VMProtect 동작원리 분석 및 자동 역난독화 구현

Vol. 30, No. 4, pp. 605-616, 8월. 2020
10.13089/JKIISC.2020.30.4.605, Full Text:
Keywords:
Abstract

난독화 기술은 프로그램의 기능성은 그대로 유지하면서 자료구조, 제어흐름 등 내부 로직을 변형함으로써 프로그 램의 분석을 지연시키는 기술이다. 그러나 이러한 난독화 기술을 악성코드에 적용함으로써 안티바이러스 소프트웨어 의 악성코드 탐지율을 저하시키는 사례가 빈번하게 발생하고 있다. 소프트웨어 지적재산권을 보호하기 위하여 적용 되는 난독화 기술이 역으로 악성코드에 적용됨으로써 악성코드 탐지율을 저해할 뿐만 아니라 이의 분석을 어렵게 하 여 악성코드의 기능성 파악에도 어려움을 주게 되므로 난독화가 적용된 코드를 원본에 가깝게 복원할 수 있는 역난 독화 기술의 연구 또한 꾸준히 지속 되어야 한다. 본 논문에서는 상용 난독화 도구 중 대중적으로 널리 알려져 있는 도구인 VMProtect 3.4.0에서 제공하는 세부 난독화 기술 중 Pack the Output File, Import Protection의 옵션이 적용되어 난독화 된 코드의 특징을 분석하고 이의 역난독화 알고리즘을 제시하고자 한다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
C. Bang, J. H. Suk, S. Lee, "VMProtect Operation Principle Analysis and Automatic Deobfuscation Implementation," Journal of The Korea Institute of Information Security and Cryptology, vol. 30, no. 4, pp. 605-616, 2020. DOI: 10.13089/JKIISC.2020.30.4.605.

[ACM Style]
Cheol-ho Bang, Jae Hyuk Suk, and Sang-jin Lee. 2020. VMProtect Operation Principle Analysis and Automatic Deobfuscation Implementation. Journal of The Korea Institute of Information Security and Cryptology, 30, 4, (2020), 605-616. DOI: 10.13089/JKIISC.2020.30.4.605.