• 한국멀티미디어학회논문지
• /
• 제10권11호
• /
• pp.1472-1482
• /
• 2007

로더/링커는 자바 클래스 파일 또는 .NET 환경의 중간 표현인 PE 파일을 입력으로 받아 검증, 레졸루션, 초기화, 실행에 필요한 최적화된 정보 저장 등 실질적인 실행에 필요한 모든 정보 생성 및 무결성을 보장하는 아주 중요한 부분이다. 본 논문에서는 자바 클래스 파일과 .NET 환경의 PE 파일에 대한 통합 로더/링커 시스템을 개발하고자 한다. 이를 위해, 자바 클래스 파일과 .NET PE 파일 정보를 모두 저장할 수 있는 새로운 실행 파일 포맷(*.evm) 및 메모리 포맷을 설계했으며 저장된 실행 정보를 활용하여 JVM 또는 .NET 환경에서 실행할 수 있도록 링커/로더 시스템을 구현하였다.

• 융합보안논문지
• /
• 제8권2호
• /
• pp.63-70
• /
• 2008

최근 발생하는 다양한 악성 프로그램을 분석해 보면, 해당 악성 프로그램을 쉽게 분석할 수 없도록 하기 위해 다양한 분석 방해 기법들이 적용되고 있다. 그러나, 분석 방해 기법들이 적용될수록, 악성프로그램의 PE파일 헤더에는 정상적인 일반 PE파일의 헤더와는 다른 특징이 더 많이 나타난다. 본 논문에서는 이를 이용하여 악성 프로그램을 탐지할 수 있는 방법을 제안하고자 한다. 이를 위해, PE파일 헤더의 특징을 표현할 수 있는 특징 벡터(Characteristic Vector, CV)를 정의하고, 정상 실행 파일의 특징 벡터의 평균(ACVN)과 악성 실행 파일의 특징 벡터의 평균(ACVM)을 사전 학습을 통해 추출한다. 이후, 임의 파일의 특징 벡터와 ACVN, ACVM간의 Weighted Euclidean Distance(WED)를 계산하고, 이를 기반으로 해당 파일이 정상파일인지 혹은 악성 실행 파일인지를 판단하는 기술을 제안한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제2권1호
• /
• pp.43-50
• /
• 2013

파일 식별과 분석은 컴퓨터 포렌식 수사과정에서 디지털증거 획득 및 증거분석에 중요한 요소이며 지금까지 많은 연구가 진행되었다. 그러나 실행파일의 식별과 분석은 주로 악성코드에 대해 연구되어 왔기 때문에, 저작권침해 사고와 같은 일반적인 실행파일을 세부적으로 분류하고 탐지해야 할 경우에는 기존의 악성코드 분류 방법은 적용되기 어렵다. 따라서, 본 논문에서는 실행파일 헤더내 문서화되지 않은 정보의 유사도 측정에 근거한 비교를 통해 실행파일을 세부적으로 분류할 수 있는 방법을 제시한다. 제안한 방법은 실행파일의 헤더에 포함된 정보를 이용하기 때문에 일반적인 실행파일뿐만 아니라 기존의 악성코드 및 새로운 악성코드와 변종 그리고 실행압축, 코드변형, 가상화 및 난독화된 실행파일 분류에도 활용이 가능하다.

• 정보처리학회논문지C
• /
• 제16C권5호
• /
• pp.555-562
• /
• 2009

악성코드 사고 조사에서 가장 중요한 것은 신속하게 악성코드를 탐지하고 수집하는 것이다. 기존의 조사 방법은 시그니쳐 기반의 안티바이러스 소프트웨어를 이용하는 것이다. 시그니쳐 기반의 탐지는 실행파일 패킹, 암호화 등을 통해 쉽게 탐지를 회피할 수 있다. 그렇기 때문에 악성코드 조사에서 패킹을 탐지하는 것도 중요한 일이다. 패킹탐지는 패킹 시그니쳐 기반과 엔트로피 기반의 탐지 방법이 있다. 패킹 시그니쳐기반의 탐지는 새로운 패킹을 탐지하지 못하는 문제가 있다. 그리고 엔트로피 기반의 탐지 방법은 오탐의 문제가 존재한다. 본 논문에서는 진입점 섹션의 엔트로피 통계와 패킹의 필수적인 특징인 'write' 속성을 이용하여 패킹을 탐지하는 기법을 제시한다. 그리고 패킹 PE 파일을 탐지하는 도구를 구현하고 도구의 성능을 평가한다.

• Journal of Information Processing Systems
• /
• 제12권4호
• /
• pp.644-660
• /
• 2016

The real-time detection of malware remains an open issue, since most of the existing approaches for malware categorization focus on improving the accuracy rather than the detection time. Therefore, finding a proper balance between these two characteristics is very important, especially for such sensitive systems. In this paper, we present a fast portable executable (PE) malware detection system, which is based on the analysis of the set of Application Programming Interfaces (APIs) called by a program and some technical PE features (TPFs). We used an efficient feature selection method, which first selects the most relevant APIs and TPFs using the chi-square ($KHI^2$) measure, and then the Phi (${\varphi}$) coefficient was used to classify the features in different subsets, based on their relevance. We evaluated our method using different classifiers trained on different combinations of feature subsets. We obtained very satisfying results with more than 98% accuracy. Our system is adequate for real-time detection since it is able to categorize a file (Malware or Benign) in 0.09 seconds.

• Restorative Dentistry and Endodontics
• /
• 제30권6호
• /
• pp.486-492
• /
• 2005

이 연구의 목적은 니켈-니타늄 파일의 삭제 성향과 엔진의 토크 조절 능력이 근관 성형에 미치는 영향을 평가하는 것이다 레진 모형 40개를 사용하였으며, Hero Shaper(R)와 Endo-Mate2을 이용한 HE군, Hero Shaper(R)와 Tecnika(R)를 이용한 HT군, Profile(R)과 Endo-Mate2(R)를 이용한 PE군, Profile(R)과 Tecnika(R)를 이용한 PT군으로 구분하여 근관성형 하였다. 각 군별 근관 성형 시간을 기록하였다. 근단공으로부터의 수직 이동 거리 1, 3 그리고 5mm 위치에서의 근관 삭제량, 중심이 동률을 산출하여 다음의 결론을 얻었다. 1. 근관 성형 시간은 HT군이 가장 빨랐다 (p<0.05). 2. 삭제량은 1mm지점에서 HE군이 PT군보다 컸고 (p<0.05), 3mm지점에서는 PT군이 다른 군들보다 작았다 (p<0.05). 5mm에서는 PE군이 PT군보다 컸다 (p<0.05). 3. 중심 이동률은 1mm 지점에서 HE군이 다른 군들보다 컸으며 (p<0.05), 5mm에서는 HT군이 PE군과 PT군보다 컸다 (p<0.05). 따라서 토크 조절이 되는 엔진을 사용하는 것이 근관의 변위를 적게 유발하고 과도한 삭제 량을 예방 할 수 있으며 근관 성형시간도 단축 할 수 있는 것으로 보이며 따라서 양호한 근관 성형 결과에 영향을 준다고 볼 수 있다.

• 전기전자학회논문지
• /
• 제25권3호
• /
• pp.451-461
• /
• 2021

다양한 스마트 기기의 보급으로 인하여 악성코드로 인한 피해를 더욱 심각해지면서 머신러닝 기술을 활용한 악성코드 탐지 기술이 주목 받고 있다. 그러나 코드의 단편적인 특성만을 기반으로 머시러닝의 학습 데이터를 구성할 경우, 이를 회피하는 변종 및 신종 악성코드는 여전히 제작하기 쉽다. 이와 같은 문제를 해결하기 위한 방법으로 악성코드의 함수호출 관계를 학습 데이터로 사용하는 연구가 주목받고 있다. 특히, GNN을 활용하여 그래프의 유사도를 측정함으로써 보다 향상된 악성코드 탐지가 가능할 것으로 예상된다. 본 논문에서는 GNN을 악성코드 탐지에 활용하기 위해 바이너리 코드로부터 함수 호출 그래프를 생성하는 효율적인 방안을 제안한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2017년도 춘계학술대회
• /
• pp.249-251
• /
• 2017

과거에는 소프트웨어 보안이 크게 중요하지 않게 생각해왔다. 그러나 소프트웨어를 공격하는 기술은 시대를 넘어 빠르게 성장하고 있으며 이로 인한 소프트웨어 산업의 성장은 감소하고 저작권자의 이익은 점점 감소하고 있다. 그래서 본 연구에서는 PE 포맷 조작을 통해 소프트웨어 크랙을 방지하는 것을 제안한다. 보통 해커는 프로그램을 정적으로 먼저 분석을 해서 1차적인 정보를 얻는데 PE 포맷의 약간의 조작만으로 정적 분석을 방해할 수 있다. 그리고 PE 포맷 조작을 통해 해당 프로그램에 여러 가지 보안 코드가 삽입 가능하며 이를 통해 해커들의 디버거를 이용한 접근이나 동적 분석을 방해 할 수 있다.

• 정보보호학회논문지
• /
• 제26권5호
• /
• pp.1313-1322
• /
• 2016

최근 인터넷을 통한 공공 기관이나 금융권에 대한 바이러스 및 해킹 공격이 더욱 지능화, 고도화되고 있다. 특히, 지능형 지속 공격인 APT(Advanced Persistent Threat)가 중요한 사이버 위협으로 주목을 받았는데 이러한 APT 공격은 기본적으로 네트워크상에서 악성 코드의 유포를 통해 이루어진다. 본 논문에서는 스마트 제조 산업에서 사용할 수 있도록 네트워크상에서 전송되는 PE(Portable Executable) 파일을 효과적으로 탐지하고 추출하여 악성코드 분석을 효과적으로 할 수 있는 방법을 제안하였다. PE 파일만 고속으로 추출하여 저장하는 기능을 공개 침입 탐지 툴인 Snort의 전처리기단에서 구현한 후 이를 하드웨어 센서 장치에 탑재하여 실험한 결과, 네트워크상에서 전송되는 악성 의심 코드인 PE 파일을 정상적으로 탐지하고 추출할 수 있음을 확인하였다.

• 전자공학회논문지C
• /
• 제35C권2호
• /
• pp.29-35
• /
• 1998

This paper describes architectures and design of a SIMD type parallel image processing chip called SliM-II. The chiphas a linear array of 64 processing elements (PEs), operates at 30 MHz in the worst case simulation and gives at least 1.92 GIPS. In contrast to existing array processors, such as IMAP, MGAP-2, VIP, etc., each PE has a multiplier that is quite effective for convolution, template matching, etc. The instruction set can execute an ALU operation, data I/O, and inter-PE communication simulataneously in a single instruction cycle. In addition, during the ALU/multiplier operation, SliM-II provides parallel move between the register file and on-chip memory as in DSP chips, SliM-II can greatly reduce the inter-PE communication overhead, due to the idea a sliding, which is a technique of overlapping inter-PE communication with computation. Moreover, the bandwidth of data I/O and inter-PE communication increases due to bit-parallel data paths. We used the COMPASS$^{TM}$ 3.3 V 0.6.$\mu$m standrd cell library (v8r4.10). The total number of transistors is about 1.5 muillions, the core size is 13.2 * 13.0 mm$^{2}$ and the package type is 208 pin PQ2 (Power Quad 2). The performance evaluation shows that, compared to a existing array processors, a proposed architeture gives a significant improvement for algorithms requiring multiplications.s.