실행 파일 형태로 복원하기 위한 Themida 자동 역난독화 도구 구현

Vol. 27, No. 4, pp. 785-802, 8월. 2017
10.13089/JKIISC.2017.27.4.785, Full Text:
Keywords: De-obfuscation, Program Analysis, software protection, Automatic Analysis Tool
Abstract

악성코드를 이용한 사이버 위협이 꾸준히 증가함에 따라 많은 보안 및 백신 관련 업체들이 악성코드 분석 및 탐지에 많은 노력을 기울이고 있다. 그러나 소프트웨어의 분석이 어렵도록 하는 난독화 기법이 악성코드에 적용되어 악성코드에 대한 빠른 대응이 어려운 실정이다. 특히 상용 난독화 도구는 빠르고 간편하게 변종 악성코드를 생성해 낼 수 있기 때문에 악성코드 분석가가 새로운 변종 악성코드의 출현 속도에 대응할 수 없도록 한다. 분석가가 빠르게 악성코드의 실제 악성행위를 분석하도록 하기 위해서는 난독화를 해제하는 역난독화 기술이 필요하다. 본 논문에서는 상용 난독화 도구인 Themida가 적용된 소프트웨어를 역난독화하는 일반적인 분석방법론을 제안한다. 먼저 Themida를 이용하여 난독화가 적용된 실행파일을 분석하여 알아낸 Themida의 동작 원리를 서술한다. 다음으로 DBI(Dynamic Binary Instrumentation) 프레임워크인 Pintool을 이용하여 난독화된 실행파일에서 원본 코드 및 데이터 정보를 추출하고, 이 원본 정보들을 활용하여 원본 실행파일에 가까운 형태로 역난독화할 수 있는 자동화 분석 도구 구현 결과에 대해 서술한다. 마지막으로 원본 실행파일과 역난독화한 실행파일의 비교를 통해 본 논문의 자동화 분석 도구의 성능을 평가한다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
Y. Kang, M. C. Park, D. H. Lee, "Implementation of the Automated De-Obfuscation Tool to Restore Working Executable," Journal of The Korea Institute of Information Security and Cryptology, vol. 27, no. 4, pp. 785-802, 2017. DOI: 10.13089/JKIISC.2017.27.4.785.

[ACM Style]
You-jin Kang, Moon Chan Park, and Dong Hoon Lee. 2017. Implementation of the Automated De-Obfuscation Tool to Restore Working Executable. Journal of The Korea Institute of Information Security and Cryptology, 27, 4, (2017), 785-802. DOI: 10.13089/JKIISC.2017.27.4.785.