earticle

영어

As malware generation techniques have been advanced, malware authors utilize various malware analysis evasion techniques such as obfuscation, garbage code insertions and string encryption. To alleviate such problems, we designed and implemented a malware analysis system which is specialized in dumping memory of a virtual machine. Malware analysis based on memory dump is a promising way to deep dive into the obfuscated malwares. Our system makes it possible to take a memory snapshot at a time of a certain API called. Furthermore, it accelerated the memory dump. Consequently, users can extract hidden information such as encrypted data and functional parameters from the malware in a user friendly manner. According to our experiments, our system can detect such hidden strings and API arguments even with analysis evasion techniques.

한국어

최근 유포되는 악성코드에는 악성코드 분석을 방해하기 한 코드삽입, 난독화, 문자열 암호화 등 다양한 악성코드 분석회피 기술이 용되고 있다. 본 논문에서는 이러한 분석회피 기술이 용된 악성코드의 분석을 해, 가상머신 에 악성코드를 구동시킨 후 악성코드가 특정 API를 호출하면 정확한 시에 가상머신의 메모리 이미지를 빠르게 추 출 할 수 있는 악성코드 분석 시스템을 구하다. 악성코드에서 특정 API가 호출된 정확한 시에 메모리 덤 일을 얻을 수 있다면, 메모리분석을 통해 악성코드가 사용한 함수의 매개변수나 암호화 된 데이터 난독화가 해 제된 코드 정보를 얻을 수 있게 된다. 실험결과 악성코드가 API호출한 정확한 시에 메모리 덤를 할 수 있었고, 메모리 분석을 통해 분석회피 기술이 용된 악성코드로부터 숨겨진 문자열과 API 매개변수를 추출 할 수 있었다.