표제지
목차
Ⅰ. 서론 5
1. 연구 배경 5
2. 연구 목적 6
3. 논문 구성 7
Ⅱ. 본론 8
1. 관련 연구 8
가. 악성코드의 개요 및 탐지 방법 8
나. 윈도우 실행파일의 구조 9
다. 윈도우 API 후킹 기법 13
2. 악성코드 탐지패턴 16
가. 악성코드의 유형분석 16
나. 악성코드와 API 간의 인과성 분석 23
다. API 추적기반 순서패턴 생성 27
3. 알려지지 않은 악성코드 동적 탐지 30
가. 행동유형기반 동적탐지 방법 32
나. 행동유형기반 행동패턴 생성 35
4. 테스트 및 결과분석 36
가. 테스트 개요 36
나. 테스트 결과 분석 38
Ⅲ. 결론 40
참고문헌 41
〈표 1.1〉 훅 프로시저의 종류 15
〈표 2.1〉 Bagle 웜의 변종별 특징 및 API 분석 18
〈표 2.2〉 Sasser 웜의 변종별 특징 및 API 분석 21
〈표 2.3〉 Agobot 웜의 변종별 특징 및 API 분석 20
〈표 2.4〉 Bropia, Sumom 웜의 변종별 특징 및 API 분석 22
〈표 2.5〉 악성코드에서 사용하는 API 분석 24
〈표 2.6〉 악성코드의 API 사용 목적 25
〈표 2.7〉 각 API 함수별 INDEX ID 테이블 29
〈표 3.1〉 주요 자원별 행동유형 31
〈표 3.2〉 행동유형별 코드의 예 35
〈그림 1.1〉 PE 파일의 구조 10
〈그림 1.2〉 PE 실행압축 파일의 구조 11
〈그림 1.3〉 IMAGE_IMPORT_DESCRIPTOR 구조체 분석 12
〈그림 1.4〉 메시지 훅 14
〈그림 2.1〉 패턴 생성 절차 27
〈그림 2.2〉 Agobot.b 웜에 대한 API (advapi32.dll) 추적 샘플 28
〈그림 2.3〉 Agobot.b 웜에 대한 API (ws2_32.dll) 추적 샘플 28
〈그림 2.4〉 Agobot.b 웜에 대한 순서패턴 생성 예 30
〈그림 3.1〉 악성코드 탐지 흐름도 31
〈그림 3.2〉 행동유형기반 동적탐지 방법 32
〈그림 3.3〉 시스템 전역 콜백코드 작성예 34
〈그림 3.4〉 악성코드 행동패턴 생성 예 36
〈그림 4.1〉 PE 분석툴을 이용한 API 정보 수집 예 38
〈그림 4.2〉 프로세스 감시 데몬의 실행 화면 39
〈그림 4.3〉 허위 악성코드 프로그램의 테스트 화면 39