표제지
논문요약
목차
제1장 서론 8
제1절 연구 배경 및 목적 8
제2절 연구의 방법 및 구성 10
제2장 이론적 배경 11
제1절 해커의 분류 11
제2절 길버트 아라베디언 기법의 해커분류 13
제3절 해킹그룹의 분류 (국가별 APT 그룹) 15
제4절 기존 악성코드 탐지 방법 25
제5절 악성코드 분석 방법 26
제6절 Rich Header 36
제3장 Rich Header 정보를 활용한 악성코드 분류 43
제1절 Rich Header의 특징 43
제2절 제안하는 그룹 분류 및 방법 45
제4장 실험 및 결과 분석 47
제1절 실험 환경 47
제2절 실험 결과 48
제5장 결론 및 향후 연구 49
제1절 연구결과 및 의의 49
제2절 향후 연구방향 49
참고문헌 50
Abstract 51
〈표 2-1〉 중국 국적 추정 해킹그룹 관련 악성코드 19
〈표 2-2〉 러시아 국적 추정 해킹그룹 관련 악성코드 20
〈표 2-3〉 베트남 국적 추정 해킹그룹 관련 악성코드 21
〈표 2-4〉 이란 국적 추정 해킹그룹 관련 악성코드 22
〈표 2-5〉 북한 국적 추정 해킹그룹 관련 악성코드 24
〈표 2-6〉 악성코드 정적분석에 사용되는 도구 30
〈표 2-7〉 악성코드 동적분석에 사용되는 도구 32
〈표 2-8〉 Rich Heaer 각각의 속성 의미 39
〈표 2-9〉 @Comp.id block 세부 속성 39
〈표 2-10〉 Rich Header 생성 / 비생성 컴파일러 40
〈그림 2-1〉 악성코드 분석방법에 따른 난이도 26
〈그림 2-2〉 컴파일과 디스어셈블 차이 33
〈그림 2-3〉 PE 헤더 구조 36
〈그림 2-4〉 Rich Header 구조 37
〈그림 2-5〉 XOR 연산이 완료된 Rich Header 구조 38
〈그림 2-6〉 Rich Header 속성 38
〈그림 2-7〉 @Comp.id Structure 39
〈그림 2-8〉 동일한 Rich Header 구조를 가진 악성코드 40
〈그림 2-9〉 MSVC6에서 빌드된 것으로 출력되는 'Olympic Destroyer'... 41
〈그림 2-10〉 MSVC10 라이브러리를 사용한 흔적 41
〈그림 3-1〉 동일한 PC에서 제작했을 때 같은 값을 가지는 Rich Header 43
〈그림 3-2〉 악성코드 제작기로 제작한 악성코드의 Rich Header 값 비교 44
〈그림 3-3〉 A 국가로 추정되는 해킹그룹의 악성코드 Rich Header 값 비교 46
〈그림 4-1〉 특정 해킹그룹별 배포 악성코드의 동일한 Rich Header Plain Text 값 48