Intel VT 기술을 이용한 Xen 기반 동적 악성코드 분석 시스템 구현 및 평가

김태형; 김인혁; 엄영익; 김원호; Taehyoung Kim; Inhyuk Kim; Young Ik Eom; Won Ho Kim

연구문헌

국내 논문지

홈 > 연구문헌 > 국내 논문지 > 한국정보과학회 논문지 > 정보과학회 논문지 A : 시스템 및 이론

정보과학회 논문지 A : 시스템 및 이론

Current Result Document : 45 / 61 이전건 다음건

한글제목(Korean Title)	Intel VT 기술을 이용한 Xen 기반 동적 악성코드 분석 시스템 구현 및 평가
영문제목(English Title)	Development and Analyses of Xen based Dynamic Binary Instrumentation using Intel VT
저자(Author)	김태형 김인혁 엄영익 김원호 Taehyoung Kim Inhyuk Kim Young Ik Eom Won Ho Kim
원문수록처(Citation)	VOL 37 NO. 05 PP. 0304 ~ 0313 (2010. 10)
한글내용 (Korean Abstract)	악성코드를 분석하기 위한 기법에는 다양한 방법들이 존재한다. 하지만 기존의 악성코드 분석 기법으로는 악성코드들의 동작들을 정확하게 분석하는 것이 점점 어려워지고 있다. 특히, 분석 시스템들이 악성코드의 안티-디버깅 기술에 의해 감지되기 쉽고, 실행속도 등 여러 가지 한계점을 보임에 따라 이를 해결할 수 있는 분석 기법이 요구되고 있다. 본 논문에서는 동적 코드 분석을 위한 기본 요구사항인 명령어 단위 분석 및 메모리 접근 추적 기능을 제공하는 동적 코드 분석 시스템을 설계 및 구현한다. 그리고 DLL 로딩 추적을 통한 API 호출 정보를 추출하여, 다양한 실행 코드들을 분석 할 수 있는 기반 환경을 구축한다. 제안 시스템은 Intel의 VT 기술을 이용하여 Xen 기반으로 전가상화 환경을 구축하였으며, 게스트에서는 윈도우즈 XP가 동작할 수 있도록 하였다. 제안 시스템을 이용하여 대표적인 악성코드들을 분석해 봄으로써 제안 시스템 각각의 기능들의 활용을 살펴보고, 제안 시스템이 악성코드들을 정확하게 분석 및 탐지함을 보여준다.
영문내용 (English Abstract)	There are several methods for malware analyses. However, it is difficult to detect malware exactly with existing detection methods. Especially, malware with strong anti-debugging facilities can detect analyzer and disturb their analyses. Furthermore, it takes too much time to analyze malware. In order to resolve these problems of current analyzers, more improved analysis scheme is required. This paper suggests a dynamic binary instrumentation which supports the instruction analysis and the memory access tracing. Addtionally, by supporting the API call tracing with the DLL loading analysis, our system establishes the foundation for analyzing various executable codes. Based on Xen, full-virtualization environment is built using Intel's VT technology. Windows XP can be used as a guest. We analyze representative malware using several functions of our system, and show the accuracy and efficiency enhancements in binary analyses capability of our system.
키워드(Keyword)	하드웨어 지원 가상화 기술 악성코드 분석 동적 코드 분석 시스템 안티-디버깅 기술 Hardware-assisted virtualization Malware analysis Dynamic binary instrumentation Anti-debugging
파일첨부	PDF 다운로드