• 정보보호학회논문지
• /
• 제32권5호
• /
• pp.869-879
• /
• 2022

본 연구를 통해 매우 대중적인 압축 알고리즘인 Deflate 알고리즘을 통해 생성되는 3가지 유형의 압축 데이터 블록 가운데 원본 데이터 없는 비 압축 블록(No-Payload Non-Compressed Block;NPNCB) 유형을 임의로 생성하여 정상적인 압축 블록 사이에 미리 설계된 공격 시나리오에 따라 삽입하는 방법을 통해 악의적 코드 또는 임의의 데이터를 은닉하는 취약점을 발견하였다. 비 압축 블록의 헤더에는 byte align을 위해서만 존재하는 데이터 영역이 존재하며, 본 연구에서는 이 영역을 DBA(Disposed Bit Area)라고 명명하였다. 이러한 DBA 영역에 다양한 악성 코드와 악의적 데이터를 숨길 수 있었으며, 실험을 통해 정상적인 압축 블록들 사이에 오염된 블록을 삽입했음에도 기존 상용 프로그램에서 정상적으로 경고 없이 압축 해제 되었고, 악의적 디코더로 해독하여 악성 코드를 실행할 수 있음을 보였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제7권6호
• /
• pp.155-164
• /
• 2018

많은 악성프로그램은 역공학을 막기 위해 다양한 상용 패커를 사용해 압축 혹은 암호화를 했기 때문에 악성코드 분석가는 압축해제 혹은 복 호화를 먼저 수행해야 한다. OEP(Original Entry Point)는 암호화되거나 압축되어 있는 실행파일을 다시 원본 바이너리 상태로 되돌린 후 실행된 첫 번째 명령어의 주소이다. 여러 언패커는 OEP가 나타나기 전까지 패킹된 파일을 실행하며 주소를 기록한다. 그리고 기록된 주소들 중에 OEP를 찾는다. 그러나 일부 언패커에서 제공하는 OEP 후보들은 비교적 큰 OEP 후보 집합을 제공하거나 후보들 중에 OEP가 없는 경우가 있다. 이에 악성코드 분석가들은 더 적은 OEP 후보 집합을 제공하는 도구가 필요한 실정이다. 본 논문에서는 PinDemonium이라 불리는 언패커에 두 가지 OEP 탐지방법을 추가하여 더 적은 OEP 후보 집합을 제공하는 도구를 만들었다. 첫 번째 방법은 패킹된 프로그램이 완전히 원본 바이너리상태로 되돌아 간 후에는 원프로그램 함수 호출과 동일하다는 것을 활용한 OEP 탐지방법이다. C/C++ 언어로 작성된 프로그램은 바이너리 코드로 언어를 변환하는 컴파일 과정을 거친다. 컴파일 과정을 거친 프로그램에는 특정 시스템 함수들이 추가된다. 이 시스템 함수들은 컴파일러 별로 다르다. 컴파일러 별로 사용되는 시스템 함수를 조사한 후, 패킹된 프로그램에서 호출되는 시스템 함수와 패턴매칭하여 언패킹 작업이 끝났는지 탐지하는 방법이다. 두 번째 방법은 패킹된 프로그램이 완전히 원본 바이너리 상태로 돌아간 후 시스템함수에서 사용되는 매개 변수가 원프로그램과 동일하다는 것을 활용한 OEP 탐지방법이다. 시스템함수에서 사용되는 매개변수의 값을 이용해 OEP를 찾는 방법이다. 본 연구는 16종의 상용 패커로 압축된 샘플 프로그램을 대상으로 OEP 탐지 실험을 했다. 본 연구에선 안티 디버깅 기법으로 프로그램을 실행하지 못하는 경우인 2종을 제외하고 PinDemonium 대비 평균 40% 이상 OEP후보를 줄일 수 있었다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2017년도 춘계학술발표대회
• /
• pp.276-279
• /
• 2017

오늘날 사회 전반적인 부분에서 소프트웨어의 비중은 지속적으로 증가하고 있다. 또한 소프트웨어는 점차 대규모화되고 있고 동시에 개인의 중요한 정보 등을 다루는 경우도 매우 늘어나고 있기에 소프트웨어의 보안성 검증은 매주 중요한 문제이다. 그러나 소스코드가 존재하지 않는 라이브러리의 경우 보안성 검증은 매우 어려운 문제로, 이를 해결하기 위해 바이너리 내에 존재하는 보안약점을 검사하기 위한 기술의 개발이 매우 요구되는 상황이며, 이를 위해 중간언어를 활용하여 보안약점을 분석하는 기술이 활발히 논의되고 있다. 본 논문에서는 바이너리 코드내에 존재하는 보안약점을 효과적으로 분석하기 위해서 바이너리 코드로부터 보안약점 분석에 효과적인 중간언어로 변환하는 시스템을 제안한다.

• 한국콘텐츠학회논문지
• /
• 제16권5호
• /
• pp.13-20
• /
• 2016

소프트웨어는 대부분 바이너리 파일 포맷으로 배포되기 때문에 역공학 분석이 쉽지 않다. 그러나 안드로이드는 자바를 기반으로 하며 가상머신 위에서 동작한다. 따라서 안드로이드 역시 자바와 유사하게 역공학 도구에 의해서 쉽게 분석될 수 있다. 이 문제를 극복하기 위해서 다양한 난독화 기법이 제안되었다. 안드로이드 환경에서는 안드로이드 SDK에 포함되어 배포되는 난독화 도구인 프로가드(Proguard)가 가장 널리 사용된다. 프로가드는 자바 소스 코드를 역공학 분석으로부터 보호할 수 있다. 그러나 이미지, 사운드, 데이터베이스와 같은 리소스를 보호하는 기능은 가지고 있지 않다. 본 논문에서는 안드로이드 앱의 리소스를 보호할 수 있는 리소스 난독화 기법을 제안하고 구현하였다. 본 논문에서 제안하는 리소스 난독화 기법을 적용하면 효과적으로 리소스 도용을 예방할 수 있을 것으로 기대한다.

• 한국정보과학회논문지:정보통신
• /
• 제29권5호
• /
• pp.473-481
• /
• 2002

악성 코드의 감지 및 분석에 있어 암호화된 악성코드의 해독은 필수적인 요소이다. 그러나, 기존의 엑스-레잉 또는 에뮬레이션에 의한 해독 기법들은 이진 형태의 악성 코드를 대상으로 개발되었으므로 스크립트 형태의 악성 코드에는 적합하지 않으며, 특정한 암호화 패턴을 기반으로 하는 접근 방식은 알려지지 않은 악성 스크립트가 암호화되어 있을 경우 대응하기 어렵다. 따라서 본 논문에서는 스크립트 암호화 기법에 대한 분석적인 접근을 통하여, 새로운 암호화 기법의 출현에 유연하게 대처하는 새로운 암호 해독 기법을 제시하고 그 구현에 관해 기술한다.

• 천문학회보
• /
• 제42권2호
• /
• pp.64.1-64.1
• /
• 2017

접촉쌍성 EK Com은 0.2667일의 짧은 주기를 가진 만기형 식쌍성으로 광도곡선의 변화로 인해 연구자마다 이계의 하위 유형을 다르게 언급하여 하위유형의 혼동이 있는 천체이다. 우리는 소백산천문대에서 2009년 5월 VR 필터로, 2013년 2 ~ 5월 사이 BVRI 필터로, 2016년 1 ~ 4월 사이 R 필터로 CCD 측광 관측하여 3개의 새로운 광도곡선을 획득하였다. 우리의 관측 자료와 SuperWASP의 공개된 자료로부터 40개의 새로운 극심시각을 산출하였다. 이 극심시각을 포함하여 155개의 극심시각을 여러 문헌에서 수집하여 주기 연구를 수행한 결과, EK Com의 공전주기는 영년 주기 증가와 더불어 8.2년의 주기적인 변화가 겹쳐 변화함을 발견하였다. 이러한 주기 변화 원인에 대하여 살펴본 결과, 영년주기변화는 질량이 작은 별에서 큰 별로의 질량이동에 의하여 일어나고, 주기적인 변화는 질량이 큰 주성의 자기 활동에 의해 발생할 수 있음을 보였다. Wilson-Devinney code를 이용한 광도곡선 분석을 통하여 EK Com은 개기식이 부식에 있는 하위 유형 A라기 보다 주식에 있는 W형에 속하며, 모든 광도곡선에서 1개의 Hot spot과 1개의 Cool spot을 가진 모형이 가장 관측치를 잘 설명한다. W UMa형 별들의 HR도, 온도비, 질량의 그래프에서 EK Com은 W형 Group들이 있는 위치에 존재한다. 이는 광도곡선에서 유추한 EK Com의 하위 유형과도 일치한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2013년도 춘계학술대회
• /
• pp.219-222
• /
• 2013

현재 부채널 공격은 P. Kocher에 의해 제안된 공격 방법으로 암호 알고리즘 자체의 안전성이 높다고 하더라도 암호 알고리즘이 구현된 방법이나 구현된 환경에 따라 적용이 가능한 공격법이다. 이러한 부채널 공격은 정보보호 장치의 전력(전압), 실행시간, 오류 출력, 소리 등의 변화를 측정해 각종 정보의 이진코드를 읽어내어 통계적인 방법으로 중요한 정보를 분석함은 물론 위 변조까지 가능하다. 따라서 본 논문에서는 부채널 공격 기법 중에 하나인 SPA 공격 기법과 DPA공격 기법을 살펴보고 현재까지 나온 최신 대응 기술들을 분석하고자 한다.

• 한국통신학회논문지
• /
• 제19권5호
• /
• pp.971-980
• /
• 1994

현존하는 셀룰라 이동통신의 가입자 수용 한계로 부호분할다원접속(CDMA) 방식을 사용하는 디지틀셀룰라 통신 방식이 거론되고 있다. EIA/TIA 잠정 표준안인 CDMA 시스팀에서는 동일한 확살부호를 전체 시스팀에 사용하지만 각 기지국에 확산부호의 위상옵셉(phase-offset)을 다르게 배분함으로써 이동국은 기지국으로 송신된 신호를 구변하도록 하고 있다. 그러나 확산부호의 위상옵셉이 기준이 되는 영옵셉(zero-offset) 부호를 임의로 설정하고 있다. 본 논문은 확산부호의 기준 부호를 정하는 방법을 제시하고, 기준 부호로부터 위상을 이전(shift) 시킨 부호 사이의 위상옵셉을 쉽게 계산하는 방법을 제시한다.

• 한국통신학회논문지
• /
• 제15권2호
• /
• pp.112-123
• /
• 1990

본 논문은 한글 문자인식을 위하여 중첩형상데이타에 의한 한글 패턴의 굴곡 특징점과 정점검출에 관하여 논한 것이다. 입력된 2진 문자패턴을 거리변환법에 의한 중첩데이타로 변환하고, 데이터의 특성분석에 의한 변환값의 새로운 파일로 구성하였다. 이 두 데이터 파일로 한글 인식에 유용한 정점들을 검출하는 알고리즘을 제안하였다. 이 알고리즘에서는 오인식의 원인이 되는 돌기부분의 제거, 자소 접촉 부분의 분리, 굴곡 특징 변환값에 따른 코드를 부여하도록 하였따. 여기서의 출력은 한글 문자인식에 활용될 수 있는 형태로 하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권7호
• /
• pp.3756-3777
• /
• 2019

Recent internet development is helping malware researchers to generate malicious code variants through automated tools. Due to this reason, the number of malicious variants is increasing day by day. Consequently, the performance improvement in malware analysis is the critical requirement to stop the rapid expansion of malware. The existing research proved that the similarities among malware variants could be used for detection and family classification. In this paper, a Cross-Platform Malware Variant Classification System (CP-MVCS) proposed that converted malware binary into a grayscale image. Further, malicious features extracted from the grayscale image through Combined SIFT-GIST Malware (CSGM) description. Later, these features used to identify the relevant family of malware variant. CP-MVCS reduced computational time and improved classification accuracy by using CSGM feature description along machine learning classification. The experiment performed on four publically available datasets of Windows OS and Android OS. The experimental results showed that the computation time and malware classification accuracy of CP-MVCS was higher than traditional methods. The evaluation also showed that CP-MVCS was not only differentiated families of malware variants but also identified both malware and benign samples in mix fashion efficiently.