-
코드가상화 관련 최신 기술을 조사한 내용을 보고서에 수록하였다. 또한, 코드 가상화 기능을 가진 프로텍터 특징 파악 및 기능을 조사한 내용을 보고서에 수록하였다. 그리고, 코드 가상화 기법 이외의 분석 방해기법 조사하였다. 이를 바탕으로, 코드 가상화 기법이 적용된 악성코드의 신속한 분석을 위한 기반 도구 스크립트를 설계 및 구현하였다.
이들 기반 툴에는 API 추출 도구, 메모리 access 정보 추출 도구, 실행 instruction 정보 추출 도구, 호출 그래프, 흐름 그래프 등 생성 도구 등을 포함한다. 이를 바탕으로, 코드 가상화 루틴의 자동 구조 분석 방법 연구, 가상화 코드 영역의 메인핸들러 파악 등 제어흐름 분석 연구, 각 핸들러 위치파악 및 전체 구조 파악에 대한 연구, API Wrapping 기법이 적용된 코드분석 방법 연구, API 호출 탐지 및 연관 명령코드 탐지 방법에 대하여 연구하였다. 가상화 코드를 해석하기 용이한 코드로 변환시키는 방법에 대해서는 개괄적인 설계를 하였고, 분석환경 및 분석 도구의 환경설정을 포함한 코드 가상화 기법이 적용된 악성코드 분석방법 참조메뉴얼을 작성하였다.
본 결과를 이용하여 가상화된 악성코드를 보다 쉽게 분석이 가능하며 이를 통해 악성행위에 대해 빠르게 대처할 수 있는 정보를 제공할 수 있다. 본 도구는 일반적인 fetch-decode-execute 루틴을 자동으로 찾기 때문에 프로텍터의 현재 버전 뿐만 아니라 미래의 버전에도 동작하리라 예상한다. 또한, 가상머신의 내부구조를 상세히 분석했기에, 유사한 가상머신을 분석하는데 많은 도움을 줄 수 있으리라 기대한다.
코드 가상화 기능이 적용된 악성코드를 보다 빠르고 정확하게 분석할 수 있어서, 악성코드의 전파 및 피해를 최소화할 수 있다. 또한, 자동화 분석의 기능을 이용하면, 악성코드 분석 인력 및 시간을 절약할 수 있으며 이를 통해 악성코드의 더욱 심도 있는 분석 및 대응을 빠르게 할 수 있게 됨을 기대한다.
