가상화 기법으로 난독화된 실행 파일의 동적 분석 방법

전준수; 한태숙; Joonsoo Jeon; Taisook Han

연구문헌

국내 논문지

홈 > 연구문헌 > 국내 논문지 > 한국정보과학회 논문지 > 정보과학회 논문지 B : 소프트웨어 및 응용

정보과학회 논문지 B : 소프트웨어 및 응용

Current Result Document :

한글제목(Korean Title)	가상화 기법으로 난독화된 실행 파일의 동적 분석 방법
영문제목(English Title)	Dynamic Analysis of Virtualization-Obfuscated Binary Executables
저자(Author)	전준수 한태숙 Joonsoo Jeon Taisook Han
원문수록처(Citation)	VOL 40 NO. 01 PP. 0061 ~ 0071 (2013. 01)
한글내용 (Korean Abstract)	악성코드에는 그 내용을 분석하여 대응책을 만들기 어렵게 하기 위하여 코드 난독화 기법들이 적용되어 있고, 사용되는 난독화 기법도 갈수록 고도화되고 다양해지고 있다. 특히 원본 프로그램을 구조가 알려지지 않은 가상기계의 바이트코드로 변환하고 해당 바이트코드를 함께 탑재한 가상기계로 실행하도록 하는 가상화를 이용한 난독화 기법은 원본 프로그램의 구조를 완전히 바꾸어 분석을 극도로 어렵게 만들고 있으며, 이를 응용한 변종 기법들도 다수 등장하고 있다. 이러한 난독화 기법들에 일일이 대응하여 역공학 기법을 개발하는 것은 매우 어렵다. 그러나 난독화된 프로그램은 필연적으로 원본 프로그램과 동일한 의미를 가져야 하므로 프로그램의 동적인 동작을 조사하여 이를 바탕으로 프로그램의 구조와 의미를 분석하는 것은 분석자가 프로그램의 내부를 파악하는 데 큰 도움이 된다. 본 논문에서는 가상화 기법으로 난독화된 프로그램의 구조와 의미를 파악하는 데 도움을 주는 동적 분석 알고리즘을 설계하고 이를 구현하여 분석에 도움을 주는 도구를 개발하였다. 분석자는 제안된 기법들과 개발된 도구를 이용하여 난독화된 악성코드를 이해하는데 걸리는 시간을 절약할 수 있다고 판단된다.
영문내용 (English Abstract)	Understanding the behavior of a malware is a difficult task because malware writers distort the binary executable with obfuscation techniques. Moreover, obfuscation techniques become sophisticated and diverse, and even the virtualization technique is applied. With virtualization of a binary executable, original instructions are transformed into bytecodes of unidentifiable virtual machine (VM) that simulates VM bytecodes during the execution. The virtualization modifies the structure of the programs and causes hard and time-consuming analyses. Furthermore, variations of VM hinder to devise a standard reverse-engineering technique. Nonetheless, since an obfuscated program inevitably has the same semantics as the original program, monitoring dynamic behaviors of the program will help the analyzers to figure out the inside based on the structure and semantics of its run traces. In this paper, we describe our observation on virtualization-obfuscation and present dynamic analysis algorithms and implement an analysis tool that analyzes the structure and semantics of run traces. We expect malware analyzers to save time in understanding an obfuscated malware with our tool.
키워드(Keyword)	가상화 기법 난독화 악성코드 분석 동적 프로그램 분석 소프트웨어 보안 Virtualization Obfuscation Malware Analysis Dynamic Analysis Software Security
파일첨부	PDF 다운로드