엔트로피를 이용한 실행 압축 해제 기법 연구

Abstract

봇이나 웜 등의 악성코드는 오늘날 가장 큰 위협으로 자리 잡았다. 공격자들이 이들을 이용하여 일반 사용자들의 개인 정보를 수집하거나 금전적 피해를 입히고 있기 때문이다. 최근의 악성 코드들은 안티 바이러스 프로그램을 회피하기 위해서 실행 압축 등의 코드 혼란 기법을 사용하고 있다. 이로 인해 악성 코드의 탐지 및 방어가 점점 더 어려워지고 있다. 이를 해결하기 위해서 본 논문에서는 엔트로피 분석을 이용한 범용적인 실행 압축 해제 기법을 제안한다. 실험한 결과 실행 압축 알고리즘의 종류에 따라서 초기의 엔트로피와 실행 압축 해제 후의 엔트로피 차이가 작게는 2.5, 크게는 4 정도까지 눈에 띄는 엔트로피 값의 변화를 보였다. 이를 통해 본 논문에서 제안하는 실행 압축 해제 알고리즘을 이용하여 실행 압축을 해제할 수 있음을 확인하였다.