멀티태스킹 상황에서 업무적 특성과 개인의 자기 효능감을 고려한 효율적인 프로젝트관리 전략

박준영,박도형 한국정보시스템학회 2019 情報시스템硏究 Vol.28 No.4

Purpose The purpose of this study is to investigate cognitive mechanism of goal relations (Single-goal vs. Multiple-goals) and to-do list (Packing vs. Unpacking) and also verify the role of self-efficacy in the perspective of motivation belief. The perspective of cognitive mechanism is related to the effects of how the relations of multitasking environments affects to facilitating relation or conflicting relations. In pursuit of a single goal, judgement of task importance can be facilitated by unpacking effect due to relations of strongly associated project components including to-do list. On the other hands, in pursuit of multiple goals, judgement of task importance can be conflicted due to mutually exclusive relations of multiple goals. Additionally, the cognitive mechanism can be regulated from the role of self-efficacy, which contributes to motivation belief on how much a person is confident in achieving given tasks. In the end this research is to identify self-efficacy as boundary condition in inhibiting the effects of facilitation and conflict. Design/methodology/approach This study conducted Two-way ANOVA (Packing/ Unpacking * Single-goal/ Multiple-goals) to explore the effects of cognitive mechanism on task importance. After that we performed Three-way ANOVA, 2 (To-do list: Packing/ Unpacking) * 2 (Goal relation: Single-goal/ Multiple-goals) * 2 (Self-efficacy: Low self-efficacy/ High self-efficacy) to verify the role of self-efficacy between goal relations and to-do list. Findings In the cognitive mechanism, the task importance is not significantly different between in packed and in unpacked condition in pursuit of a single goal. But multitasking with multiple goals causes goal conflict, which means packed condition indicates significantly higher task importance than unpacked condition. Additionally, for a group with low self-efficacy unpacking leads to conflicting relation, which implies that packed condition is more efficient strategy than packed condition. On the other hands, in pursuit of mulitple goals, either packing or unpacking has no distinctive effects on task importance. However, participants with high self-efficacy are no longer affected by facilitating relation and conflicting relation as well in pursuit of either a single goal or multiple goals as well.

엔트로피 값 변화 분석을 이용한 실행 압축 해제 방법 연구

이영훈(Young-hoon Lee),정만현(Man-Hyun Chung),정현철(Hyun-Cheol Jeong),손태식(Tae-shik Shon),문종섭(Jong-sub Moon) 한국정보보호학회 2012 정보보호학회논문지 Vol.22 No.2

악성코드의 탐지 및 분석 회피 기술 중 실행 압축 기술은 악성코드의 용량을 줄이고 분석가가 코드를 분석할 때 혼란을 주도록 코드를 변형하고 있다. 따라서 악성코드의 확산이 용이해지고 분석하는데 시간이 오래 걸려 신속한 대응이 어렵게 만들고 있다. 최근에는 이러한 실행 압축된 악성코드에 대응하기 위하여 실행 압축 해제 관련 연구가 진행되고 있다. 실행 압축 프로그램은 실행되면 실행 압축을 해제하게 된다. 실행 압축 해제 때 압축되어 있던 데이터가 해제 되면서 실행 압축 파일의 데이터가 변경되거나 추가되어 데이터의 변화가 생기게 된다. 이때 이러한 변화 때문에 실행 압축 파일의 엔트로피 값이 변화하게 된다. 실행 압축 해제가 끝나게 되면 이러한 데이터 변화가 끝나고 실제적인 프로그램이 수행되므로 엔트로피 값이 변화하지 않게 된다. 그러므로 이러한 성질을 이용하여 실행 압축 해제되는 시점을 찾게 되면 실행 압축 알고리즘에 상관없이 실행 압축을 해제 할 수 있게 된다. 본 논문에서는 실행 압축 파일의 압축 해제 때의 엔트로피 값 변화량을 보고 실행 압축 해제가 끝나는 시점을 판단하여 실행 압축을 해제하는 방법을 제안한다. Packing techniques, one of malicious code detection and analysis avoidance techniques, change code to reduce size and make analysts confused. Therefore, malwares have more time to spread out and it takes longer time to analyze them. Thus, these kind of unpacking techniques have been studied to deal with packed malicious code lately. Packed programs are unpacked during execution. When it is unpacked, the data inside of the packed program are changed. Because of these changes, the entropy value of packed program is changed. After unpacking, there will be no data changes; thus, the entropy value is not changed anymore. Therefore, packed programs could be unpacked finding the unpacking point using this characteristic regardless of packing algorithms. This paper suggests the generic unpacking mechanism using the method estimating the unpacking point through the variation of entropy values.

인 메모리 악성코드 인젝션 기술의 언 패킹기법

배성일,임을규 (사)한국스마트미디어학회 2019 스마트미디어저널 Vol.8 No.1

At the opening ceremony of 2018 Winter Olympics in PyeongChang, an unknown cyber-attack occurred. Themalicious code used in the attack is based on in-memory malware, which differs from other malicious code in itsconcealed location and is spreading rapidly to be found in more than 140 banks, telecommunications andgovernment agencies. In-memory malware accounts for more than 15% of all malicious codes, and it does not storeits own information in a non-volatile storage device such as a disk but resides in a RAM, a volatile storage deviceand penetrates into well-known processes (explorer.exe, iexplore.exe, javaw.exe). Such characteristics make itdifficult to analyze it. The most recently released in-memory malicious code bypasses the endpoint protection anddetection tools and hides from the user recognition. In this paper, we propose a method to efficiently extract thepayload by unpacking injection through IDA Pro debugger for Dorkbot and Erger, which are in-memory maliciouscodes. 2018년 평창 동계 올림픽 개막식에서 출처를 알 수 없는 사이버공격이 발생하였다. 해당 공격에서 사용된 악성코드는 인 메모리 악성코드로 기존 악성코드와 은닉하는 장소가 다르며, 140개 이상의 은행, 통신, 정부 기관에서 발견될 정도로 빠르게 확산되고 있다. 인 메모리 악성코드는 전체 악성코드의 15%이상을 차지하며 매우 심각한 피해를 주고 있다. 비휘발성 저장장치로알려진 하드디스크에 자신의 정보를 저장하는 것이 아닌 휘발성 저장장치 인 램의 특정 메모리영역인 프로세스에 삽입하여악성행위를 일으키는 악성코드를 인 메모리 악성코드라고 지칭한다. 결과적으로 자신의 정보를 남기지 않아 메모리 탐지 도구를 우회하여 악성코드 분석가들의 분석을 어렵게 한다. 또한 현대 메모리는 갈수록 크기가 증가해 메모리 탐지 도구를 사용하여메모리전체를 보기 힘들다. 따라서 본 논문에서는 인 메모리 악성코드인 Dorkbot과 Erger를 대상으로 IDA Pro 디버거를 통해인젝션을 언 패킹하여 효율적으로 페이로드를 산출하는 방법을 제안한다.

최신 버전의 Themida가 보이는 정규화가 어려운 API 난독화 분석방안 연구

이재휘,이병희,조상현 한국정보보호학회 2019 정보보호학회논문지 Vol.29 No.6

The latest version of commercial protector, Themida, has been updated, it is impossible to apply a normalized unpackingmechanism from previous studies by disable the use of a virtual memory allocation that provides initial data to be tracked. In addition, compared to the previous version, which had many values that determined during execution and easy to trackdynamically, it is difficult to track dynamically due to values determined at the time of applying the protector. We will lookat how the latest version of Themida make it difficult to normalize the API wrapping process by adopted techniques andexamine the possibilities of applying the unpacking techniques to further develop an automated unpacking system. 최근 상용 프로텍터인 Themida의 최신 버전이 업데이트되면서, 추적할 초기 데이터를 제공하는 가상 메모리 할당을 사용하지 않도록 변경해 기존 연구의 정규화된 대응방안을 적용할 수 없게 되었다. 또한, 실행 중에 결정되는 값이 많아 동적으로 추적하기 수월했던 기존의 버전에 비해, 프로텍터를 적용하는 시점에 결정된 고정값이 많아 동적으로 추적하는데 어려움이 생겼다. API 난독화 과정을 정규화하기 어려워지도록 최신 버전의 Themida가 어떤 방식을채용했는지 알아보고, 이를 해제하는 자동화된 시스템을 추후 개발하기 위해 어떠한 기술을 적용할 수 있을지 가능성을 검토해 본다.

정적분석을 위한 통합 언패킹 및 역난독화 자동화 시스템 개발

이진성,이호웅,김지훈,임성호,정도준,변준석 한국법과학회 2023 한국법과학회지 Vol.24 No.2

Recently, technologies that make static analysis difficult are applied to most malicious codes, and the most representative technologies are packing and obfuscation technologies. Therefore, research on unpacking and deobfuscation techniques is essential for effective static analysis. Therefore, in this paper, an integrated unpacking and deobfuscation automation system was developed to solve this problem, and a 94.9% recovery rate was confirmed through a verification process.

Themida의 API 난독화 분석과 복구방안 연구

이재휘(Jae-hwi Lee),한재혁(Jaehyeok Han),이민욱(Min-wook Lee),최재문(Jae-mun Choi),백현우(Hyunwoo Baek),이상진(Sang-jin Lee) 한국정보보호학회 2017 정보보호학회논문지 Vol.27 No.1

프로텍터란 프로그램의 핵심 아이디어를 보호하기 위해 실행파일을 압축하고 난독화를 적용하는 프로그램이다. 그리고 최근 악성코드가 자신의 악성행위를 분석하기 어렵게 만들기 위해 프로텍터를 적용하고 있다. 프로텍터가 적용된 실행파일을 정밀분석하기 위해서는 프로텍터를 해제하는 언패킹 작업이 필요하다. 기존의 연구에서는 OEP를 찾아 언패킹을 하는 것에 주력하였지만, 분석방해가 목적인 프로텍터의 경우 실행압축 해제가 완료된 이후의 실행에 분석방해 기능들이 남아있게 되어 여전히 분석에 어려움이 있다. 본 논문에서는 분석방해가 목적인 Themida 프로텍터가 사용하는 분석방해 기술을 분석하고 그에 대한 대응방안을 제안한다. A protector is a software for protecting core technologies by using compression and encryption. Nowadays malwares use the protector to conceal the malicious code from the analysis. For detailed analysis of packed program, unpacking the protector is a necessary procedure. Lately, most studies focused on finding OEP to unpack the program. However, in this case, it would be difficult to analyze the program because of the limits to remove protecting functions by finding OEP. In this paper, we studied about the protecting functions in the Themida and propose an unpacking technique for it.

광고규제기업과 사회공헌활동의 적합성과 제시 메시지 유형이 사회공헌활동 평가와 기업태도에 미치는 영향

남아영 한국상품학회 2022 商品學硏究 Vol.40 No.6

본 연구는 유해 제품을 생산으로 인해 광고가 규제되는 기업의 사회공헌활동 효과에 대한 연구이다. 구체적으로 유해 제품 광고규제기업과 사회공헌활동 적합성 따른 효과적인 사회공헌활동의 유형을 살펴봄과 함께 이러한 효과에 대한 메커니즘으로 설득지식에 주목하였다. 또한 메시지 차별화 전략으로 유해 제품 광고규제기업의 사회공헌활동 적합성에 따라 어떠한 제시 메시지 유형이 사회공헌활동 평가와 기업태도에 더 효과적인지를 고찰하고자 하였다. 이를 검증하고자 2(유해 제품 광고규제기업과 사회공헌활동의 적합성: 적합성 높음 vs. 적합성 낮음) X 2(메시지 제시유형: 포괄적 메시지 vs. 구체적 메시지) 요인 설계 방안을 적용하여 실험을 실시하여 이에 대한 설득지식과 사회공헌활동 평가, 기업태도를 살펴보았다. 그 결과 유해 제품과 사회공헌활동의 적합성이 낮은 경우가 높은 경우보다 기업 사회공헌활동 평가와 기업태도가 높다는 것과 이에 대한 메커니즘으로 유해 제품과 사회공헌활동의 적합성이 높은 경우가 낮은 경우보다 설득지식이 더 활성화되는 것이기 때문이라는 것을 실증적으로 밝혀내었다. 유해 제품 광고규제기업 사회공헌활동은 포괄적인(packing) 메시지를 제시하는 것이 구체적인(unpacking) 메시지를 제시하는 것보다 설득지식을 더 활성화 시키는 것을 검증하였다. 이러한 결과들을 토대로 마지막으로 메시지 차별화 전략 측면에서 유해 제품 광고규제기업과 사회공헌활동과 적합성이 높은 경우에는 구체적인 메시지를 제시하는 것이 포괄적인 메시지를 제시하는 것보다 높은 사회공헌활동 평가와 더 호의적인 기업태도를 보이는 것을 실증적으로 검증하였다. 유해 제품 광고규제기업의 경우 적합성이 높은 사회공헌활동의 경우, 설득지식을 완화하는 방법으로 지지이론에 근거해서 언패킹 효과를 유도하는 구체적인 메시지를 제시를 하는 것이 포괄적인 메시지를 제시하는 것보다 사회공헌활동 평가와 기업태도를 더 긍정적으로 이끌어낼 수 있다는 것을 검증한 것이다. 그러나 유해 제품과 사회공헌활동과 적합성이 낮은 경우에는 메시지 유형에 대한 조절효과가 나타나지 않았다. 이 같은 결과를 토대로 학문적, 실무적 시사점을 논의하였다.

미래 사건의 제시방식과 사건들의 특성이 자기개발 목표행동에 미치는 효과

김정애(Jung Ae Kim),김재휘(Jae Hwi Kim) 한국광고홍보학회 2014 한국광고홍보학보 Vol.16 No.3

본 연구는 장기적 자기개발 목표행동을 시작하는 시점에서 목표수행 기간을 짧게 지각할수록 목표행동 시행의도가 높아진다는 것을 확인하고자 하였다. <연구 1>에서는 장기적금을 가입하는 상황을 가정하고, 목표수행기간 동안 발생 가능한 사건들을 제시하는 방식(통합/분리)과 제시한 사건의 인과성(고/저)에 따라서 가입의도가 달라지는지를 확인하였다. 연구결과 사건의 제시방식의 주효과, 사건들 간의 인과성의 주효과, 그리고 제시방식과 사건의 인과성의 상호작용 모두 통계적으로 유의하였다. 또한 이러한 결과에 있어서 시간 지각의 매개효과를 검증하였다. <연구 2>는 다이어트 프로그램을 신청하는 상황을 가정하고, 사건의 제시방식(통합/분리)과 제시한 사건이 유발하는 정서값(긍정/부정)에 따라 프로그램 신청의도가 달라지는지를 확인하였다. 연구결과 사건의 제시방식의 주효과와 사건의 정서값의 주효과는 통계적으로 유의하지 않았으나, 상호작용은 유의하였다. 또한 시간 지각에 있어서도 제시방식과 사건의 정서값에 의한 상호작용이 통계적으로 유의하였으며 시간 지각의 매개효과를 검증하였다. This research is intended to identify that the shorter the percept of goal duration is, the higher the implementation intention in starting point of self-Improvement Plan is. In study 1 which was based on the supposition of installment saving situation, the study investigated whether saving situation was changed by representation type of future events (packing/unpacking) and causality (high/low) among events. The result of study 1 showed two things. First, not only main effects of event representation type and event causality were significant, but also interaction effect of event representation type and causality was significant. Second, time perception played mediation role to saving intention. In study 2, the study supposed diet program, and identified the effect of event representation type (packing/unpacking) and event valence (positive/negative) on implementation intention of the diet program. The result of study 2 showed that both main effect of event representation type and event`s valence were not significant. Their interaction effect, however, was significant. In addition, their interaction effect was significant on time perception.

명령제어 서버를 이용한 IRC 악성코드 분석 및 트래픽 제어

배성일(Seong Il Bae),임을규(Eul Gyu Im) 한국정보과학회 2019 정보과학회 컴퓨팅의 실제 논문지 Vol.25 No.1

IRC(Internet Relay Chatting)는 인터넷 채팅 서비스로서 채팅을 수행하기 위해서 IRC 서버에 접속해야 한다. 봇넷 중에는 IRC 채널을 이용하는 봇넷이 있으며, IRC 봇은 서버에 접속하는 프로그램인 IRC 클라이언트에 스크립트를 처리할 수 있는 기능이 포함되어 있다. 악성 IRC봇은 IRC 채널에서 채널 생성자가 접속자에게 특정 명령을 전송할 수 있고 클라이언트들이 해당 명령을 수행할 수 있는 기능을 악용하여 공격을 수행한다. 악성 IRC봇을 통해 발생 가능한 공격에는 트로이 목마(Trojan Horse), 백도어(Backdoor), 분산서비스거부(DDoS) 등이 있으며, 감염된 시스템이 방대할수록 공격의 강도가 증가해 공격 받는 시스템의 서비스 가용성에 문제가 발생할 수 있다. 본 논문에서는 IRC Bot으로 알려져 있는 Phorpiex와 Shadowbot의 다양한 행위 정보를 추출하기 위해 정적 분석 및 동적 분석을 수행한 결과와 인젝션기법을 언 패킹하는 방법을 제안하며, 자동화된 스크립트를 이용한 버퍼수정을 통해 서버의 명령을 제어하여 실행코드의 특정 분기로 이동할 수 있는 방법을 제안한다. Internet Relay Chatting (IRC) is an Internet chat service that requires one to connect to an IRC server to chat. Botnets that use the IRC channel and the IRC bot have the ability to process scripts to the IRC client, which is a program that connects to the server. Malicious IRC bots can exploit the ability of a channel creator to send a specific command to an IRC channel and of the clients to execute the command. There are Trojan Horse, Backdoor and DDoS attacks that can occur through malicious IRC bots. The more infected systems are, the more intense the attack may occur. In this study, we propose a static analysis and a dynamic analysis to extract various behavior information of Phorpiex and Shadowbot known as IRC Bot, and a method of unpacking the injection technique through buffer modification using an automated script, to move to a specific branch of executable code.

엔트로피를 이용한 실행 압축 해제 기법 연구

정구현(GuHyeon Jeong),추의진(Euijin Choo),이주석(Joosuk Lee),이희조(Heejo Lee) 한국정보기술학회 2009 한국정보기술학회논문지 Vol.7 No.1