메뉴 건너뛰기
.. 내서재 .. 알림
소속 기관/학교 인증
인증하면 논문, 학술자료 등을  무료로 열람할 수 있어요.
한국대학교, 누리자동차, 시립도서관 등 나의 기관을 확인해보세요
(국내 대학 90% 이상 구독 중)
로그인 회원가입 고객센터 ENG
주제분류
인문학
인문학 일반 역사학 철학 종교학 어문학 기타 인문학
사회과학
사회과학 일반 경영학 관광학 교육학 군사학 문헌정보학 법학 사회학 신문방송학 심리과학 정치외교학 지리학 행정학 경제학 무역학 인류학 기타 사회과학
자연과학
자연과학 일반 물리학 생물학 생활과학 수학·통계학 천문학 지구과학 화학 기타 자연과학
공학
공학 일반 건축공학 기계공학 산업공학 재료·에너지공학 전기전자공학 조선해양공학 화학공학 컴퓨터학 기타공학
의약학
의학 일반 간호학 수의학 약학 한의학 기초의학 임상의학 기타 의약학
농수해양학
농수해양학 일반 농학 수산학 식품과학 임학 축산학 해상운송학 기타 농수해양학
예술체육학
예술 일반 디자인 미술 미용 사진 음악학 의상 체육 공연매체예술 기타 예술체육학
복합학
학제간연구 과학기술학 뇌인지과학 기술정책 기타 복합학

ENG

추천
검색
질문

논문 기본 정보

자료유형
학술저널
저자정보
서승희 (서울과학기술대학교) 김역 (서울과학기술대학교) 이창훈 (서울과학기술대학교)
저널정보
한국디지털포렌식학회 디지털포렌식연구 디지털 포렌식 연구 제15권 제2호
발행연도
2021.6
수록면
50 - 59 (10page)

이용수

표지
📌
연구주제
📖
연구배경
🔬
연구방법
🏆
연구결과
AI에게 요청하기
추천
검색
질문

초록· 키워드

오류제보하기
메모리 포렌식은 동작 중인 시스템의 메모리를 분석함에 따라 실행 중 변경되거나 비휘발성 장치에 흔적을 남기지 않는 악성코드를 분석하거나 실행 중에만 확인 가능한 데이터를 획득하는 데 유용하다. 하지만 메모리 포렌식 기술에 관한 관심이 높아지고 고도화됨에 따라 이를 회피하기 위한 다양한 안티 메모리 포렌식 기술이 등장하고 있다. 특히, 일부 악성코드는 메모리 포렌식 분석 과정에서 코드의 노출을 회피하기 위해 실행 파일이나 라이브러리의 헤더를 제거한 상태로 Execute 권한을 할당한 메모리에 복사한다. 그러나 기존 메모리 포렌식 도구는 악성코드 탐색 시 Execute 권한을 갖는 페이지의 상위 2kb만 확인하거나 헤더에 포함되는 시그니처인 ‘MZ’, ‘PE’를 스캐닝하므로 헤더가 제거된 실행 파일은 분석이 어렵다. 따라서 본 논문에서는 Section Table을 탐색하여 헤더가 제거된 실행 파일을 탐지하는 방법을 제안한다. Section Table은 Section Header로 구성된 Table로 각 Entry의 크기가 일정함에 따라, Section Header 시그니처를 탐색하고 각 시그니처 간의 Offset 간격이 Entry 크기의 배수인지 확인하여 탐색한다. Section Table 탐색은 Virtual Address Descriptor(VAD)를 이용하여 악성코드가 은닉할 가능성이 큰 Execute 권한을 갖는 non-private 페이지를 선별 후 수행한다. 또한, 본 논문에서는 헤더가 제거된 실행 파일을 탐지하는 기법을 Volatility 3 Framework에서 실행할 수 있는 Plug-in 형태로 구현하고 Ursnif에 감염된 시스템의 메모리를 분석함으로 탐지 성능을 검증하였다.
#메모리 포렌식 #안티 메모리 포렌식 #디지털 포렌식 #Ursnif #Gozi #Memory Forensics #Anti-memory Forensics #Digital Forensics

목차

요약
ABSTRACT
I. 서론
II. 관련 연구
III. 배경 지식
IV. Portable Executable(PE) 헤더 제거 공격
V. 헤더가 제거된 Portable Executable(PE) 파일 탐지 방법
VI. 실험 및 평가
VII. 결론
참고문헌(References)

참고문헌 (3)

참고문헌 신청
A. Afianian / 2019 / Malware dynamic analysis e vasion techniques: A survey / ACM Computing Surveys (CSUR) 52(6):1~28 google schola S. Sparks / 2005 / Shadow walker: Raising the bar for rootkit detection / Blac k Hat Japan 11(63):504~533 google schola B. D. Carrier / 2004 / A hardware-based memory acquisition procedure for digi tal investigations / Digital Investigation 1(1):50~60 google schola

함께 읽어보면 좋을 논문

논문 유사도에 따라 DBpia 가 추천하는 논문입니다. 함께 보면 좋을 연관 논문을 확인해보세요!

이 논문의 저자 정보

이 논문과 함께 이용한 논문

중국 이족 전통복식의 디자인 특징을 반영한 현대 패션디자인 연구
왕주림 ,  서승희 복식 2018 .06
팬덤 층 유형에 따른 여성아이돌 패션 이미지 특성
이지아 ,  서승희 복식 2017 .12
브라우저 익스텐션 기반 암호화폐 지갑의 디지털 포렌식 아티팩트 수집 및 분석 연구
김주은 ,  서승희 ,  석병진 외 2명 정보보호학회논문지 2023 .06
“암호해독 v.s 안티포렌식” 특집호 발간에 즈음하여
김도현 정보보호학회지 2022 .12
N-gram과 위협 행위 기반의 Windows 악성코드 패밀리 주요 유형 패턴 분석
손기수 ,  최석환 ,  황선진 외 2명 한국정보과학회 학술발표논문집 2021 .12

최근 본 자료

전체보기

댓글(0)

0