코드 가상화 기법이 적용된 악성코드 분석방법 연구
진한엠앤비
2015년 10월 27일 출간
국내도서 : 2015년 09월 11일 출간
(개의 리뷰)
(
0%
의 구매자)
- eBook 상품 정보
- 파일 정보 PDF (12.15MB) | 318 쪽
- UCI 0102-2018-500-002537240
- 지원기기 교보eBook App, PC e서재, 리더기, 웹뷰어
-
교보eBook App
듣기(TTS) 불가능
TTS 란?텍스트를 음성으로 읽어주는 기술입니다.
- 전자책의 편집 상태에 따라 본문의 흐름과 다르게 텍스트를 읽을 수 있습니다.
- 이미지 형태로 제작된 전자책 (예 : ZIP 파일)은 TTS 기능을 지원하지 않습니다.
PDF 필기가능 (Android, iOS)
소득공제
소장
정가 : 21,000원
쿠폰적용가 18,900원
10% 할인 | 5%P 적립이 상품은 배송되지 않는 디지털 상품이며,
교보eBook앱이나 웹뷰어에서 바로 이용가능합니다.
카드&결제 혜택
- 5만원 이상 구매 시 추가 2,000P
- 3만원 이상 구매 시, 등급별 2~4% 추가 최대 416P
- 리뷰 작성 시, e교환권 추가 최대 200원
작품소개
이 상품이 속한 분야
▶ 이 책은 코드 가상화 기법이 적용된 악성코드 분석방법에 대해 다룬 연구서입니다.
제 1 장 서 론
제 2 장 코드 가상화 관련 도구 소개 및 기능 요약
제 1 절 코드 가상화 기술 정의
제 2 절 코드 가상화 관련 도구
1. Themida
2. Code Virtualizer
3. VMProtect
제 3 장 코드 가상화 기술 관련 연구 동향
제 1 절 분석 방지 기술 동향
1. 코드 난독화 기술
2. 안티 디버깅 기술
3. 시스템 콜 API 분석 방해
4. 가상화 머신 탐지 기술
제 2 절 국외 연구 동향
1. Deobfuscation of Virtualization-Obfuscated Software
2. Defeating polymorphism : beyond emulation
3. Automatic Reverse Engineering of Malware Emulators
4. unpack virtualization obfuscators
제 4 장 프로텍션의 기타 분석 방해 기술
제 1 절 프로텍션 도구의 기술 분석
1. Themida의 난독화 기술 분석
가. API Wrapping
나. Resource Encryption
다. Anti Patching
라. Anti Debugging
마. Application Encryption
바. 가상화 머신 탐지
사. Monitor Blockers
아. Hide from PE scanners (Type 5)
자. Metamorph Secuirty
차. Entrypoint Obfuscation
2. VMProtect의 난독화 기술 분석
가. Memory Protection
나. Import Protection
다. Pack the output file
라. Debugger Detection
제 5 장 상용 프로텍터의 코드 가상화 기술 분석
제 1 절 Code Virtualizer
1. Inside Code Virtualizer (code virtualizer demo 1.0.1.0)
제 2 절 Themida 코드 가상화 기술 분석
1. Themida 1.9.1 (분석 문서)
2. Themida 2.1.8 Virtual Machine - Entrypoint Obfuscation 기술 적용 시
3. Themida 2.1.8 Virtual Machine ?VM Macro 이용하여 소스코드에 가상화 기술을 적용 시
제 3 절 VMProtect 코드 가상화 기술 분석
1. VMProtect 1.5.1 (분석 문서)
2. VMProtect 2.04.7 (자체 분석)
제 6 장 코드 가상화가 적용된 악성코드 분석을 위한 도구 설계 및 구현
제 1 절 분석도구 설계 및 구현
1. CFG(call Flow Graph) 생성
2. 메인 핸들러 (Fetch-decode-execution 루틴) 탐지
3. 코드 최적화 도구
4. API 분석 도구
제 7 장 API 분석 방법 연구
제 1 절 API 정보 추출 방법 연구
1. Dll에 존재하는 API Breakpoint 설정
2. 실행 흐름을 체크하여 API 분석
제 2 절 API 분석 방법 연구
1. Themida로 난독화 된 어플리케이션의 API 분석
제 8 장 결 론
제 9 장 부 록
제 1 절 제작 도구 소개
제 2 절 OllyDBG 환경 설정
제 3 절 가상화가 적용된 코드 분석
제 2 장 코드 가상화 관련 도구 소개 및 기능 요약
제 1 절 코드 가상화 기술 정의
제 2 절 코드 가상화 관련 도구
1. Themida
2. Code Virtualizer
3. VMProtect
제 3 장 코드 가상화 기술 관련 연구 동향
제 1 절 분석 방지 기술 동향
1. 코드 난독화 기술
2. 안티 디버깅 기술
3. 시스템 콜 API 분석 방해
4. 가상화 머신 탐지 기술
제 2 절 국외 연구 동향
1. Deobfuscation of Virtualization-Obfuscated Software
2. Defeating polymorphism : beyond emulation
3. Automatic Reverse Engineering of Malware Emulators
4. unpack virtualization obfuscators
제 4 장 프로텍션의 기타 분석 방해 기술
제 1 절 프로텍션 도구의 기술 분석
1. Themida의 난독화 기술 분석
가. API Wrapping
나. Resource Encryption
다. Anti Patching
라. Anti Debugging
마. Application Encryption
바. 가상화 머신 탐지
사. Monitor Blockers
아. Hide from PE scanners (Type 5)
자. Metamorph Secuirty
차. Entrypoint Obfuscation
2. VMProtect의 난독화 기술 분석
가. Memory Protection
나. Import Protection
다. Pack the output file
라. Debugger Detection
제 5 장 상용 프로텍터의 코드 가상화 기술 분석
제 1 절 Code Virtualizer
1. Inside Code Virtualizer (code virtualizer demo 1.0.1.0)
제 2 절 Themida 코드 가상화 기술 분석
1. Themida 1.9.1 (분석 문서)
2. Themida 2.1.8 Virtual Machine - Entrypoint Obfuscation 기술 적용 시
3. Themida 2.1.8 Virtual Machine ?VM Macro 이용하여 소스코드에 가상화 기술을 적용 시
제 3 절 VMProtect 코드 가상화 기술 분석
1. VMProtect 1.5.1 (분석 문서)
2. VMProtect 2.04.7 (자체 분석)
제 6 장 코드 가상화가 적용된 악성코드 분석을 위한 도구 설계 및 구현
제 1 절 분석도구 설계 및 구현
1. CFG(call Flow Graph) 생성
2. 메인 핸들러 (Fetch-decode-execution 루틴) 탐지
3. 코드 최적화 도구
4. API 분석 도구
제 7 장 API 분석 방법 연구
제 1 절 API 정보 추출 방법 연구
1. Dll에 존재하는 API Breakpoint 설정
2. 실행 흐름을 체크하여 API 분석
제 2 절 API 분석 방법 연구
1. Themida로 난독화 된 어플리케이션의 API 분석
제 8 장 결 론
제 9 장 부 록
제 1 절 제작 도구 소개
제 2 절 OllyDBG 환경 설정
제 3 절 가상화가 적용된 코드 분석
코드가상화 관련 최신 기술을 조사한 내용을 보고서에 수록하였다. 또한, 코드 가상화 기능을 가진 프로텍터 특징 파악 및 기능을 조사한 내용을 보고서에 수록하였다. 그리고, 코드 가상화 기법 이외의 분석
방해기법 조사하였다. 이를 바탕으로, 코드 가상화 기법이 적용된 악성코드의 신속한 분석을 위한 기반 도구 스크립트를 설계 및 구현하였다.
이들 기반 툴에는 API 추출 도구, 메모리 access 정보 추출 도구, 실행 instruction 정보 추출 도구, 호출 그래프, 흐름 그래프 등 생성 도구 등을 포함한다. 이를 바탕으로, 코드 가상화 루틴의 자동 구조 분석 방법 연구, 가상화 코드 영역의 메인핸들러 파악 등 제어흐름 분석 연구, 각 핸들러 위치파악 및 전체 구조 파악에 대한 연구, API Wrapping 기법이 적용된 코드분석 방법 연구, API 호출 탐지 및 연관 명령코드 탐지 방법에 대하여 연구하였다. 가상화 코드를 해석하기 용이한 코드로 변환시키는 방법에 대해서는 개괄적인 설계를 하였고, 분석환경 및 분석 도구의 환경설정을 포함한 코드 가상화 기법이 적용된 악성코드 분석방법 참조메뉴얼을 작성하였다.
본 결과를 이용하여 가상화된 악성코드를 보다 쉽게 분석이 가능하며 이를 통해 악성행위에 대해 빠르게 대처할 수 있는 정보를 제공할 수 있다. 본 도구는 일반적인 fetch-decode-execute 루틴을 자동으로 찾기 때문에 프로텍터의 현재 버전 뿐만 아니라 미래의 버전에도 동작하리라 예상한다. 또한, 가상머신의 내부구조를 상세히 분석했기에, 유사한 가상머신을 분석하는데 많은 도움을 줄 수 있으리라 기대한다.
코드 가상화 기능이 적용된 악성코드를 보다 빠르고 정확하게 분석할 수 있어서, 악성코드의 전파 및 피해를 최소화할 수 있다. 또한, 자동화 분석의 기능을 이용하면, 악성코드 분석 인력 및 시간을 절약할 수 있으며 이를 통해 악성코드의 더욱 심도 있는 분석 및 대응을 빠르게 할 수 있게 됨을 기대한다.
인물정보
이 상품의 총서
Klover리뷰 (0)
Klover리뷰 안내
Klover(Kyobo-lover)는 교보를 애용해 주시는 고객님들이 남겨주신 평점과 감상을 바탕으로, 다양한 정보를 전달하는 교보문고의 리뷰 서비스입니다.
1. 리워드 안내
구매 후 90일 이내에 평점 작성 시 e교환권 100원을 적립해 드립니다.
- - e교환권은 적립일로부터 180일 동안 사용 가능합니다.
- - 리워드는 5,000원 이상 eBook, 오디오북, 동영상에 한해 다운로드 완료 후 리뷰 작성 시 익일 제공됩니다. (2024년 9월 30일부터 적용)
- - 리워드는 한 상품에 최초 1회만 제공됩니다.
- - sam 이용권 구매 상품 / 선물받은 eBook은 리워드 대상에서 제외됩니다.
2. 운영 원칙 안내
Klover리뷰를 통한 리뷰를 작성해 주셔서 감사합니다. 자유로운 의사 표현의 공간인 만큼 타인에 대한 배려를 부탁합니다. 일부 타인의 권리를 침해하거나 불편을 끼치는 것을 방지하기 위해 아래에 해당하는 Klover 리뷰는 별도의 통보 없이 삭제될 수 있습니다.
- 도서나 타인에 대해 근거 없이 비방을 하거나 타인의 명예를 훼손할 수 있는 리뷰
- 도서와 무관한 내용의 리뷰
- 인신공격이나 욕설, 비속어, 혐오 발언이 개재된 리뷰
- 의성어나 의태어 등 내용의 의미가 없는 리뷰
구매 후 리뷰 작성 시, e교환권 100원 적립
문장수집
문장수집 안내
문장수집은 고객님들이 직접 선정한 책의 좋은 문장을 보여 주는 교보문고의 새로운 서비스 입니다. 교보eBook 앱에서 도서 열람 후 문장 하이라이트 하시면 직접 타이핑 하실 필요 없이 보다 편하게 남길 수 있습니다. 마음을 두드린 문장들을 기록하고 좋은 글귀들은 ‘좋아요’ 하여 모아보세요. 도서 문장과 무관한 내용 등록 시 별도 통보없이 삭제될 수 있습니다.
리워드 안내
- 구매 후 90일 이내에 문장 수집 등록 시 e교환권 100원을 적립해 드립니다.
- e교환권은 적립일로부터 180일 동안 사용 가능합니다.
- 리워드는 5,000원 이상 eBook에 한해 다운로드 완료 후 문장수집 등록 시 제공됩니다. (2024년 9월 30일부터 적용)
- 리워드는 한 상품에 최초 1회만 제공됩니다.
- sam 이용권 구매 상품 / 선물받은 eBook / 오디오북·동영상 상품/주문취소/환불 시 리워드 대상에서 제외됩니다.
구매 후 문장수집 작성 시, e교환권 100원 적립
교보eBook 첫 방문을 환영 합니다!
신규가입 혜택 지급이 완료 되었습니다.
바로 사용 가능한 교보e캐시 1,000원 (유효기간 7일)
지금 바로 교보eBook의 다양한 콘텐츠를 이용해 보세요!
