트램폴린 코드 기반의 난독화 기법을 위한역난독화 시스템De-Obfuscated Scheme for Obfuscation Techniques Based on Trampoline Code
- Other Titles
- De-Obfuscated Scheme for Obfuscation Techniques Based on Trampoline Code
- Authors
- 김민호; 이정현; 조해현
- Issue Date
- Dec-2023
- Publisher
- 한국정보보호학회
- Keywords
- OEP obfuscation; API obfuscation; De-obfuscation
- Citation
- 정보보호학회논문지, v.33, no.6, pp 1043 - 1053
- Pages
- 11
- Journal Title
- 정보보호학회논문지
- Volume
- 33
- Number
- 6
- Start Page
- 1043
- End Page
- 1053
- URI
- https://scholarworks.bwise.kr/ssu/handle/2018.sw.ssu/49080
- DOI
- 10.13089/JKIISC.2023.33.6.1043
- ISSN
- 1598-3986
2288-2715
- Abstract
- 악성코드 분석가들은 다양한 경로로 배포되는 악성코드를 분석하고 대응하기 위해 많은 노력을 기울이고 있다. 그러나 악성코드 개발자들은 분석을 회피하기 위해 다양한 시도를 하고 있다. 대표적인 방법으로는 패킹과 난독화 기법 등이 있다. 기존 연구들은 일반적인 프로그램 언패킹 방법을 제안했으나, 최근의 패커들이 사용하는 OEP 난독화나 API 난독화 기법 등에 대한 대응이 부족하여, 언패킹 과정에서 실패하는 경우가 있다.
본 논문에서는 다양한 패커들이 사용하는 OEP 및 API 난독화 기법을 분석하고, 이를 자동으로 역난독화하는 시스템을 제안한다. 제안 시스템은 패킹된 프로그램의 메모리를 덤프하여 OEP와 API 난독화에 사용되는 트램폴린 코드를 탐지한다. 이후 트램폴린 코드의 패턴을 분석하여 난독화된 정보를 탐지하고, 언패킹된 프로그램으로 재구성한다. 실험 결과, 제안 시스템이 다양한 패커에 의해 OEP와 API 난독화 기법이 적용된 프로그램을 효과적으로 역난독화할 수 있음을 확인하였다.
- Files in This Item
- There are no files associated with this item.
- Appears in
Collections - College of Information Technology > School of Software > 1. Journal Articles
Items in ScholarWorks are protected by copyright, with all rights reserved, unless otherwise indicated.