코드 가상화 기법이 적용된 악성코드 분석방법 연구
Regular price
$33.71
Sale price
Regular price
✈️
Estimated delivery date 예상 배송일
Standard Shipping
불러오는 중...
주문일로부터 8-12 영업일
Express Shipping
불러오는 중...
주문일로부터 6-8 영업일
▶ 이 책은 코드 가상화 기법이 적용된 악성코드 분석방법에 대해 다룬 연구서입니다.
Couldn't load pickup availability
출판사 리뷰
출판사 리뷰
코드가상화 관련 최신 기술을 조사한 내용을 보고서에 수록하였다. 또한, 코드 가상화 기능을 가진 프로텍터 특징 파악 및 기능을 조사한 내용을 보고서에 수록하였다. 그리고, 코드 가상화 기법 이외의 분석
방해기법 조사하였다. 이를 바탕으로, 코드 가상화 기법이 적용된 악성코드의 신속한 분석을 위한 기반 도구 스크립트를 설계 및 구현하였다.
이들 기반 툴에는 API 추출 도구, 메모리 access 정보 추출 도구, 실행 instruction 정보 추출 도구, 호출 그래프, 흐름 그래프 등 생성 도구 등을 포함한다. 이를 바탕으로, 코드 가상화 루틴의 자동 구조 분석 방법 연구, 가상화 코드 영역의 메인핸들러 파악 등 제어흐름 분석 연구, 각 핸들러 위치파악 및 전체 구조 파악에 대한 연구, API Wrapping 기법이 적용된 코드분석 방법 연구, API 호출 탐지 및 연관 명령코드 탐지 방법에 대하여 연구하였다. 가상화 코드를 해석하기 용이한 코드로 변환시키는 방법에 대해서는 개괄적인 설계를 하였고, 분석환경 및 분석 도구의 환경설정을 포함한 코드 가상화 기법이 적용된 악성코드 분석방법 참조메뉴얼을 작성하였다.
본 결과를 이용하여 가상화된 악성코드를 보다 쉽게 분석이 가능하며 이를 통해 악성행위에 대해 빠르게 대처할 수 있는 정보를 제공할 수 있다. 본 도구는 일반적인 fetch-decode-execute 루틴을 자동으로 찾기 때문에 프로텍터의 현재 버전 뿐만 아니라 미래의 버전에도 동작하리라 예상한다. 또한, 가상머신의 내부구조를 상세히 분석했기에, 유사한 가상머신을 분석하는데 많은 도움을 줄 수 있으리라 기대한다.
코드 가상화 기능이 적용된 악성코드를 보다 빠르고 정확하게 분석할 수 있어서, 악성코드의 전파 및 피해를 최소화할 수 있다. 또한, 자동화 분석의 기능을 이용하면, 악성코드 분석 인력 및 시간을 절약할 수 있으며 이를 통해 악성코드의 더욱 심도 있는 분석 및 대응을 빠르게 할 수 있게 됨을 기대한다.
방해기법 조사하였다. 이를 바탕으로, 코드 가상화 기법이 적용된 악성코드의 신속한 분석을 위한 기반 도구 스크립트를 설계 및 구현하였다.
이들 기반 툴에는 API 추출 도구, 메모리 access 정보 추출 도구, 실행 instruction 정보 추출 도구, 호출 그래프, 흐름 그래프 등 생성 도구 등을 포함한다. 이를 바탕으로, 코드 가상화 루틴의 자동 구조 분석 방법 연구, 가상화 코드 영역의 메인핸들러 파악 등 제어흐름 분석 연구, 각 핸들러 위치파악 및 전체 구조 파악에 대한 연구, API Wrapping 기법이 적용된 코드분석 방법 연구, API 호출 탐지 및 연관 명령코드 탐지 방법에 대하여 연구하였다. 가상화 코드를 해석하기 용이한 코드로 변환시키는 방법에 대해서는 개괄적인 설계를 하였고, 분석환경 및 분석 도구의 환경설정을 포함한 코드 가상화 기법이 적용된 악성코드 분석방법 참조메뉴얼을 작성하였다.
본 결과를 이용하여 가상화된 악성코드를 보다 쉽게 분석이 가능하며 이를 통해 악성행위에 대해 빠르게 대처할 수 있는 정보를 제공할 수 있다. 본 도구는 일반적인 fetch-decode-execute 루틴을 자동으로 찾기 때문에 프로텍터의 현재 버전 뿐만 아니라 미래의 버전에도 동작하리라 예상한다. 또한, 가상머신의 내부구조를 상세히 분석했기에, 유사한 가상머신을 분석하는데 많은 도움을 줄 수 있으리라 기대한다.
코드 가상화 기능이 적용된 악성코드를 보다 빠르고 정확하게 분석할 수 있어서, 악성코드의 전파 및 피해를 최소화할 수 있다. 또한, 자동화 분석의 기능을 이용하면, 악성코드 분석 인력 및 시간을 절약할 수 있으며 이를 통해 악성코드의 더욱 심도 있는 분석 및 대응을 빠르게 할 수 있게 됨을 기대한다.
목차
목차
제 1 장 서 론
제 2 장 코드 가상화 관련 도구 소개 및 기능 요약
제 1 절 코드 가상화 기술 정의
제 2 절 코드 가상화 관련 도구
1. Themida
2. Code Virtualizer
3. VMProtect
제 3 장 코드 가상화 기술 관련 연구 동향
제 1 절 분석 방지 기술 동향
1. 코드 난독화 기술
2. 안티 디버깅 기술
3. 시스템 콜 API 분석 방해
4. 가상화 머신 탐지 기술
제 2 절 국외 연구 동향
1. Deobfuscation of Virtualization-Obfuscated Software
2. Defeating polymorphism : beyond emulation
3. Automatic Reverse Engineering of Malware Emulators
4. unpack virtualization obfuscators
제 4 장 프로텍션의 기타 분석 방해 기술
제 1 절 프로텍션 도구의 기술 분석
1. Themida의 난독화 기술 분석
가. API Wrapping
나. Resource Encryption
다. Anti Patching
라. Anti Debugging
마. Application Encryption
바. 가상화 머신 탐지
사. Monitor Blockers
아. Hide from PE scanners (Type 5)
자. Metamorph Secuirty
차. Entrypoint Obfuscation
2. VMProtect의 난독화 기술 분석
가. Memory Protection
나. Import Protection
다. Pack the output file
라. Debugger Detection
제 5 장 상용 프로텍터의 코드 가상화 기술 분석
제 1 절 Code Virtualizer
1. Inside Code Virtualizer (code virtualizer demo 1.0.1.0)
제 2 절 Themida 코드 가상화 기술 분석
1. Themida 1.9.1 (분석 문서)
2. Themida 2.1.8 Virtual Machine - Entrypoint Obfuscation 기술 적용 시
3. Themida 2.1.8 Virtual Machine ?VM Macro 이용하여 소스코드에 가상화 기술을 적용 시
제 3 절 VMProtect 코드 가상화 기술 분석
1. VMProtect 1.5.1 (분석 문서)
2. VMProtect 2.04.7 (자체 분석)
제 6 장 코드 가상화가 적용된 악성코드 분석을 위한 도구 설계 및 구현
제 1 절 분석도구 설계 및 구현
1. CFG(call Flow Graph) 생성
2. 메인 핸들러 (Fetch-decode-execution 루틴) 탐지
3. 코드 최적화 도구
4. API 분석 도구
제 7 장 API 분석 방법 연구
제 1 절 API 정보 추출 방법 연구
1. Dll에 존재하는 API Breakpoint 설정
2. 실행 흐름을 체크하여 API 분석
제 2 절 API 분석 방법 연구
1. Themida로 난독화 된 어플리케이션의 API 분석
제 8 장 결 론
제 9 장 부 록
제 1 절 제작 도구 소개
제 2 절 OllyDBG 환경 설정
제 3 절 가상화가 적용된 코드 분석
제 2 장 코드 가상화 관련 도구 소개 및 기능 요약
제 1 절 코드 가상화 기술 정의
제 2 절 코드 가상화 관련 도구
1. Themida
2. Code Virtualizer
3. VMProtect
제 3 장 코드 가상화 기술 관련 연구 동향
제 1 절 분석 방지 기술 동향
1. 코드 난독화 기술
2. 안티 디버깅 기술
3. 시스템 콜 API 분석 방해
4. 가상화 머신 탐지 기술
제 2 절 국외 연구 동향
1. Deobfuscation of Virtualization-Obfuscated Software
2. Defeating polymorphism : beyond emulation
3. Automatic Reverse Engineering of Malware Emulators
4. unpack virtualization obfuscators
제 4 장 프로텍션의 기타 분석 방해 기술
제 1 절 프로텍션 도구의 기술 분석
1. Themida의 난독화 기술 분석
가. API Wrapping
나. Resource Encryption
다. Anti Patching
라. Anti Debugging
마. Application Encryption
바. 가상화 머신 탐지
사. Monitor Blockers
아. Hide from PE scanners (Type 5)
자. Metamorph Secuirty
차. Entrypoint Obfuscation
2. VMProtect의 난독화 기술 분석
가. Memory Protection
나. Import Protection
다. Pack the output file
라. Debugger Detection
제 5 장 상용 프로텍터의 코드 가상화 기술 분석
제 1 절 Code Virtualizer
1. Inside Code Virtualizer (code virtualizer demo 1.0.1.0)
제 2 절 Themida 코드 가상화 기술 분석
1. Themida 1.9.1 (분석 문서)
2. Themida 2.1.8 Virtual Machine - Entrypoint Obfuscation 기술 적용 시
3. Themida 2.1.8 Virtual Machine ?VM Macro 이용하여 소스코드에 가상화 기술을 적용 시
제 3 절 VMProtect 코드 가상화 기술 분석
1. VMProtect 1.5.1 (분석 문서)
2. VMProtect 2.04.7 (자체 분석)
제 6 장 코드 가상화가 적용된 악성코드 분석을 위한 도구 설계 및 구현
제 1 절 분석도구 설계 및 구현
1. CFG(call Flow Graph) 생성
2. 메인 핸들러 (Fetch-decode-execution 루틴) 탐지
3. 코드 최적화 도구
4. API 분석 도구
제 7 장 API 분석 방법 연구
제 1 절 API 정보 추출 방법 연구
1. Dll에 존재하는 API Breakpoint 설정
2. 실행 흐름을 체크하여 API 분석
제 2 절 API 분석 방법 연구
1. Themida로 난독화 된 어플리케이션의 API 분석
제 8 장 결 론
제 9 장 부 록
제 1 절 제작 도구 소개
제 2 절 OllyDBG 환경 설정
제 3 절 가상화가 적용된 코드 분석
저자
저자
한국인터넷진흥원
Payment & Security
Payment methods
Your payment information is processed securely. We do not store credit card details nor have access to your credit card information.
