초록 ▼

본 연구과제에서는 악성코드 유형에 따른 자동화 분석 방법을 마련하기 위하여 다음과 같은 연구 내용을 수행한다.
。악성코드의 정의 및 분류 방법, 유형별 특징 분석
- 악성코드의 유형별 정의와 분류 방법 조사
- 악성코드의 유형별 특징 분석
- 기존의 악성코드 자동 분류 방법 조사 및 분석
。넷봇의 악성행위 및 특징 분석
- 넷봇을 이용한 공격 및 악성행위 분석
- 정적분석을 통한 넷봇의 특징 파악
。분석 방해 기술(안티디버깅 및 분석 우회 방법) 조사
- 안티디버깅 기술의 유형 및 동

본 연구과제에서는 악성코드 유형에 따른 자동화 분석 방법을 마련하기 위하여 다음과 같은 연구 내용을 수행한다.
。악성코드의 정의 및 분류 방법, 유형별 특징 분석
- 악성코드의 유형별 정의와 분류 방법 조사
- 악성코드의 유형별 특징 분석
- 기존의 악성코드 자동 분류 방법 조사 및 분석
。넷봇의 악성행위 및 특징 분석
- 넷봇을 이용한 공격 및 악성행위 분석
- 정적분석을 통한 넷봇의 특징 파악
。분석 방해 기술(안티디버깅 및 분석 우회 방법) 조사
- 안티디버깅 기술의 유형 및 동작방식 조사
- 가상머신 탐지 기술 조사
。루트킷 및 커널 악성코드 유형 분석
- 루트킷, 커널 악성코드의 유형 및 동작방식 조사
。악성코드의 자동화 분석 방법론 도출
- 악성코드가 사용하거나 변경하는 파일 및 레지스트리 분석
- 저장 매체 사용의 모니터링
- 악성코드의 도메인 접속 분석
- 코드 인젝션 분석
- 악성코드 분석 프로세스에 대한 자동화

Abstract ▼

In this research, We will perform following acts for making automated malware analysis mechanism.
。Analyze definition and classification of malware, extracting features of malware by its type
- Survey of definition of malware and classification method
- Analyze the features of malware by it

In this research, We will perform following acts for making automated malware analysis mechanism.
。Analyze definition and classification of malware, extracting features of malware by its type
- Survey of definition of malware and classification method
- Analyze the features of malware by its type
- Survey and Analyze the exisiting automated malware classification method
。Analyze features and behaviors of Netbot
- Analyze attack patterns and behaviors of Netbot
- Extract the features of Netbot using statistic analysis
。Survey Anti-analysis technique(anti-debugging and analysis bypassing)
- Research anti-debugging technique
- Survey virtual machine detecting and analysis bypassing techniques
。Analyze classification of rootkit and kernel malware
- Survey classification and mechanism of rookit
- Derive efficient rootkit analysis method
。Derive automated malware analysis mechanism
- Analyse files and registries which are used by malware
- Monitor storage medium
- Analyse internet domain which are used by malware
- Analyse code injection
- Automate the malware analysis process

목차 Contents

• 표지 ...1
• 제출문 ...2
• 요약문 ...4
• SUMMARY ...9
• 목차 ...14
• 그림 목차 ...16
• 표 목차 ...18
• 제 1 장 서론 ...20
• 제 1 절 연구의 목적 및 필요성 ...20
• 제 2 절 연구 내용 및 연구 방법 ...22
• 제 2 장 악성코드의 개요 ...28
• 제 1 절 악성코드의 정의 ...28
• 제 2 절 악성코드의 감염 경로 ...31
• 제 3 절 악성코드의 분류 ...32
• 제 4 절 악성코드의 명명법 ...37
• 제 5 절 악성코드가 사용/변경하는 파일, 레지스트리 ...39
• 참고문헌 ...40
• 제 3 장 분석 방해 기술 ...42
• 제 1 절 실행압축 기법 ...42
• 제 2 절 디버거 탐지 기법 ...43
• 제 3 절 코드 혼란(Obfuscation) 기법 ...44
• 제 4 절 가상머신 탐지 기법 ...46
• 참고문헌 ...49
• 제 4 장 커널 기반 루트킷 ...50
• 제 1 절 개요 ...50
• 제 2 절 특징 ...51
• 제 3 절 동작 방식 ...52
• 참고문헌 ...55
• 제 5 장 기존의 악성코드 자동 분류.분석 방법 ...56
• 제 1 절 정적 코드 분석 ...56
• 제 2 절 동적 행위 분석 ...59
• 참고문헌 ...61
• 제 6 장 Netbot의 특징 분석 ...62
• 제 1 절 개요 ...62
• 제 2 절 Netbot의 공격 기능 ...63
• 제 3 절 Netbot의 행위 분석 환경 구성 ...67
• 제 4 절 Netbot의 특징 ...69
• 제 5 절 Netbot의 공격 트래픽 ...73
• 제 6 절 Netbot의 Code Injection ...77
• 참고문헌 ...85
• 제 7 장 악성코드 유형에 따른 자동화 분석 방법 ...86
• 제 1 절 자동화 분석 방법 ...86
• 제 2 절 특징 분석 환경 ...88
• 제 3 절 특징 도출 단계 ...96
• 제 4 절 상호작용 단계 ...117
• 제 5 절 자동화 분석 단계 ...120
• 제 6 절 DB의 구성 ...123
• 제 8 장 연구 결과 및 향후 연구 진행 방향 ...128
• 제 1 절 연구 결과 요약 ...128
• 제 2 절 향후 연구 방향 ...130
• 부 록 ...132
• 부록 1. 레지스트리 ...132
• 부록 2. 운영체제/시스템에서 사용되는 프로세스 ...137
• 부록 3. 악성코드가 사용/변경하는 파일, 레지스트리 ...139
• 부록 4. Netbot의 Import Function 비교 ...159
• 부록 5. Python 스크립트 ...163
• 참고문헌 ...171