| 1 |
1
탐지부가 PE(Portable Executable) 파일의 정보를 추출하고 추출된 정보를 토대로 상기 PE 파일이 패킹되어 있는지를 판단하고 판단 결과 상기 PE 파일이 패킹되어 있으면 패커의 종류를 탐지하는 단계; 언패킹부가 상기 탐지부에 의해 패커의 종류가 탐지되면 탐지된 패커의 종류에 따라 정적 분석과 동적 분석 기반의 하이브리드 분석을 수행하는 단계; 및 검증부가 상기 언패킹부의 언패킹 과정에서 오리지날 엔트리 포인트(Original Entry Point;OEP)를 찾은 후, 이 오리지날 엔트리 포인트를 통해 파일 섹션을 복원하여 복원 파일과 원본 파일의 비교를 통해 상기 언패킹부의 언패킹을 검증하는 단계를 포함하는 파일 언패킹 방법
|
| 2 |
2
제 1 항에 있어서, 상기 패커의 종류를 탐지하는 단계에서, 상기 탐지부는 진입점 섹션(Entry Section)을 탐지하여 상기 진입점 섹션이 존재하는지에 따라 상기 PE 파일이 패킹되었는지를 판단하는 것을 특징으로 하는 파일 언패킹 방법
|
| 3 |
3
제 2 항에 있어서, 상기 패커의 종류를 탐지하는 단계에서, 상기 탐지부는 상기 PE 파일이 패킹되어 있는 것으로 판단되면 상기 PE 파일의 시그니처를 분석하는 것을 특징으로 하는 파일 언패킹 방법
|
| 4 |
4
제 3 항에 있어서, 상기 패커의 종류를 탐지하는 단계에서, 상기 탐지부는 PEfile 또는 PEiD를 이용하여 상기 PE 파일을 분석하는 것을 특징으로 하는 파일 언패킹 방법
|
| 5 |
5
제 3 항에 있어서, 상기 패커의 종류를 탐지하는 단계에서, 상기 탐지부는 상기 시그니처를 기 저장된 패커 정보와 비교하여 비교 결과에 따라 패킹 유무와 패커의 종류 및 패커의 버전을 탐지하는 것을 특징으로 하는 파일 언패킹 방법
|
| 6 |
6
제 1 항에 있어서, 상기 패커의 종류를 탐지하는 단계에서, 상기 탐지부는 진입점 섹션의 엔트로피 값을 사용하는 엔트로피 기반 탐지를 수행하여 상기 PE 파일이 패킹되었는지를 판단하는 것을 특징으로 하는 파일 언패킹 방법
|
| 7 |
7
제 1 항에 있어서, 상기 패커의 종류를 탐지하는 단계에서, 상기 탐지부는 상기 PE 파일에 쓰기 속성이 있는지를 확인하는 쓰기 속성 기반 탐지를 수행하여 상기 PE 파일이 패킹되었는지를 판단하는 것을 특징으로 하는 파일 언패킹 방법
|
| 8 |
8
제 1 항에 있어서, 상기 패커의 종류를 탐지하는 단계에서, 상기 탐지부는 진입점 섹션의 엔트로피 값을 사용하는 엔트로피 기반 탐지, 및 상기 PE 파일에 쓰기 속성이 있는지를 확인하는 쓰기 속성 기반 탐지를 모두 수행하여 상기 PE 파일이 패킹되었는지를 판단하는 것을 특징으로 하는 파일 언패킹 방법
|
| 9 |
9
제 1 항에 있어서, 상기 하이브리드 분석을 수행하는 단계에서, 상기 언패킹부는 상기 패커의 종류가 언패킹 라이브러리를 제공하는 것인지 여부에 따라 상기 정적 분석과 상기 동적 분석 중 어느 하나를 수행하는 것을 특징으로 하는 파일 언패킹 방법
|
| 10 |
10
제 9 항에 있어서, 상기 하이브리드 분석을 수행하는 단계에서, 상기 언패킹부는 상기 패커의 종류가 언패킹 라이브러리를 제공하는 것이면 상기 정적 분석을 수행하고, 상기 패커의 종류가 언패킹 라이브러리를 제공하지 않는 것이면 상기 동적 분석을 수행하는 것을 특징으로 하는 특징으로 하는 파일 언패킹 방법
|
| 11 |
11
제 9 항에 있어서, 상기 하이브리드 분석을 수행하는 단계에서, 상기 언패킹부는 기 설정된 정적 분석 툴을 활용하여 상기 PE 파일을 분석하고 분석 결과에 상기 패커의 종류에 따라 언패킹 툴을 사용하는 것을 특징으로 하는 파일 언패킹 방법
|
| 12 |
12
제 11 항에 있어서, 상기 정적 분석 툴은 오프 소스로 제공되는 기 설정된 PEframe[29]인 것을 특징으로 하는 파일 언패킹 방법
|
| 13 |
13
제 9 항에 있어서, 상기 하이브리드 분석을 수행하는 단계에서, 상기 언패킹부는 상기 PE 파일의 오리지날 엔트리 포인트를 찾아 상기 PE 파일이 언패킹하는 것을 특징으로 하는 파일 언패킹 방법
|
| 14 |
14
제 13 항에 있어서, 상기 하이브리드 분석을 수행하는 단계에서, 상기 언패킹부는 각 섹션이 엔트로피를 측정하고 현재 측정한 각 섹션의 엔트로피와 이전에 측정한 엔트로피간의 엔트로피 변화량을 이용하여 상기 오리지날 엔트리 포인트를 찾는 것을 특징으로 하는 파일 언패킹 방법
|
| 15 |
15
제 1 항에 있어서, 상기 언패킹부의 언패킹을 검증하는 단계에서, 상기 검증부는 상기 PE 파일에 대한 파일 분석에 필요한
|
| 16 |
16
제 15 항에 있어서, 상기 언패킹부의 언패킹을 검증하는 단계에서, 상기 검증부는 상기 복원 파일과 상기 원본 파일을 비교하여 복원율을 계산하는 것을 특징으로 하는 파일 언패킹 방법
|
| 17 |
17
제 15 항에 있어서, 상기 언패킹부의 언패킹을 검증하는 단계에서, 상기 검증부는 상기 원본 파일과 상기 복원 파일의 패딩과 쓰레기 값을 제거하고, 상기 원본 파일의 섹션 별 길이와 데이터를 저장하고 MD5 해시 함수를 사용하여 H1 값을 계산하며, 상기 원본 파일의 섹션의 길이만큼 상기 복원 파일에서 해시 값 H2를 계산하며, 상기 원본 파일과 상기 복원 파일에서 각각 변환한 해시 값이 같으면 복원율을 출력하고, 상기 해시 값이 같지 않으면 상기 원본 파일의 섹션의 길이를 감소시키면서 상기 해시 값이 동일할 때까지 반복하여 복원율을 계산하는 것을 특징으로 하는 파일 언패킹 방법
|
