닫기
216.73.216.58
  • 회원가입
  • 로그인
  • 고객센터

지식을 담다. 지식을 나누다 KISS

Ai 검색 소개
Ai 검색 소개
상세검색
Ai 검색 소개
216.73.216.58
로그인
회원가입
close menu
한국정보처리학회 정보처리학회논문지. 컴퓨터 및 통신시스템(KTCCS) VMProtect의 역공학 방해 기능 분석 및 Pin을 이용한 우회 방안
KCI 등재
VMProtect의 역공학 방해 기능 분석 및 Pin을 이용한 우회 방안
Analysis of Anti-Reversing Functionalities of VMProtect and Bypass Method Using Pin
박성우 ( Seongwoo Park ) , 박용수 ( Yongsu Park )
한국정보처리학회 2021.11
정보처리학회논문지. 컴퓨터 및 통신시스템(KTCCS) 10권 11호 297-304(8pages)
UCI I410-ECN-0102-2022-500-000828312
인용하기 URL 복사 보관함 담기
논문명
미리보기

상용 난독화 도구(프로텍터)들은 소프트웨어 역공학 과정에서 프로그램의 분석을 지연시키고 방해하는 난독화 기술 및 역공학 방해(안티리버싱) 기법을 적용시킴으로써 소프트웨어의 동작 과정을 분석하는데 어려움을 발생시키는데 목적이 있다. 특히, 가상화 탐지와 안티디버깅 기능 같은 경우 분석 도구가 발견되면 정상적인 실행 흐름을 벗어나 프로그램을 종료시킨다. 본 논문에서는 상용 난독화 도구(프로텍터) 중 하나인 VMProtect 3.5.0을 통해 Debugger Detection, Virualization Tools Detection 옵션을 적용시킨 실행 파일의 안티리버싱 기법을 분석하고 Pin을 이용한 우회 방안을 제안한다. 또한, 적용된 안티리버싱 기법을 분석하는 과정에서 Amti-VM 기술과 Anti-DBI 기술에 의해 프로그램이 종료되는 문제가 발생하기 때문에 API 분석을 통해 특정 프로그램 종료 루틴을 알아내어 적용된 안티리버싱 기법의 위치를 예상하고 위치를 바탕으로 안티리버싱 기법 우회 방안 알고리즘 순서도를 작성하였다. 실험에 사용된 소프트웨어들의 버전의 차이로부터 발생하는 호환성 문제, 기법의 변화 등을 고려하여 최신 버전의 소프트웨어(VMProtect, Windows, Pin)에서 Pin 자동화 우회 코드를 작성하고 실험을 진행하여 성공적으로 우회됨을 확인하였다. 제안된 분석 방안을 개선하여 기법이 제시되지 않은 난독화 도구의 안티리버싱 기법을 분석하고 우회 방안을 찾아낼 수 있다.

Commercial obfuscation tools (protectors) aim to create difficulties in analyzing the operation process of software by applying obfuscation techniques and Anti-reversing techniques that delay and interrupt the analysis of programs in software reverse engineering process. In particular, in case of virtualization detection and anti-debugging functions, the analysis tool exits the normal execution flow and terminates the program. In this paper, we analyze Anti-reversing techniques of executables with Debugger Detection and Viralization Tools Detection options through VMProtect 3.5.0, one of the commercial obfuscation tools (protector), and address bypass methods using Pin. In addition, we predicted the location of the applied obfuscation technique by finding out a specific program termination routine through API analysis since there is a problem that the program is terminated by the Anti-VM technology and the Anti-DBI technology and drew up the algorithm flowchart for bypassing the Anti-reversing techniques. Considering compatibility problems and changes in techniques from differences in versions of the software used in experiment, it was confirmed that the bypass was successful by writing the pin automation bypass code in the latest version of the software (VMProtect, Windows, Pin) and conducting the experiment. By improving the proposed analysis method, it is possible to analyze the Anti-reversing method of the obfuscation tool for which the method is not presented so far and find a bypass method.

1. 서 론
2. 배경 지식
3. 관련 연구
4. VMProtect 안티리버싱 기법
5. Pin을 이용한 VMProtect 안티리버싱 기법 우회 방안 설계 및 구현
6. 실험 결과
7. 결 론
References
[자료제공 : 네이버학술정보]
×