Improved Original Entry Point Detection Method Based on PinDemonium

많은 악성프로그램은 역공학을 막기 위해 다양한 상용 패커를 사용해 압축 혹은 암호화를 했기 때문에 악성코드 분석가는 압축해제 혹은 복 호화를 먼저 수행해야 한다. OEP(Original Entry Point)는 암호화되거나 압축되어 있는 실행파일을 다시 원본 바이너리 상태로 되돌린 후 실행된 첫 번째 명령어의 주소이다. 여러 언패커는 OEP가 나타나기 전까지 패킹된 파일을 실행하며 주소를 기록한다. 그리고 기록된 주소들 중에 OEP를 찾는다. 그러나 일부 언패커에서 제공하는 OEP 후보들은 비교적 큰 OEP 후보 집합을 제공하거나 후보들 중에 OEP가 없는 경우가 있다. 이에 악성코드 분석가들은 더 적은 OEP 후보 집합을 제공하는 도구가 필요한 실정이다. 본 논문에서는 PinDemonium이라 불리는 언패커에 두 가지 OEP 탐지방법을 추가하여 더 적은 OEP 후보 집합을 제공하는 도구를 만들었다. 첫 번째 방법은 패킹된 프로그램이 완전히 원본 바이너리상태로 되돌아 간 후에는 원프로그램 함수 호출과 동일하다는 것을 활용한 OEP 탐지방법이다. C/C++ 언어로 작성된 프로그램은 바이너리 코드로 언어를 변환하는 컴파일 과정을 거친다. 컴파일 과정을 거친 프로그램에는 특정 시스템 함수들이 추가된다. 이 시스템 함수들은 컴파일러 별로 다르다. 컴파일러 별로 사용되는 시스템 함수를 조사한 후, 패킹된 프로그램에서 호출되는 시스템 함수와 패턴매칭하여 언패킹 작업이 끝났는지 탐지하는 방법이다. 두 번째 방법은 패킹된 프로그램이 완전히 원본 바이너리 상태로 돌아간 후 시스템함수에서 사용되는 매개변수가 원프로그램과 동일하다는 것을 활용한 OEP 탐지방법이다. 시스템함수에서 사용되는 매개변수의 값을 이용해 OEP를 찾는 방법이다. 본 연구는 16종의 상용 패커로 압축된 샘플 프로그램을 대상으로 OEP 탐지 실험을 했다. 본 연구에선 안티 디버깅 기법으로 프로그램을 실행하지 못하는 경우인 2종을 제외하고 PinDemonium 대비 평균 40% 이상 OEP후보를 줄일 수 있었다.Many malicious programs have been compressed or encrypted using various commercial packers to prevent reverse engineering, So malicious code analysts must decompress or decrypt them first. The OEP (Original Entry Point) is the address of the first instruction executed after returning the encrypted or compressed executable file back to the original binary state. Several unpackers, including PinDemonium, execute the packed file and keep tracks of the addresses until the OEP appears and find the OEP among the addresses. However, instead of finding exact one OEP, unpackers provide a relatively large set of OEP candidates and sometimes OEP is missing among candidates. In other words, existing unpackers have difficulty in finding the correct OEP. We have developed new tool which provides fewer OEP candidate sets by adding two methods based on the property of the OEP. In this paper, we propose two methods to provide fewer OEP candidate sets by using the property that the function call sequence and parameters are same between packed program and original program. First way is based on a function call. Programs written in the C/C++ language are compiled to translate languages into binary code. Compiler-specific system functions are added to the compiled program. After examining these functions, we have added a method that we suggest to PinDemonium to detect the unpacking work by matching the patterns of system functions that are called in packed programs and unpacked programs. Second way is based on parameters. The parameters include not only the user-entered inputs, but also the system inputs. We have added a method that we suggest to PinDemonium to find the OEP using the system parameters of a particular function in stack memory. OEP detection experiments were performed on sample programs packed by 16 commercial packers. We can reduce the OEP candidate by more than 40% on average compared to PinDemonium except 2 commercial packers which are can not be executed due to the anti-debugging technique.이 논문은 2017년도 정부(교육부)의 재원으로 한국연구재단의 지원을 받아 수행된 기초연구사업임(No.2017R1D1A1B03029550)

Excavator system proposal and research on efficiency improvement using combined Hybrid hydraulic powertrain system

최근 국제적으로 화석연료고갈 및 환경오염 문제가 대두되면서 건설 및 산업용 중장비 분야 에서는 배기가스 및 에너지 소비 절감에 대한 기술개발이 요구되고 있다. 미국은 향후 1년 안 에 배출가스 규제와 연비 및 CO2 규제를 포함한 ‘Tier V’와 ‘Stage V’를 발효할 예정이며, 유럽과 싱가포르는 실내에서 엔진식 건설기계 사용을 금지하고 있다. 또한 2025년부터 주요도 시의 엔진식 건설기계 진입을 금지할 것으로 발표했다. 현재 이러한 환경오염 및 연비 문제를 해결하기 위해 건설기계의 에너지절감 관련 연구가 활발히 진행되고 있으며 에너지 회생을 포 함한 하이브리드 시스템은 각광받는 에너지 솔루션 중 하나이다. 이러한 하이브리드 시스템에 관해 본 본 연구는 유성기어를 이용한 동력 분배형 하이브리드 시스템과 병렬형 하이브리드 시스템을 합친 복합형 하이브리드 유압 파워트레인 시스템을 이 용한 굴삭기 시스템을 제안 하는 한편 퍼지 로직을 이용한 시스템 제어 전략을 수립하고 유 전 알고리즘을 이용하여 퍼지 로직상 멤버쉽 함수들과 여러 제어 변수들을 최적화 시켜 효율 을 극대화 시키고 Amesim -Matlab/Simulimk 코시뮬레이션을 이용한 시뮬레이션 모델을 구 축하여 이를 검증하고 최적화된 파라미터와 제어기를 바탕으로 실험 장치를 구동하여 그 거동 과 경향이 일치하는지 확인한다Maste

人工새집을 利用한 박새類의 林相別 繁殖生態에 關한 硏究

학위논문(석사)--서울대학교 대학원 :산림자원학과,2003.Maste

A study on the immunogenetic characteristics of the Korean patients with insulin-dependent diabetes mellitus : Measurement of anti-glutamic acid decarboxylase antibody and HLA GenePolymorphism

학위논문(박사)--서울대학교 대학원 :의학과 내과학전공,1996.Docto

The Imperial Presidency by Evasion of the Political Laws in Korea

이 글의 목적은 한국의 제왕적 대통령을 한국의 정치제도의 특성이 아니라 법률이나 제도의 편법적 활용을 통해 설명하는 것이다. 이 글은 한국 정치제도를 통해 대통령의 견제받지 않는 권력으로서 제왕적 대통령을 설명하기 힘들다고 본다. 그 이유는 미국 대통령의 행정명령이나 브라질 대통령의 포고령과 같이 국회의 교착상태를 돌파할 수 있는 수단이 한국 대통령에게 없기 때문이다. 단순 다수대표제 또한 대통령에 대한 거부권 행사자 수를 축소시켜 대통령에 대한 견제를 제약하는 제도로 거론되지만, 거부권 행사자도 집중시켜 그 효과를 상쇄하는 측면도 고려할 필요가 있다. 한국 대통령은 이러한 공식 제도적 권한행사보다 편법적 제도활용을 통해 견제받지 않는 권력을 행사할 수 있다. 다시 말해 한국에서 제왕적 대통령 현상은 대통령이나 행정부의 행정입법인 시행령에 대한 재량권 행사에 입법통제나 사법통제가 어렵고, 검찰이나 국정원과 같은 권력기관의 선별적 동원에 대한 견제가 어려울 때 가능하다. 이것은 공식적인 정치제도 비교만으로 파악하기 힘든 비공식적인 제도 운영방식에 해당되며, 집권세력에게 유리한 세력균형과 역사구조적 조건이 뒷받침될 때 나타난다.The purpose of this paper is to explain the imperial presidency in Korea with the evasion of the political laws or institutions. The existing explanations of the imperial presidency in Korea was based on the characters of the political institutions such as the elements of parliamentary system and majority system with single member districts. The elements of parliamentary system make the presidents legislative power stronger. The majority system reduce the number of veto players. But these may not make the legislative power of Korean president stronger than U.S. or Brazilian presidents. U.S. president can issue the executive orders at the level of law and Brazilian president can issue decrees as the potential law or priority bill. The majority system reduces the number of veto players, but makes them bigger and stronger. And We could not find the evidences which proved that parliamentary system and majority system could explain the character of imperial presidency in Korea. But Korean president can exercise the unchecked discretion with the aversion of the implementing ordinances which are discrepant to the upper laws and selectively mobilizing coersive agencies such as the prosecution to the political arena. The aversions of the political laws or institutions by presidents are the measures of the imperial presidency in Korea

Tyrosinase inhibition activity of some chromones

학위논문(박사)--서울대학교 대학원 :약학과 약품분석학전공,2002.Docto

A Critique on the Inflexible Responses of Kim Young Sam Administration to North Korean Nuclear Crisis

김영삼정부는 제1차 북핵위기와 이에 대한 미북합의로 인해 한국전쟁 이래로 북한문제에 대한 가장 큰 위험과 기회를 맞이했다. 그런데 김영삼정부는 그 기회를 충분히 살리지 못했고, 위험회피에도 기여하지 못했다는 평가가 지배적이다. 기존 연구에서는 관료정치와 언론의 영향력 강화 그리고 김영삼 대통령의 돌출적인 행태 등으로 인한 김영삼정부의 일관성 부족 그리고 북핵위기 대응과정에서 한국의 주도성 미흡 등이 그 기본적인 이유로 지적되었다. 이와 달리 이 연구는 김영삼정부가 일정 범위에서 일관성을 유지했고, 미국과의 조율을 통한 김영삼정부의 영향력은 높은 수준이었음을 밝히고자했다. 나아가 이 글은 김영삼정부 북핵위기 대응의 한계를 김영삼 대통령이 일정 범위의 일관성과 주도성을 추구하면서 드러냈던 경직성에서 찾고자 한다. The Kim Young Sam administration faced not only the peak of crisis but also the biggest opportunity for settlement of the North Korean problem after the Korean War. On the one hand there was the first official US-DPRK agreement, on the other hand the Nuclear Crisis arose just before the military crash in the Korean Peninsula. In these circumstances the Korean Government kept its inflexible conservative position, which was not lack of consistency as many studies argued as a main reason of the failure of the Kim Young Sam administration's foreign policy. The purpose of Kim's inflexible conservative responses were to secure its autonomy to the US and initiative about the North Korean nuclear problem. It seems that the Kim Young Sam administration took more autonomy and initiative, but made the ROK-US or ROK-DPRK relations uneasier.이 연구는 한국연구재단 중점사업(KRF-2008-411-J01603)의 지원을 받아 수행되었

Activity-dependent potentiation of large dense-core vesicle (LDCV) exocytosis

Docto

Taxonomy based on morphological characteristics and mitochondrial DNA maker and habitat use of the Siberian roe deer (Capreolus pygargus) in South Korea

학위논문(박사) --서울대학교 대학원 :산림과학부(산림환경학전공), 2009.8.Docto

Efficient chaining schemes and signature scheme for stream authentication

학위논문(박사)--서울대학교 대학원 :전기·컴퓨터공학부,2003.Docto