optimal Structures of a Neural Network Based on OpenCV for a Golf Ball Recognition (골프공 인식을 위한 OpenCV 기반 신경망 최적화 구조)

  • Kim, Kang-Chul
    • The Journal of the Korea institute of electronic communication sciences
    • /
    • v.10 no.2
    • /
    • pp.267-274
    • /
    • 2015
  • In this paper the optimal structure of a neural network based on OpenCV for a golf ball recognition and the intensity of ROI(Region Of Interest) are calculated. The system is composed of preprocess, image processing and machine learning, and a learning model is obtained by multi-layer perceptron using the inputs of 7 Hu's invariant moments, box ration extracted by vertical and horizontal length or ${\pi}$ calculated by area of ROI. Simulation results show that optimal numbers of hidden layer and the node of neuron are selected to 2 and 9 respectively considering the recognition rate and running time, and optimal intensity of ROI is selected to 200.

A Parallel Speech Recognition System based on Hidden Markov Model (은닉 마코프 모델 기반 병렬음성인식 시스템)

  • Jeong, Sang-Hwa;Park, Min-Uk
    • Journal of KIISE:Computer Systems and Theory
    • /
    • v.27 no.12
    • /
    • pp.951-959
    • /
    • 2000
  • 본 논문의 병렬음성인식 모델은 연속 은닉 마코프 모델(HMM; hidden Markov model)에 기반한 병렬 음소인식모듈과 계층구조의 지식베이스에 기반한 병렬 문장인식모듈로 구성된다. 병렬 음소인식 모듈은 수천개의 HMM을 병렬 프로세서에 분산시킨 수, 할당된 HMM에 대한 출력확률 계산과 Viterbi 알고리즘을 담당한다. 지식베이스 기반 병렬 문장인식모듈은 음소모듈에서 공급되는 음소열과 지안하는 병렬 음성인식 알고리즘은 분산메모리 MIMD 구조의 다중 트랜스퓨터와 Parsytec CC 상에 구현되었다. 실험결과, 병렬 음소인식모듈을 통한 실행시간 향상과 병렬 문장인식모듈을 통한 인식률 향상을 얻을 수 있었으며 병렬 음성인식 시스템의 실시간 구현 가능성을 확인하였다.

  • PDF

Design and Implementation of a Tool for Breaking static analysis of Android API Based on Java Reflection (자바 리플렉션 기반의 안드로이드 API 정적 분석무력화 도구의 설계 및 구현)

  • Park, Heewan;Lee, Joo-Hyuk
    • Proceedings of the Korean Society of Computer Information Conference
    • /
    • 2014.01a
    • /
    • pp.99-102
    • /
    • 2014
  • 리플렉션은 자바 언어의 기능 중 하나로, 자바 프로그램을 실행해서 해당 프로그램을 조사하거나 내부의 동작 구조를 조작할 수 있다. 리플렉션을 사용하게 되면 자바 소스의 난독화 뿐만 아니라 정적 분석 도구의 API 호출 탐지를 방해하게 되어 분석 결과의 정확도를 떨어뜨리게 된다. 만약 이 특성을 악용해 악성 앱 제작자가 특정 API 메소드 호출을 은닉하는 목적으로 사용한다면 정적 분석에 의존하는 기존 분석 도구들이 API 메소드 호출을 탐지하기 어렵기 때문에 큰 위협이 될 수 있다. 본 연구에서는 안드로이드 환경에서 표본 어플리케이션에 직접 설계한 도구를 이용하여 API 메소드에 리플렉션을 적용하고, 원본 소스와 리플렉션 후 디컴파일된 소스를 비교하여 API 메소드 호출이 리플렉션을 통해서 은닉 가능함을 보여준다.

  • PDF

Design and Implementation of An Auto-Conversion Tool for Android API Obfuscation Based on Java Reflection. (자바 리플렉션 기반의 안드로이드 API 난독화를 위한 자동 변환 도구의 설계 및 구현)

  • Lee, Joo-Hyuk;Park, Heewan
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • 2014.04a
    • /
    • pp.487-490
    • /
    • 2014
  • 리플렉션은 자바 프로그램을 실행하여 객체 내부의 모든 요소를 조사하거나 호출 혹은 조작할 수 있는 자바 언어의 한 기능이다. 한 클래스 내부의 메소드에 리플렉션을 적용하여 호출하게 되면 String형의 메소드 이름으로 간접 호출하기에 정적 분석 도구의 API 호출 탐지를 방해하게 되어 분석결과의 정확도를 떨어뜨릴 수 있고, 또한 일반적인 호출보다 복잡한 절차를 거치게 되어 소스 자체의 난독화 효과를 갖게 된다. 또한 디컴파일러의 역공학 분석을 어렵게 만드는 장점도 있다. 이 특성을 이용한다면 안드로이드 환경에서 특정 API를 은닉하여 개인정보를 누출하도록 악용하거나 디컴파일러 이용을 방지하는 데 활용될 수 있다. 본 연구에서는 안드로이드 환경에서 직접 설계한 도구와 표본 앱을 이용하여 API 메소드에 리플렉션을 적용하고, 원본 소스와 리플렉션 후 디컴파일된 소스를 비교하여 API 호출이 리플렉션을 통해서 은닉 가능함을 보여준다.