1 |
1
컴퓨터 상에서 패킹된 실행파일인 분석대상파일을 실행하여, 상기 컴퓨터에 포함된 메모리 영역에서, 상기 실행파일이 동작을 시작하는 지점인 시작지점(original entry point; OEP)을 탐지하는 방법에 있어서,상기 컴퓨터에 포함된 메모리 영역에서 상기 실행파일의 경로 및 파일명 중 적어도 하나의 정보를 포함하는 문자정보가 검출된 메모리 주소에 기초하여, 적어도 하나의 시작지점 후보를 포함하는 제1 시작지점후보그룹을 탐지하는 단계;상기 실행파일을 실행하기 위하여 필요한 복수의 함수를 포함하는 실행준비함수그룹 중 적어도 하나의 함수가 호출된 메모리 주소에 기초하여, 적어도 하나의 시작지점 후보를 포함하는 제2 시작지점후보그룹을 탐지하는 단계; 및상기 제1 시작지점후보그룹 및 상기 제2 시작지점후보그룹 중, 중복되는 시작지점 후보를 제외하고 기설정된 개수만큼의 임의의 시작지점 후보를 포함하는 최종시작지점후보그룹을 생성하는 단계;를 포함하는 것을 특징으로 하는 패킹된 실행파일의 시작지점 탐지 방법
|
2 |
2
제1항에 있어서,상기 컴퓨터에 포함된 레지스터를 백업하기 위한 명령어와 상기 백업된 레지스터를 복원하기 위한 명령어가 순차적으로 호출된 코드섹션 진입주소에 기초하여, 적어도 하나의 시작지점 후보를 포함하는 제3 시작지점후보그룹을 탐지하는 단계를 더 포함하고,상기 최종시작지점후보그룹을 생성하는 단계는상기 제3 시작지점후보그룹에 더 기초하는 것을 특징으로 하는 패킹된 실행파일의 시작지점 탐지 방법
|
3 |
3
제1항에 있어서,소정의 임계치 이상 상기 분석대상파일의 실행 흐름(flow of execution)을 이동시키는 명령어가 호출된 코드섹션 진입주소에 기초하여, 적어도 하나의 시작지점 후보를 포함하는 제4 시작지점후보그룹을 탐지하는 단계를 더 포함하고,상기 최종시작지점후보그룹을 생성하는 단계는상기 제4 시작지점후보그룹에 더 기초하는 것을 특징으로 하는 패킹된 실행파일의 시작지점 탐지 방법
|
4 |
4
제1항에 있어서,상기 컴퓨터에서 상이한 메모리 영역으로 상기 분석대상파일의 실행 흐름이 이동한 코드섹션 진입주소에 기초하여, 적어도 하나의 시작지점 후보를 포함하는 제5 시작지점후보그룹을 탐지하는 단계를 더 포함하고,상기 최종시작지점후보그룹을 생성하는 단계는상기 제5 시작지점후보그룹에 더 기초하는 것을 특징으로 하는 패킹된 실행파일의 시작지점 탐지 방법
|
5 |
5
제1항에 있어서,상기 최종시작지점후보그룹을 생성하는 단계는상기 제1 시작지점후보그룹 및 상기 제2 시작지점후보그룹에 공통적으로 포함되는 시작지점 후보를 포함하도록 상기 최종시작지점후보그룹을 생성하는 것을 특징으로 하는 패킹된 실행파일의 시작지점 탐지 방법
|
6 |
6
제1항에 있어서,상기 분석대상파일은상기 실행파일에 대하여 다른 파일과 함께 묶음, 암호화, 난독화 및 압축 중 적어도 하나를 적용한 결과인 것을 특징으로 하는 패킹된 실행파일의 시작지점 탐지 방법
|
7 |
7
컴퓨터 상에서 패킹된 실행파일인 분석대상파일을 실행하여, 상기 컴퓨터에 포함된 메모리 영역에서 상기 실행파일이 동작을 시작하는 지점인 시작지점을 탐지하는 장치에 있어서,상기 컴퓨터에 포함된 메모리 영역에서 상기 실행파일의 경로 및 파일명 중 적어도 하나의 정보를 포함하는 문자정보가 검출된 메모리 주소에 기초하여, 적어도 하나의 시작지점 후보를 포함하는 제1 시작지점후보그룹을 탐지하고, 상기 실행파일을 실행하기 위하여 필요한 복수의 함수를 포함하는 실행준비함수그룹 중 적어도 하나의 함수가 호출된 메모리 주소에 기초하여, 적어도 하나의 시작지점 후보를 포함하는 제2 시작지점후보그룹을 탐지하는 탐지부; 및상기 제1 시작지점후보그룹 및 상기 제2 시작지점후보그룹 중, 중복되는 시작지점 후보를 제외하고 기설정된 개수만큼의 임의의 시작지점 후보를 포함하는 최종시작지점후보그룹을 생성하는 생성부;를 포함하는 것을 특징으로 하는 패킹된 실행파일의 시작지점 탐지 장치
|
8 |
8
제7항에 있어서,상기 탐지부는 상기 컴퓨터에 포함된 레지스터를 백업하기 위한 명령어와 상기 백업된 레지스터를 복원하기 위한 명령어가 순차적으로 호출된 코드섹션 진입주소에 기초하여, 적어도 하나의 시작지점 후보를 포함하는 제3 시작지점후보그룹을 더 탐지하고,상기 생성부는상기 제3 시작지점후보그룹에 더 기초하는 것을 특징으로 하는 패킹된 실행파일의 시작지점 탐지 장치
|
9 |
9
제7항에 있어서,상기 탐지부는 소정의 임계치 이상 상기 분석대상파일의 실행 흐름(flow of execution)을 이동시키는 명령어가 호출된 코드섹션 진입주소에 기초하여, 적어도 하나의 시작지점 후보를 포함하는 제4 시작지점후보그룹을 더 탐지하고,상기 생성부는상기 제4 시작지점후보그룹에 더 기초하는 것을 특징으로 하는 패킹된 실행파일의 시작지점 탐지 장치
|
10 |
10
제7항에 있어서,상기 탐지부는 상기 컴퓨터에서 상이한 메모리 영역으로 상기 분석대상파일의 실행 흐름이 이동한 코드섹션 진입주소에 기초하여, 적어도 하나의 시작지점 후보를 포함하는 제5 시작지점후보그룹을 더 탐지하고,상기 생성부는상기 제5 시작지점후보그룹에 더 기초하는 것을 특징으로 하는 패킹된 실행파일의 시작지점 탐지 장치
|
11 |
11
제7항에 있어서,상기 생성부는상기 제1 시작지점후보그룹 및 상기 제2 시작지점후보그룹에 공통적으로 포함되는 시작지점 후보를 포함하도록 상기 최종시작지점후보그룹을 생성하는 것을 특징으로 하는 패킹된 실행파일의 시작지점 탐지 장치
|
12 |
12
제7항에 있어서,상기 분석대상파일은상기 실행파일에 대하여 다른 파일과 함께 묶음, 암호화, 난독화 및 압축 중 적어도 하나를 적용한 결과인 것을 특징으로 하는 패킹된 실행파일의 시작지점 탐지 장치
|