가상머신 기반으로 난독화 된 실행파일의 구조 및 원본의미 추출 동적 방법

Abstract

바이너리 실행파일을 난독화 하는 것은 원래의 프로그램을 그 의미를 분석하기 어려운 형태로 변환하기 때문에 소프트웨어의 저작권을 보호 할 수 있는 효과적인 기술이다. 바이너리 실행파일을 난독화 함으로써, 실행파일 내에서 의미있는 정보를 추출하기에 더욱 많은 시간이 소요 될 수 있다. 최근 몇 년 동안, 난독화 기술은 백신 프로그램과 분석가들로 부터 악성코드를 보호하기 위해 악용되어 큰 위협이 되고있다. 시그니처 기반의 백신 프로그램은 난독화된 악성코드를 찾아낼 수 없고 프로그램 분석가들은 그 의미를 찾아내기 위해 이전보다 더욱 많은 시간과 노력을 기울여야 한다. 특히, 임의의 가상머신 기반으로 난독화 된 악성코드는 그 분석이 더욱 어렵다. 정적분석 기법을 이용하면, 오직 가상머신 기반으로 난독화 된 프로그램의 가상머신만 분석할 수 있기 때문에 그 의미를 직접적으로 추출하는 것은 불가능 하다. 한편, 원본 프로그램의 의미는 가상머신의 의미와 섞여있기 때문에 동적분석 방법을 적용하는 것 또한 쉽지않다. 게다가 가상머신 기반의 난독화 기법은 다른 난독화 기법들과 쉽게 혼합하여 사용될 수 있다. 이러한 위협에 대응하기 위하여, 가상머신 기반으로 난독화 된 프로그램을 분석하는 동적분석 기반의 프레임워크를 제안한다. 첫 째, 가상머신 기반으로 난독화 된 실행파일의 동적 실행 트레이스를 추출한다. 둘 째, 동적 실행 트레이스를 중간언어로 변환하고 동적 컨트롤 플로우 그래프를 이용하여 가상머신의 구조를 추출한다. 결과적으로, 추출된 가상머신 구조를 이용하여 원본 프로그램의 요약 의미를 추출한다. 개발 된 프레임워크는 가상머신 기반으로 난독화 된 프로그램을 이해하고 프로그램 분석 기법을 적용하는데 활용될 수 있으며 추출 된 원본 프로그램의 요약 의미를 이용하여 추가적인 분석을 적용할 수 있을 것으로 기대한다.