• Proceedings of the Korea Information Processing Society Conference
• /
• 2010.11a
• /
• pp.1245-1248
• /
• 2010

최근 급격하게 증가하고 있는 악성코드에 비해 이들을 분석하기 위한 전문 인력은 매우 부족하다. 다행히 양산되는 악성코드의 대부분은 기존의 것을 수정한 변종이기 때문에 이들에 대해서는 자동분석시스템을 활용해서 분석하는 것이 효율적이다. 악성코드 자동분석에는 동적 분석과 정적 분석 모두가 사용되지만 정적 분석은 여러 가지 한계점 때문에 아직까지도 개선된 연구를 필요로 한다. 본 논문은 문자열 비교를 통해 두 실행파일에 대한 유사도를 측정함으로써 악성코드 판별 및 분류를 도와주는 정적 분석기법을 제안한다. 제안된 방법은 비교 문자열의 수와 종류에 따라 그 성능이 결정되기 때문에 문자열들을 정제하는 과정이 선행된다. 또한 유사도 측정에 있어서 악성코드가 가지는 문자열들의 특성을 고려한 개선된 비교방법을 보인다.

• The Journal of the Korea Contents Association
• /
• v.6 no.1
• /
• pp.160-169
• /
• 2006

This paper describes the data structure for program analysis and optimization of bytecode level. First we create an extended CFG(Control Flow Graph). Because of the special properties of bytecode, we must adaptively extend the existing control flow analysis techniques. We build basic blocks to create the CFG and create various data that can be used for optimization. The created CFG can be tested for comprehension and maintenance of Java bytecode, and can also be used for other analyses such as data flow analysis. This paper implements CTOC's CTOC-BR(CTOC-Bytecode tRanslator) for control flow analysis of bytecode level. CTOC(Classes To Optimized Classes) is a Java bytecode framework for optimization and analysis. This paper covers the first part of the CTOC framework. CTOC-BR is a tool that converts the bytecode into tree form for easy optimization and analysis of bytecode in CTOC.

• Proceedings of the Korean Nuclear Society Conference
• /
• 1996.11a
• /
• pp.363-368
• /
• 1996

경수로형 원자로의 중대사고 진행시 압력용기내 노심의 용융현상 및 재배치과정 등에 대한 MELCOR 코드내 노심손상모델의 예측 및 분석능력을 검증하고자 하였다. 이를 위하여 노심손상 모의실험중 하나인 독일의 KfK에서 실시된 CORA-13 실험을 선정한 후 이 실험을 MELCOR 1.8.2 코드를 이용하여 계산하였다. 실험결과와 계산결과를 비교분석하고 또한, MELCOR 코드에 대한 민감도분석을 수행함으로써 MELCOR 코드내 손상된 노심의 거동에 대한 열수력모델들을 검증하였다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.19 no.2
• /
• pp.83-92
• /
• 2009

As the innovative internet technologies and multimedia are being rapidly developed, malicious codes are a remarkable new growth part and supplied by various channel. This project presents a classification methodology for malicious codes in Windows OS (Operating System) environment, develops a test classification system. Thousands of malicious codes are brought in every day. In a result, classification system is needed to analyzers for supporting information which newly brought malicious codes are a new species or a variety. This system provides the similarity for analyzers to judge how much a new species or a variety is different to the known malicious code. It provides to save time and effort, to less a faulty analysis. This research includes the design of classification system and test system. We classify the malicious codes to 9 groups and then 9 groups divide the clusters according to the each property.

• Proceedings of the Korean Information Science Society Conference
• /
• 2012.06c
• /
• pp.230-232
• /
• 2012

악성코드인지의 가부가 나지 않은 실행 파일이 언제, 어떻게 동작하는지 여부를 판단과 수집을 위해 분석가들은 악성코드에 노출되기 쉬운 환경으로 조성된 PC를 이용하여 악성코드를 수집, 분석을 해왔다.이러한 PC를 악성코드의 인큐베이터라고도 할 수 있겠다. 이러한 PC를 두는 것은 시간 등에 큰 제약을 받게 되며, 분석이 쉬운 환경이 아니다. 이러한 환경 개선을 위해서 앞선 분석가들은 샌드박스 형태의 도구를 이용하고자 했다. 하지만 샌드박스 형태의 도구는 굉장히 제한적인 기능만을 제공하고 악성코드의 가부가 결정된 실행 파일에게만 적용시킬 수 있는 등의 단점을 가지고 있었다. 이 후 제안된 방법은 실제 PC와 근접한 수준의 환경을 제공하는 가상 PC이다. 이러한 가상 PC는 분석자에게 많은 편의를 제공하였으나 시간적인 부분에서 가지는 제한점은 기존과 동일하다. 본 논문에서는 가상 PC 분석 환경에서 시계를 가속하여 이러한 시간적인 부분에 대해 분석시간을 단축할 수 있는 방법을 제안한다. 이 방법을 적용할 경우 특정 시기 혹은 특정 시간 뒤에 동작하는 악성 코드의 활동시기와 조건을 가속한 시간만큼 단축하여 확인할 수 있다. 즉, PC를 감염시킨 뒤에 48시간이 지난 뒤에 공격 활동을 시작하는 악성코드가 시계를 2배로 가속하는 가상머신이라면 24시간 뒤에 행위를 탐지할 수 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2011.11a
• /
• pp.982-983
• /
• 2011

악성코드의 수가 급격히 늘어나면서, 최근에는 하루에도 수 만개의 신 변종 악성코드가 쏟아져 나온다. 악성코드로 인한 국내 피해를 줄이기 위해 한국인터넷진흥원에서는 신 변종 악성코드를 즉각적으로 분석하고 분석 결과를 공유하기 위해 노력하고 있다. 하지만 악성코드를 정의하고 분류하는 방침에 있어서 표준화된 규칙이 없어 악성 코드 분석 결과를 공유하는 대에 어려움이 따른다. 본 논문에서는 현재의 악성코드 정의 및 분류 방안에 대한 한계점을 개선하기 위해 악성-속성을 규정하고 이를 이용한 악성 코드 정의 및 분류 방안에 대해 제시한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2022.11a
• /
• pp.85-87
• /
• 2022

고품질 코드를 위한 정적 분석은 아직도 매우 필요한 영역이며, 또한 코드의 가시화는 개발자들에게 코드의 복잡한 모듈에 대한 가이드에 필요하다. 기존의 코드 가시화는 정적 분석의 코드 내부 정보들을 DB 테이블화 및 품질 지표(CK Metrics, Coupling, # function Calls, Bed smell) 질의어화, 그리고 추출된 정보를 가시화하는 것에만 초점을 두었다. 문제는 코드 내부 정보(Class, method, parameters, etc) 테이블들에 대한 join 연산 시 엄청난 시간과 리소스가 소모된다. 이 문제를 해결하기 위해, 우리는 테이블 설계의 정규화를 제안한다. 또한 필요한 품질 지표의 질의를 통해 코드 내부 정보 추출하여 데이터 및 제어 복잡 모듈을 식별하여 refactoring 를 가이드 한다. 앞으로는 이 부분의 AI learning 을 통해 bad/good program 을 식별을 기대한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.29 no.1
• /
• pp.105-115
• /
• 2019

Recently, intelligent Android malicious codes have become difficult to detect malicious behavior by static analysis alone. Malicious code with SO file, dynamic loading, and string obfuscation are difficult to extract information about original code even with various tools for static analysis. There are many dynamic analysis methods to solve this problem, but dynamic analysis requires rooting or emulator environment. However, in the case of dynamic analysis, malicious code performs the rooting and the emulator detection to bypass the analysis environment. To solve this problem, this paper investigates a variety of root detection schemes and builds an environment for bypassing the rooting detection in real devices. In addition, SDK code hooking module for Android malicious code analysis is designed using Xposed, and intent tracking for code flow, dynamic loading file information, and various API information extraction are implemented. This work will contribute to the analysis of obfuscated information and behavior of Android Malware.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2017.11a
• /
• pp.306-309
• /
• 2017

소프트웨어의 보안에 대한 중요성이 점차 높아짐에 따라, 소스코드 기반의 소프트웨어의 보안약점 분석 기법에서 더 나아가 소스 코드가 존재하지 않는 바이너리 파일을 대상으로 분석을 수행하는 연구가 진행되고 있다. 왜냐하면 소프트웨어 개발의 복잡성 증가에 따른 서드파티 라이브러리 활용과 레거시 코드의 관리 부재, 임베디드 소프트웨어의 특성 등으로 인해 소스 코드가 존재하지 않는 바이너리 코드의 사용이 늘어나고 있기 때문이다. 따라서 최근 바이너리 코드에 내제된 보안약점을 분석하기 위해서 중간코드를 이용하여 정적분석을 수행하는 다양한 연구가 진행되고 있다. 중간언어를 사용함으로 실행환경에 따라 달라지는 바이너리 코드가 중간언어로만 변환이 된다면 동일한 형태의 보안약점 분석기술을 통해 효과적인 수행이 가능하다. 본 논문에서는 이러한 바이너리 코드로부터 중간언어로 변환시 컴파일 과정에서 상실된 복합 자료형을 재구성하기 위해 Word2vec 딥러닝 기법을 이용한 추론기법을 제안한다.

• The Journal of the Korea Contents Association
• /
• v.10 no.3
• /
• pp.122-131
• /
• 2010

In this paper, we design and implement CTOC, a new bytecode analysis and translation tool. We also propose E-Tree, a new intermediate code, to efficiently deal with intermediate codes translated from bytecodes. E-Tree is expressed in a tree form by combining relevant bytecode instructions in basic blocks of eCFG to overcome the weaknesses of bytecodes such as complexity and analytical difficulty. To demonstrate the usefulness and possible extensibility of CTOC, we show the creation process of eCFG and E-Tree through practical bytecode analysis and translation and shows the optimization process of a bytecode program as an example of possible extensibility.