가상화 난독화 기법이 적용된 실행 파일 분석 및 자동화 분석 도구 구현

Vol. 23, No. 4, pp. 709-720, 8월. 2013
10.13089/JKIISC.2013.23.4.709, Full Text:
Keywords: Virtualization Obfuscation, Program Analysis, Automatic Analysis Tool
Abstract

가상화 난독화 기법은 보호하고자 하는 코드영역에 가상화 기법을 적용함으로써 코드의 분석을 어렵게 하는 기법이다. 상용 가상화 난독화 도구로 보호된 프로그램은 가상화된 코드가 원본코드로 복원되는 시점이 존재하지 않고 다양한 난독화 기법으로 가상화 영역이 보호되어 있어 분석하기 어렵기로 잘 알려져 있다. 그러나 이러한 가상화 난독화 기법이 악성코드 보호에 악용되면서 악성코드의 분석 및 대응에 어려움을 겪고 있는 현실이다. 본 논문에서는 상용 가상화 난독화 기법의 핵심 요소들을 자동으로 추출하고 실행 과정을 트레이스 할 수 있는 도구를 구현함으로써 상용 가상화 난독화 도구로 보호되어 있는 악성코드의 분석 및 대응에 활용할 수 있도록 한다. 이를 위하여 가상화 난독화 기법의 기본 구조와 동작 과정을 정리하고, 상용 가상화 난독화 기법으로 보호된 실행 파일을 대상으로 프로그램 분석 기법 중 하나인 Equation Reasoning System을 활용한 분석 결과를 제시한다. 또한 상용 가상화 난독화 도구로 보호되어 있는 실행 파일에서 가상화 구조를 추출하고 프로그램 실행 순서를 도출할 수 있는 자동화 분석 도구를 구현한다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
J. H. Suk, S. Kim, D. H. Lee, "Analysis of Virtualization Obfuscated Executable Files and Implementation of Automatic Analysis Tool," Journal of The Korea Institute of Information Security and Cryptology, vol. 23, no. 4, pp. 709-720, 2013. DOI: 10.13089/JKIISC.2013.23.4.709.

[ACM Style]
Jae Hyuk Suk, Sunghoon Kim, and Dong Hoon Lee. 2013. Analysis of Virtualization Obfuscated Executable Files and Implementation of Automatic Analysis Tool. Journal of The Korea Institute of Information Security and Cryptology, 23, 4, (2013), 709-720. DOI: 10.13089/JKIISC.2013.23.4.709.