안상준, 조은선, 이석수,

Vol. 36, No. 1, pp. 147-153, 2월. 2026
10.13089/JKIISC.2025.35.6.147, Full Text:
Keywords: Virtualization Obfuscation, Static Analysis, LLVM Pass
Abstract

악성코드는 분석을 어렵게 하기 위해 악성행위에 난독화 기법을 적용한다. 그 중 가상화 난독화는 공격자가 정의한 임의의 가상 머신코드를 사용하여 프로그램을 보호하는 기법으로서, 결과 코드가 길고 복잡해서 역난독화 및 분석을 어렵게 하는 강력한 난독화 방법이다. 본 논문은 이러한 가상화 난독화 코드의 역난독화를 위하여 정적 분석으로 가상화 난독화의 구조를 탐지하고자 하였다. 난독화된 코드의 가상화 난독화 작동 원리를 파악하고, LLVM IR을 이용하여 역난독화의 핵심 특징이 되는 디스패치, 핸들러, VM 영역 등 핵심 구조를 정의 및 식별하였다. 실험 결과, 최적화가 적용되지 않은 환경에서는 제안한 LLVM Pass가 switch, direct, indirect 등 주요 가상화 옵션에 대해 모든 핵심 구조를 완전하게 탐지함을 확인하였다.

Statistics
Cite this article