JP2012526310A - ホワイトボックス暗号化技術を用いるインターロックされたバイナリ保護 - Google Patents

ホワイトボックス暗号化技術を用いるインターロックされたバイナリ保護 Download PDF

Info

Publication number
JP2012526310A
JP2012526310A JP2012508860A JP2012508860A JP2012526310A JP 2012526310 A JP2012526310 A JP 2012526310A JP 2012508860 A JP2012508860 A JP 2012508860A JP 2012508860 A JP2012508860 A JP 2012508860A JP 2012526310 A JP2012526310 A JP 2012526310A
Authority
JP
Japan
Prior art keywords
application
white box
code
transmutation
binary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012508860A
Other languages
English (en)
Other versions
JP5808019B2 (ja
JP2012526310A5 (ja
Inventor
ユエン シャン グ
マクレー ポール
ニコレスク ボグダン
レヴィツキー ヴァレリー
シージェン ジュ
ホンルイ ドン
ダニエル マードック エリー
Original Assignee
イルデト カナダ コーポレーション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by イルデト カナダ コーポレーション filed Critical イルデト カナダ コーポレーション
Publication of JP2012526310A publication Critical patent/JP2012526310A/ja
Publication of JP2012526310A5 publication Critical patent/JP2012526310A5/ja
Application granted granted Critical
Publication of JP5808019B2 publication Critical patent/JP5808019B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/14Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/16Obfuscation or hiding, e.g. involving white box
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/603Digital right managament [DRM]

Abstract

バイナリコードおよび随意には関連データを含むソフトウェアアプリケーションを、元の形式からより安全な形式に変換するシステムおよび方法を提供する。この方法は、アプリケーションにバイナリトランスミューテーションの組み合わせを適用しかつトランスミューテーション間に相互依存性を生成かつ配置することによりトランスミューテーションをインターロックするステップを含み、トランスミューテーションは、アプリケーションにとって不可逆の変更となる。異なるタイプのトランスミューテーションが、アプリケーションの様々な粒度で適用される。トランスミューテーションは、アプリケーションコードおよびインプラントされたコードにも適用される。その結果、元のソフトウェアアプリケーションに意味的には等価だが、静的および/動的攻撃に耐性がある変換されたソフトウェアアプリケーションが得られる。
【選択図】 図3

Description

本発明は、一般に、暗号化技術およびコンピュータのセキュリティに関連する。より詳細には、本発明は、バイナリアプリケーションを静的および動的攻撃から守るための方法に関する。この出願は、2009年5月6日提出の米国仮出願第US61/175945号の優先権を主張し、同出願の全文をここに引用により援用する。
情報技術の時代には、直接的攻撃に対し広くオープンになっている数十億ものデバイスに展開されるアプリケーションがますます増えることになる。攻撃を阻止かつ防止することは、ソフトウェア設計者の間でも、主要な関心事として浮上するようになった。今日のソフトウェアは、ますます高度化するツールを用いてクラッキングされており、事前の知識がほとんどまたは全く無しで、平均的なユーザが取り扱いに注意を要する情報にアクセスできるようになっている。ブラックボックスにおいて保護されるプロセスが動作していれば出力は安全である(すなわち、ブラックボックスの中で動作するプロセスは攻撃者には閲覧されない)とする従前のセキュリティモデルは、すでに通用しない。攻撃の性質によっては、攻撃者がセキュリティの脆弱性を利用することで、1以上のセキュリティ属性が侵されることになる。
典型的には、デバッグのような活動が、ハッカーにアプリケーションの全体的または詳細な動作を理解させてしまう攻撃のもっとも一般的な原因である。ハッカーがひとたび重要なデータおよびコードに対するアクセスを得てしまうと、次の攻撃を集中する攻撃ポイントを見つけるのは時間の問題である。その後、攻撃者は、クローンプログラムを実行するか、プログラムのバイナリを改悪するか、または取り扱いに慎重を要するまたは著作権のある情報に対するアクセスを単に認める(重要なコードの一部または全部を複製する)ことにより、システムのセキュリティを危険にさらす。
さらに、現代のOSは、メモリリフティング攻撃等の他の攻撃に悪用される特徴を含む。攻撃者は、OSが提供するタスクマネジメントアプリケーションプログラムインターフェース(API)を利用することができる。たとえば、すべてのマルチプロセスOSに特徴的な処理を一時停止するAPIにより、攻撃者は、処理がメモリで凍結されている間、重要な情報にアクセスすることができる。
ソフトウェアのセキュリティがこれらすべての攻撃に対処する必要がある一方で、現行のセキュリティエンジンは、多くのセキュリティ要素を無視し、かつ特定のセキュリティ上の関心事に排他的に集中して他のセキュリティ上の脅威を完全に無視するセキュリティエンジンとなっている。
たとえば、アンチデバッグ技術によりデバッガの存在を検出することはできるが、メモリリフティング攻撃に対してアプリケーションを保護することはできない。暗号化技術は、重要な情報を隠すが、本質的かつ自動的に、デバッギング行為を阻止するわけではない。他の有益な例は、アプリケーションをタンパリング攻撃に対して保護する完全性の検証であるが、これも静的または動的いずれの解析攻撃を阻止することもできない。一般的なパラダイムとしては、各セキュリティ技術は、1以上のいくつかの攻撃に対処するが、攻撃領域の全範囲に対処するわけではない。
すなわち、様々な攻撃領域に対する保護を提供するセキュリティシステムを提供することが望ましい。さらに、アプリケーションのソースコードを変換するために、ソフトウェアの難読化および変換技術が提案されている。しかしながら、本発明は、ソースコードが構築された後を含むバイナリレベルでの変換の適用を含む強化されたセキュリティ手段を提案する。
本発明の目的は、従前のセキュリティシステムの1以上の欠点を除去または緩和することである。
本発明の1局面によれば、バイナリコードと随意には関連のデータを含むソフトウェアアプリケーションを保護する方法であって、元の形式から、アプリケーションの全部または一部に対し、タンパリング、リバースエンジニアまたはリフティングを試みる静的および/または動的攻撃に耐性があるより安全な形式にする方法が提供され、前記システムが、
a)構築時ツールセットを用意して、前記アプリケーションにバイナリトランスミューテーションの準備を行いかつツールセットを使用することにより前記アプリケーションの元の実行を安全な実行に変換するステップと、
b)元のアプリケーションに意味的に等価な保護されるアプリケーションを生成するステップとを含み、該アプリケーションが、トランスミューテーションの準備ともインターロックされるインターロックされたトランスミューテーション実行を含み、それによりバイナリ保護が保護されるアプリケーションから分離されないようになっている。
この文脈において、「意味的に等価」という用語は、「同様の結果または出力を生成する」と言う意味に解釈されるべきである。
トランスミューテーションとは、変換が、一般に、その変換によって施された変更を逆にする逆オペレーションが存在するオペレーションを含み、一方トランスミューテーションが、単純な逆オペレーションが存在しない、より大きな変更を表すと言う意味で、単純な変換を超えるものを含むアプリケーションへの変更である。トランスミューテーションは、2つのフェーズを含む。すなわち、
構築時において、一連の変更をアプリケーションコードに対して適用しかつ変更されたアプリケーションコードと組み合わされた新しいコードをインプラントするトランスミューテーション準備と、
インプラントされたコードを含む保護されるアプリケーションの実行の際に、準備されたトランスミューテーション保護を行うトランスミューテーション実行とがそれである。
(A)に規定される異なるタイプのトランスミューテーションがアプリケーションの異なる粒度で適用され、粒度は、アプリケーションを含むモジュール、モジュールを含む機能、機能を含む命令の基本ブロックおよび個々の機械命令を含む。異なるタイプのトランスミューテーションは、モジュールトランスミューテーション、機能トランスミューテーション、ブロックトランスミューテーション、命令トランスミューテーション、完全性検証(IV)トランスミューテーションおよびアンチデバッグトランスミューテーションを含む。トランスミューテーションは、1以上のホワイトボックストランスミューテーション組み込む。
保護プロセスは2つのフェーズに分割することができる。すなわち、
(A)ソフトウェアアプリケーションが、実行の前に分析され静的に変換される構築時フェーズと、
(B)変換されたソフトウェアアプリケーションが、メモリ内で実行される実行時フェーズである。
本発明の一局面によれば、バイナリアプリケーションコードを含むバイナリソフトウェアアプリケーションを、元の形から、そのアプリケーションの全体または一部に、タンパリング、リバースエンジニアまたはリフティングを試みる静的および/または動的攻撃に耐性がある安全な形に変換する方法が提供され、前記方法が、
前記バイナリアプリケーションコードに一連の変更を行って、変更されたバイナリアプリケーションコードを生成することにより、構築時フェーズにおいて、前記バイナリソフトウェアアプリケーションに対する複数のバイナリトランスミューテーションの組み合わせを実行するステップを含み、前記変更が、構築時に前記変更されたバイナリアプリケーションコードと絡みあった新しいコードをインプラントすることを含み、
トランスミューテーションの間に相互依存性を生成して配置することによって、前記トランスミューテーションをインターロックするステップと、
トランスミューテーションの前記組み合わせとインターロッキングを、保護対象のバイナリアプリケーションコードとインプラントされたコードの両方に適用するステップと、
バイナリ保護が、保護されるアプリケーションから分離されることがないように、元のアプリケーションに意味的に等価で前記インターロックされたトランスミューテーションを含む保護されるアプリケーションを生成するステップとを含む。
本発明の他の局面によれば、バイナリアプリケーションコードを含むバイナリソフトウェアアプリケーションを、元の形から、アプリケーションの全部または一部に対し、タンパリング、リバースエンジニアまたはリフティングを試みる静的および/または動的攻撃に耐性がある安全な形に変換する方法が提供され、前記方法が、
前記バイナリアプリケーションを解析して、1以上のバイナリトランスミューテーションを適用できる前記アプリケーションの1以上のコンポーネントを決定するステップを含み、前記コンポーネントがコンポーネントコードを含み、さらに、
前記コンポーネントコードへ一連の変更を行って、変更されたコンポーネントコードを生成するステップを含み、前記変更が、前記コンポーネントコードに1以上のWB変換を適用しかつ前記バイナリアプリケーションのコードへの前記変更と絡み合わされた新しいコードをインプラントすることを含み、さらに、
前記変更間に相互依存性を生成かつ配置することにより前記変更をインターロックするステップと、
保護対象のバイナリアプリケーションコードおよびインプラントされたコードの両方に前記変更を適用しかつインターロックを行って、元のアプリケーションに意味的に等価で、しかしバイナリ保護が保護されるアプリケーションと分離されないように前記インターロックされた変更を含むトランスミュートされたアプリケーションを生成するステップとを含む。
好ましくは、前記保護されるアプリケーションの安全な実行は、その実行のいずれの時においても、バイナリコードの小さな部分のみがクリアな形式(clear form)になっているように構成されるインターロックされたトランスミューテーション実行を含む。
構築時には、システムは、ホワイトボックス変換構築時ファシリティと対話して、ホワイトボックス変換キーおよびオペレーションコードを生成かつアセンブルしかつバイナリコードおよび関連の重要情報を、ホワイトボックス変換構築時キーを使用してホワイトボックス変換オペレーションを行うことにより入力形式から出力形式に変換することができる。
実行時には、システムは、ホワイトボックス変換実行時ファシリティと対話して、ホワイトボックス変換実行時キーを使用してホワイトボックス変換逆オペレーションを行うことにより、バイナリコードおよび関連の重要情報を変換して、出力形式から入力形式へ戻すことができる。
本発明の他の局面および特徴は、添付の図面を参照し、以下の発明の詳細な実施例の説明を読むことにより、当業者には明らかになるであろう。
本発明の実施例による、自動ホワイトボックス(WB)コード生成のWBプロセスを示す図である。 本発明の実施例による、変換および逆変換プロセスのための自動ホワイトボックスキー生成を示す図である。 本発明の実施例による、本件のバイナリ保護システムを示す図であって、その主要なセキュリティコンポーネントが、インターロックされたセキュリティ層として保護されるバイナリアプリケーション内へ自動的に挿入されるところを示す図である。 本発明の実施例による、プリリンク保護プロセスの一部としてトランスコーダの使用を含む保護プロセスの模式図である。 本発明の実施例による、ソースコード変換が、保護対象のアプリケーションにより使用されるコードおよびバイナリ保護技術を含むコードの両方に適用できる様子を示す図である。 本発明の実施例による、構築時処理後の保護されるバイナリアプリケーションモジュールの構造を示す図である。 本発明の実施例による、入力がバイナリアプリケーションである保護フローを示す図である。 本発明の実施例による、ブロックトランスミューテーションコンポーネントの保護フローを示す図である。 本発明の実施例による、モジュールトランスミューテーションコンポーネントの保護プロセスを示す図である。 本発明の実施例による、保護されるアプリケーションの挙動を改変しようと試みるタンパリング攻撃を検出する完全性検証コンポーネントを有する保護プロセスを示す図である。 本発明の実施例による、実行時において保護されるアプリケーションが安全に実行される様子を示す概略図である。 本発明の実施例による、実行時実行におけるモジュールトランスミューテーション(MT)コンポーネントを示す図である。 本発明の実施例による、完全性検証コンポーネントの実行時プロセスを示す図である。 本発明の実施例による、自動IV呼び出しの例を示す図であって、IVがある場合とない場合両方の実行時機能処理を示す図である。 本発明の実施例による、実行時実行における、機能トランスミューテーション(FT)コンポーネントを示す図である。 本発明の実施例による、ブロックトランスミューテーション(BT)の実行時プロセスを示す図である。 本発明の実施例による、実行の様々な瞬間における保護されるアプリケーションの例を示す図である。 本発明の実施例による、動的機能ローディングの構築時プロセスを示す図である。 本発明の実施例による、動的機能ローディングの実行時プロセスを示す図である。 本発明の実施例による、動的機能ローディングのプロセスの第1のフェーズの例を示す図である。 本発明の実施例による、動的機能ローディングのプロセスの第2のフェーズの例を示す図である。 本発明の実施例による、動的機能ローディングのプロセスの第3のフェーズの例を示す図である。 本発明の実施例による、動的機能ローディングのプロセスの第4のフェーズの例を示す図である。 本発明の実施例による、呼び出しアプリケーションが、機能を安全に消去するよう要求できる最終フェーズを示す図である。 本発明の実施例による、コードトランスミューテーションおよびインターロッキングによる動的機能ローディングのための構築時プロセスの例を示す図である。 本発明の実施例による、BTおよびIVコンポーネントのインターロックされた形を示す図である。 本発明の実施例による、保護時間において、隠し復号化キーが分解されるキー分割の例を示す図である。 本発明の実施例による、連続的に入れ子になった層を構成するプログラムの異なる粒度またはコンポーネントを示す図である。 本発明の実施例による、連続的に入れ子になった層およびそれらにトランスミューテーションが適用される様子を示す図である。
本発明は、一般に、バイナリコードおよび随意には関連のデータを含むソフトウェアアプリケーションを元の形式からより安全な形式に変換するためのシステムおよび方法を提供する。この方法は、アプリケーションに対するバイナリトランスミューテーションの組み合わせを実行することと、実際には、アプリケーションに対する不可逆な変更であるトランスミューテーション間に相互依存性を生成しかつ配置することによりトランスミューテーションをインターロックすることを含む。実際には、必要な難しさのレベルに関して、インターロックされたトランスミューテーションの組み合わせが、実際に不可逆であるアプリケーションへのトランスミューテーションを生成する。というのも、インターロックすることで、適用される変換をリバースエンジニアすることが難しくなるだけでなく、変換の逆のことを適用するだけでは元のコードは得られないからである。より明確に述べると、不可逆ということは、抽象的な意味で、プロセス全体を逆にすることができないことを必ずしも意味するのではなく、むしろ、現実的には、トランスミューテーションを逆にすることで、保護の対象である元のプログラムそのままを回復することにはならないことを意味する。様々なタイプのトランスミューテーションをアプリケーションの様々な粒度または層で適用することができる。トランスミューテーションは、アプリケーションコードおよびインプラントされたコードにも同様に適用することができる。結果として、意味的には元のソフトウェアアプリケーションと等価だが、静的および/または動的攻撃に耐性がある変換されたソフトウェアアプリケーションが得られる。なお、「インプラントする」という用語は、このプロセスが、一般にコードを単純に挿入するより多くのことを含むことを明確にするために使用する。「インプラントする」とは、挿入された新しいコードが、変更後のアプリケーションにおいて使用可能になるように、元のコードに置換および/または改変を行うことを含む。
上記のとおり、本発明は、単純な逆変換が起こらないようにインターロックされた様々な粒度または層で変換の組み合わせを適用する。図28は、連続的に入れ子になった層を構成する、これら様々な粒度を示す。アプリケーション601には、1以上のモジュール610を含むことが可能で、このモジュールが、1以上の機能620をカプセル化し、この機能が1以上のブロック630をカプセル化し、このブロックが1以上の命令640をカプセル化することが可能である。本発明の実施例は、様々な変換をこれら連続して入れ子になった層の各々に対して適用し、かつまた層間の相互依存性も付加する。
発明の実施例は、セキュリティアーキテクチャにおけるギャップを軽減するポストリンクバイナリ保護システム内の様々な技術を結合または相互接続する。ホワイトボックス暗号化技術に関連して、本発明の実施例は、保護対象のコードに適用されるバイナリトランスミューテーションの組み合わせを含む防護方法を可能にする。ホワイトボックス暗号化技術の実施例については、同一所有者の米国特許第7397916号および米国特許出願第11/020313号(これら文献の全文をここに引用により援用)および同一所有者の米国特許第6594761号、6779114号および6842862号ならびに米国特許出願第11/039817号(これらの全文をここに引用により援用)に開示される。
これらのトランスミューテーションについては以下のとおりである。
・アンチデバッグトランスミューテーション(AD)は、保護されるアプリケーションがデバッガにアタッチされているかどうかを確認。
・保護されるアプリケーションが、メモリ内で実行される間、ブロックトランスミューテーション(BT)は、動的コード解析および攻撃からのバイナリ保護を提供する。その主な役割は、バイナリアプリケーションをホワイトボックス変換されたブロックに分割し、その後、実行時における要求の際に、変換を取り除き、かつその後実行の後にそれらを破壊することから構成される。したがって、現在実行中のコードのブロックのみが露出される。
・機能トランスミューテーション(FT)が、ブロックトランスミューテーションとして働くも、多くの機能ブロックを含み得る機能に対してホワイトボックス変換を適用し、実行時に、機能を起動しながら変換を除去しかつ機能からのリターン後その機能を破壊する。
・完全性検証トランスミューテーション(IV)は、保護されるアプリケーションのインメモリコードセグメントまたはそのコンポーネントのいずれかが、タンパリングを受けていないことかつ/またはアプリケーションのコンポーネントのディスクイメージが改変されていないことを保証する。
・モジュールトランスミューテーション(MT)は、バイナリ―コードがメモリにロードされる前に静的コード解析および攻撃からのバイナリ保護を提供する。
・命令トランスミューテーション(IT)は、命令により、実行前に変換が取り除かれなければならないように、ホワイトボックス変換を用いて個々の命令を改変する。さらに、これらの変更は、保護される命令自体を変更することさえ含み得る(たとえば、エントリハンドラおよび出口ハンドラを挿入するかまたは命令により操作されたアドレスをその元の値から変更するよう要求することにより)。
実施例によりセキュリティオプションの組を選択することができ、それにより、これらのトランスミューテーションが、好ましくはどのようにインターロックされた形のバイナリアプリケーションモジュールに自動的に適用されるかが決定される。インターロックというのは、アプリケーション内に依存性を作りだし、それにより最終的な変換されたアプリケーションにおいて、インターロックされた2つのコンポーネントが、各々他方の存在を必要とするようになっていることを意味する。たとえば、完全性の検証呼び出しを、ブロックまたは機能の各々の実行において挿入して、それによりそのブロックまたは機能が、IV呼び出しの成功なしには、適正に機能しなくなりかつIV呼び出しは、ブロックまたは機能がタンパリングされていない場合にのみ成功するようになっている。さらに、セキュリティコンポーネント自体が、他のセキュリティコンポーネントにより保護される(すなわち、完全性検証は、機能トランスミューテーションエンジンを保護し、かつブロックトランスミューテーションは、完全性の検証を保護する)。
アンチデバッグを除いては、上記のトランスミューテーションは、ホワイトボックス変換を使用して、セキュリティを増強することができる。アプリケーションが攻撃者に露出された場合でさえ、ホワイトボックス変換は、キーおよび変換アルゴリズムが保護されるという事実により区別される。しかしながら、数学的変換を、変換コードによってのみ知られるキーに適用するため、キーは、決してクリアな形式では存在しない。本明細書において取り上げられるホワイトボックス技術について、図1および図2に示す。
図1は、変換および逆変換プロセスの両方用の自動コード発生10を示し、図2は、変換15および逆変換20プロセス用自動ホワイトボックスキー生成を示す。WB逆変換コード20および隠しキー35は、同じキーおよび変換アルゴリズム25から生成する。さらに、各隠しWBキー35は、WB変換コード15により変換を逆転する逆変換20に関連する。保護フェーズの間、ユーザが、様々なWBキーを使用でき、各セキュリティコンポーネントが、それ自体のホワイトボックスキーの組を有することができる。たとえば、完全性検証およびモジュール変換コンポーネントは、異なるキーを使う。さらに、機能変換コンポーネントは、多数のキーを使用して機能を変換する。セキュリティ−性能のトレードオフを調整するために、ユーザは、広範なホワイトボックス変換技術を有するが、その技術は複雑AES暗号化アルゴリズムから、XOR演算等の単純変換まで多岐にわたる。これについては、キー分割に関する後の項でより詳細に説明する。
バイナリ保護システム
図3は、本発明の実施例による本件のバイナリ保護システム100を示し、その主要なセキュリティコンポーネントが、インターロックされたセキュリティ層として保護されるバイナリアプリケーション105に自動的に挿入される。各セキュリティ層は、IVトランスミューテーション125、FTトランスミューテーション130、BTトランスミューテーション135またはMTトランスミューテーション120のいずれを実現するものであれ、実行可能なコードにより実現される。セキュリティ層およびそれらが保護するコードは、いずれも、層間でインターロックする関係の生成を図る、先行/後続の関係を有するコードにより実現される。なお、図3は、実際は模式化された図である。MT、FT、BTおよび命令トランスミューテーション(IT)(図示せず)は、好ましくは、一連の層間トランスミューテーションにおいて、連続的に入れ子になった層(すなわち、図28に示すように、MTがFTをカプセル化し、次にFTがBTをカプセル化し、BTがITをカプセル化する)において構成され、一方、IV125およびADB140が、内層的に適用され得る(すなわち、各入れ子になった層、層からなるグループまたは保護されるアプリケーション全体に適用される)。
さらに、セキュリティ層は、それぞれシーケンスで実行される。各層はコントロールを得ると、その適正な実行について、先行する層が生成する値に依存するよう設定することができる。たとえば、MTは、実行時において、実行可能なコードにFTまたはBTにより訂正される特定のエラーをロードする。バイナリ保護ツールは、入力として、所望のセキュリティコンポーネントを可能化しかつ準備する一組のセキュリティオプション110を受け入れる。さらに、ユーザは、セキュリティコンポーネントと結合する変換キーを入力する。さらに、バイナリツールにより、ユーザは、一組の変換キーをセキュリティコンポーネントに関連付けることができる。たとえば、機能トランスミューテーションコンポーネントは、異なるキーで機能を変換する。
実施例によれば、高いレベルのソースコード保護でインターロックする能力が得られる。たとえば、ユーザは、セキュリティを高めるためにソースコードにおける変換を適用することができる。これらの高レベルの変換は、トランスコーダにより自動的に適用される。トランスコーダの詳細については、同一所有者の米国特許第6594761号、第6779114号および第6842862号ならびに米国特許出願第11/039817号に記載されており、これらの全文をここに引用により援用する。
図4は、ソースコードも変換される実施例について、プリリンク保護プロセスの一部としてのトランスコーダ220の使用を含む保護プロセスの模式図である。バイナリ保護システム100ボックスは、図3に示すブロック図全体を含むものとして考えることができる。また、ソースレベルでは、ユーザは、いくつかのセキュリティ機構を挿入するが、これらが提供する保護は、バイナリレベルの明示的セキュリティエンジンが同様に挿入されるまでは完全ではない。たとえば、ソースコードにおいては、ユーザは、いくつかのセキュリティAPIを採用するが、結合ののちに得られるバイナリは、対応のセキュリティコンポーネントがバイナリレベルで挿入された後のほうがより安全になる。
図4において、バイナリ保護ライブラリ230は、ユーザとセキュリティコンポーネントとの間のインターフェースを表す。一組のAPIを提供する静的ライブラリが、プログラムにより行われるセキュリティ要求をサポートする。このようなAPIは、完全性検証およびアンチデバッグ機能を提供する。バイナリ保護プロセスにおけるもう一つ重要なモジュールは、5つの主要なセキュリティコンポーネントエンジンを含むレジデントセキュリティモジュール(RSM)300である。RSMについては、以下により詳細に説明することにする。ポストリンク保護フェーズにおいて、レジデントセキュリティモジュール300は、アプリケーションバイナリモジュール200(ペイロードと称す)をパッケージされる。ペイロードモジュールは、ホワイトボックス変換されたブロックまたは機能に分解され、その後全体が圧縮かつ変換されて、RSMがパッケージされ、保護されたアプリケーションになる。この新しい保護されたアプリケーションが元の実行可能なプログラムおよび展開されたアプリケーションにおける共有のライブラリを置換する。さらに、レジデントセキュリティモジュールは、主なセキュリティコンポーネントの実行時エンジン、ホワイトボックス逆変換コード手続きおよび変換されたキーを含む。ポストリンク保護プロセス全体が、自動化される。セキュリティオプションの選択を行う場合を除いては、ユーザはレジデントセキュリティモジュールと対話しない。バイナリ保護ライブラリおよびレジデントセキュリティモジュールの両方が高レベルコードで保護されていて、かつ図5に概要を示すソースコード変換を取り入れる。図5に示すように、ソースコード変換は、保護対象のアプリケーションにより使用されるコードおよびバイナリ保護技術を含むコードの両方に適用することができる。つまり、保護対象のアプリケーションへリンクされるライブラリと保護フェーズにおいてアプリケーションに挿入されるコードの両方ともに、ソースコード変換を使用することによりセキュリティの強化が可能となり、攻撃を困難にすることができる。
上記のとおり、本件に記載の方法およびシステムは、一般に、構築時特性/コンポーネントと実行時特性/コンポーネントとに分割することができる。図6は、本発明の実施例による構築時処理後の保護されたバイナリアプリケーションモジュールの構成を表す。基本的には、保護されたバイナリアプリケーションの構成は、レジデントセキュリティモジュール330およびその変換されたペイロード350からなる。レジデントセキュリティモジュールは、静的かつ動的保護を実現する。これは、ホワイトボックス逆変換ルーチン、自動完全性検証およびアンチデバッグエンジンならびに動的ブロック転置(permutation)マネジャ等のユーザの対話を必要としないセキュリティコンポーネントを含む。さらに、レジデントセキュリティモジュールは、実行時フェーズの間にペイロードをメモリにロードする責任を負う。そして、様々なバイナリトランスミューテーションにサービスを提供できるようそこに常駐する(またはその一部が常駐する)。たとえば、機能保護のためのエントリハンドラがエンターした場合、ハンドラは、RSM内に呼びかけて解読した機能の残りの部分を入手することができる等である。
構築時処理
図6は、このような保護されたバイナリアプリケーションモジュールを構築するためのプロセス、すなわち構築時プロセスを説明することにより最善の理解が得られる。この項では、各セキュリティコンポーネントの保護フェーズおよびそれが個々に適用される態様を説明する。保護のフローと保護されるバイナリアプリケーションの構造を表現しかつ分析する。また、この項では、セキュリティコンポーネント同士の対話についても指摘する。一般に、これらのセキュリティコンポーネントは、バイナリアプリケーションに対して直接的に自動的に適用される。セキュリティコンポーネントのセキュリティエンジンは、レジデントセキュリティモジュール300内に常駐する。セキュリティコンポーネントをインストールするために何らのユーザ対話も要求されないのが一般的である。バイナリアプリケーションは、大量に変換され、レジデントセキュリティモジュールのペイロード350として含まれる。こうして、たとえばペイロードは、変換された機能410(および各変換された機能についてのエントリハンドラおよび出口ハンドラ(図示せず))を含む。望ましいセキュリティ技術によれば、アプリケーションは、バイナリレベルで改変されていくつかの段で変換される。バイナリアプリケーションがモジュールトランスミューテーションで保護されている場合、ペイロードの構造は重要ではなく、ペイロードは単一のエンティティとして考えられる。
しかしながら、完全性検証およびアンチデバッグコンポーネントは、ユーザ対話を必要とする追加のモードを持つことも可能である。この場合、セキュリティコンポーネントの機能的エンジンは、保護されるバイナリアプリケーション内に静的にリンクされるバイナリ保護ライブラリ230内に常駐する。重要な指摘としては、セキュリティコンポーネントを両方のモードで適用することができる。たとえば、ユーザが完全性検証APIを適用する場合には、完全性検証コンポーネントをリンクフェーズ103に適用できる。さらに、完全性検証を、なんらの競合もなくポストリンク保護の一部として結果として得られたバイナリに再び適用することができる。
機能トランスミューテーション構築時
図7は、入力がバイナリアプリケーションである本発明の実施例による保護のフローを示す。機能トランスミューテーションは、アプリケーションを動的攻撃から守るポストリンク保護技術である。元のバイナリアプリケーション105をその複合機能に分解し(機能1、機能2、機能3、・・・機能N等)、これらをFT処理ブロック130によりWBアルゴリズムで変換する。FT処理130を、ホワイトボックス変換構築時ファシリティ140により実行し、ホワイトボックス変換キーおよび各機能用のオペレーションコードを生成しかつアセンブルする。変換された各機能410は、レジデントセキュリティモジュールのペイロードとして含まれる。FT処理も、各機能用エントリハンドラ420および出口ハンドラ420もインストールする。各機能は、それ自体のホワイトボックスキー(およびそれ自体の変換コード)で変換されるので、結果として保護されるバイナリモジュールには、各機能用の隠しWB逆変換キー(変換コード)が含まれる。この時点で、キーとコードという用語について混乱を避けるため、ここでコードとは、変換を実行するために使用するアルゴリズム/ソフトウェアコードを意味し、それが一般に独自のキーを使用することとする。
機能トランスミューテーションコンポーネントの利点は、実行中のある所与の瞬間においてクリアな形式の機能の数を制限する点である。さらに、レジデントセキュリティモジュールは、変換された機能410への呼び出しをインターセプトし、機能ごとのエントリハンドラ420および出口ハンドラ420と協働する。エントリハンドラは、機能に対するWB変換を逆転することについて責任を負いかつホワイトボックスキーの管理について責任を負い、一方で出口ハンドラは、メモリにおける機能を破壊する。こうして、機能への呼び出しは、エントリハンドラを介して行われ、機能からのリターンは、出口ハンドラを介して行われる。機能トランスミューテーションコンポーネントに特定的なオペレーション(機能トランスミューテーションおよび破壊)以外に、エントリハンドラおよび出口ハンドラは、ブロック転置、完全性チェック、デバッガの存在テストなど、様々なオペレーションを行う。なお、図面は実際は模式的なものであり、システムの作用の様子を説明するためのものであって、すべてを包含することを意図していない。したがって、図6は、エントリハンドラおよび出口ハンドラを示していない(主に雑然としすぎることを避けるため)一方で、図7は、変換された機能自体に関連するRSMおよびペイロードの一部のみを示す。
ブロックトランスミューテーション―構築時
図8は、本発明の実施例による、ブロックトランスミューテーションコンポーネント135の保護フローを示す。ブロックトランスミューテーションコンポーネント135は、保護されるアプリケーションがメモリ内で実行される間、動的コード解析および攻撃からのバイナリ保護を行う。ブロックトランスミューテーションは、バイナリ命令を挿入かつ置換することによりバイナリアプリケーションを改変する。さらに、バイナリアプリケーションコードを、実行時で要求があった際に実行するために、実行可能な状態に戻す必要があるホワイトボックス変換ブロックへ分解する。BT処理ブロック135は、アプリケーションのバイナリモジュールをその必要な機能へ分解し、その後各機能をブロックに分割する。その後、ホワイトボックス変換コードを使用して、ブロックを変換する。BTは、アプリケーションバイナリ構造に最大の影響を与える。BTで保護される機能は、大きく改変される。たとえば、元の命令のいくつかは、新しい命令で置換され、それ以外のいくつかの命令は、機能アドレス空間内で再配置される。新しい命令を挿入するので、BTで保護される各機能のサイズはより大きくなる。したがって、BT保護による機能は、専用のバイナリロケーションへ再配置される。実行時では、BTで保護される機能は、WB変換ブロック440に分割された大きなコードセグメントからなる。ブロックはグループに分割され、かつブロックからなる各グループは、独自のホワイトボックスキーで変換される。結果として得られるバイナリアプリケーションは、その元の挙動を維持しつつ、よりタンパリングに対する耐性が高まる。変換されたホワイトボックスキーおよび逆変換ルーチンは、保護されるバイナリモジュールの一部である。さらに、プログラム実行の間、恒常的に、元のアプリケーションの制御フローを遮断しかつ変更することで、バイナリアプリケーションを自動的な攻撃から保護する。レジデントセキュリティモジュールは、ブロックの物理メモリアドレスをランダムに改変する動的ブロック転置マネジャ155を含む。ホワイトボックス変換されたブロックは、レジデントセキュリティモジュールはと結合されたペイロード内に含まれる。
モジュールトランスミューテーション―構築時
図9は、本発明の実施例による静的解析および攻撃からバイナリアプリケーションを保護するモジュールトランスミューテーション120のコンポーネントによる保護プロセスを示す図である。一般に、保護されるアプリケーションには、保護されるアプリケーションが複数のトランスミュートされたモジュールを含むように、このプロセスが各モジュールについて繰り返されるいくつかのモジュール(実行ファイル共有ライブラリ)からなることが可能である。元のバイナリアプリケーション105が変換され、圧縮され、かつレジデントセキュリティモジュールのペイロードとして含まれる。結果として得られる保護されたバイナリモジュールが、デプロイされたアプリケーションにおける元のモジュールを置換する。図9の右側のボックスは、モジュールトランスミューテーションで保護するアプリケーションバイナリモジュール200を明らかにする。静的な保護のため、メモリにアプリケーションをロードする機能性を別にすれば、レジデントセキュリティモジュール300は、実行時でペイロード360に対して逆変換を行う経過を含みかつ完全性検証能力も含む。図9は、ペイロード350の一部を構成するペイロード360の一部を示す。
完全性検証−構築時
図10は、本発明の実施例に従い、保護されるアプリケーションの挙動を改変しようとするタンパリング攻撃を検出する完全性検証コンポーネントによる保護プロセスを示す。構築時において、入力バイナリモジュールは、デジタル署名されており、バウチャデータを作る。バウチャは、署名の集まりと、保護されるアプリケーションに関する他の情報を含む。バウチャデータは、ホワイトボックスアルゴリズムを用いてIVプロセス125により変換され、かつ変換されたバウチャデータは、保護されるアプリケーションに埋め込まれるかまたは別のファイルにエキスポートされる。一般には、保護されるアプリケーションは、いくつかのモジュール(実行ファイルおよび共有ライブラリ)から構成することができる。この場合、アプリケーションにタンパリング耐性を持たせるということは、すべてのモジュールが署名されかつバウチャデータがすべてのモジュールのシングルエンティティに記憶できるかまたは好ましくは、各モジュールがそれ自体のバウチャデータを個別に記憶させることを意味する。モジュールごとにバウチャデータを可能にすることで、アプリケーションに、再署名なしで個々のモジュールを更新する柔軟性が付与されるのみならず、各バウチャを異なるキーで変換できることによりセキュリティが向上する。
完全性検証トランスミューテーションは、自動および/またはユーザ対話モードで実行できる。これらのモードはともに挙動と原則を共有するが、IV機構が、保護されるバイナリアプリケーションに挿入される態様が異なる。自動モードでは、IVエンジン540は、レジデントセキュリティモジュールに常駐し、IVコンポーネントは、戦略ポイントで、保護されるバイナリアプリケーションに自動的に挿入される。ユーザ対話モードの場合、IV機構550は、IVライブラリ555に対する呼び出しに基づき、アプリケーション内に静的にリンクされるバイナリ保護ライブラリ内に常駐し、このライブラリは、コンパイルフェーズの前にユーザのソースコード内に挿入される。
典型的には、実行時、保護されるアプリケーションの構造は、適用された様々なバイナリトランスミューテーションによって動的にそれらの状態が変化する多数のコードセグメントからなる。実際、保護されるアプリケーションの構造は、前記バイナリアプリケーションコードの連続的に入れ子になった層に適用される1以上の層間トランスミューテーションを含む複数のバイナリトランスミューテーションの組み合わせを含み、この連続的に入れ子になった層は、アプリケーションを含むモジュール、モジュールを含む機能、機能を含む命令の基本ブロックおよび個々の機械命令を含む。多くのセキュリティ上重要な機能は、BTで保護され、他のいくつかの機能はFTで保護される。保護されるアプリケーションが自己改変コード性のものであっても、IVトランスミューテーションが、モジュール、機能またはブロックの完全性をチェックする能力を提供することが好ましい。したがって、署名フェーズは、署名の組を、実行の際にその状態を変更する各コードセグメントと関連付けることから構成される。これらは、変換される前後に署名される。たとえば、等式1は、変換後および変換前両方の状態のブロックの署名を示す。結果として、BTで保護される機能の署名は、等式2で表すことができ、これは、機能を構成するブロックの署名の和である。機能がFTで保護される場合には、これらは単一のピースとして変換される。等式3は、FTで保護される機能の署名を表す。
Figure 2012526310
実行時処理の実施例について説明する前に、ここで、本発明の実施例による、連続的に入れ子になった層およびトランスミューテーションがそれらに適用される様子を示す別の模式図である図29を参照する。この例では、1つのモジュールのみを説明するが、追加のモジュールを含みうることは当然である。この例では、モジュールを3つの機能に分割する。ここでは、1つの機能の例、すなわち770で表す機能1についてのみ説明する。この機能は、複数のブロックを含み、その各々が、複数の命令を含む。FT処理ブロックは、機能1をトランスミュートして、変換された形775にする。これは、エントリハンドラ773および出口ハンドラ778を含み、RSMおよびWB変換エンジン810からのインターロッキングコード/データなしには動作することはない。しかしながら、機能1は、複数のブロックを含み、その各々も、トランスミュートされる。たとえば、BT処理ブロックはあるブロックをトランスミュートして、変換された形780にするが、これは、エントリハンドラ783と出口ハンドラ785とを含み、これらもまた、RSM790およびWB変換エンジン810からのインターロッキングコード/データなしには動作することはない。同様に、ブロック780は、1以上の命令を含み、これらの命令は、変換された形790に変換され、これも同様にRSM790およびWB変換エンジン810からのインターロッキングコード/データなしには、動作することはない。さらに、RSM800は、上記の連続的に入れ子になった層間トランスミューテーションを組み込むのみならず、前記層の1以上の層および/または前記トランスミュートされたモジュール全体に、保護の内層を付加するIVエンジン820およびADBエンジン830も組み込む。
なお、上記は、上位から下位の順に記載した。すなわち、機能がブロックをカプセル化するので、FTをBTの前に記載した。しかしながら、実際には、実施例では、まず機能を解析し、各機能をブロックに分解し、ブロックを変換し、効果的に機能を変換することは当然である。上記のとおり、FT処理を、次に、変換した機能に適用する。実行時には、プロセスを逆にして、機能の変換をまず除去して、変換されたブロックを露出し、実行する際に、変換されたブロックから、変換を除去することが考えられる。
実行時処理
図11は、保護されるアプリケーションが実行時で安全に実行される様子を示す概略図である。図6に示すとおり、保護されたバイナリアプリケーションは、RSM300とその変換されたペイロード350とからなる。ペイロードの構造は、構築時に適用されるバイナリトランスミューテーションに依存する。保護されるバイナリアプリケーションが開始されると、RSMは制御を行い、ペイロードを実行する準備をする。効果的には、RSMはOSローディングプロセスを置換する。RSMは、保護されるアプリケーションについての情報を含み、逆変換が適用されると、変換されたペイロードが配置されることになるメモリ空間を割り当てる。ペイロードに対して変換を扱う前に、RSMは、3つのオペレーションを行う。すなわち、1)セキュリティエンジンを初期設定する、2)アンチデバッグコンポーネントを実行する、および3)ペイロードの完全性をチェックする。
ペイロードがメモリにセットアップされた後、RSMは、実行時セキュリティサポートを準備し、制御をペイロードに渡すが、これは、変換された機能および変換されたブロックから構成される。さらに、アプリケーションは、ブロック、機能およびアプリケーションモジュール全体に関連する完全性情報を含む。機能およびブロックは、要求に応じて、実行可能な状態へ動的に変換されかつ実行の後に破壊される。結果として、コードの一部のみが実行時においてはクリーンな形式になる。初期化フェーズにおいて、RSMは、エントリハンドラおよび出口ハンドラを管理し、これらは機能およびブロック変換ならびに破壊についての責任を負う。さらに、これらのハンドラは、完全性チェック、コード再配置、コードデプロイおよび保護されるアプリケーションにアタッチされるデバッガの検出等の他のセキュリティ活動も行う。完全性検証によりブロック、機能またはアプリケーション全体の完全性の自動的なチェックが図られる。
コード再配置能力とは、各機能の起動の後、機能が構造上動的に変化することを意味する。これは、機能ブロックの物理メモリアドレスを置換することにより可能になる。動的コード再配置は、自動かつ動的攻撃に対しての優れた防御を表す。エントリハンドラおよび出口ハンドラは、動的保護を付与する上で重要な要素となるので、これら自体も保護することが好ましい。各ハンドラが、自己の完全性を定期的にチェックしかつ自身を再構築することができる。さらに、ハンドラは、保護されるアプリケーションにデバッガがアタッチされているかどうかをチェックする。
モジュールトランスミューテーション−実行時プロセス
図12は、実行時実施の際のモジュールトランスミューテーション(MT)コンポーネントを示す。保護されるアプリケーションが、メモリにロードされる際、RSMがコントロールしいくつかのセキュリティオペレーションを行う。第1に、RSMは、保護されるアプリケーションがデバッガの制御下にないことを確認しかつ自身およびペイロードの完全性をチェックし、ペイロードを実行の準備ができた状態に変換する。MTコンポーネントは、基本的には静的保護のためのものである。攻撃者がディスク上のペイロードを解析しないようにする。ペイロードがデプロイされた後、ペイロードおよびRSMに埋め込まれた他のセキュリティコンポーネントが制御を行い、動的解析および攻撃からアプリケーションを守る。さらに、ペイロードはバイナリ保護アプリケーションに関連する実行時データを含む。
完全性検証−実行時処理
図13は、完全性検証コンポーネントの実行時処理を示す。
保護されるアプリケーションがメモリ内に配備されると、その構造は、要求に応じて実行可能な状態に動的に変換されかつ実行の後に再び破壊されるコードセグメントから構成される。IVトランスミューテーション(IV)により、保護されるアプリケーションまたはそのコンポーネントのいずれかのインメモリコードセグメントが、タンパリングされずかつアプリケーションのディスクイメージが外部から改変されていないことが確定する。基本原則は、保護/構築時に生成される完全性検証データと、保護されるバイナリアプリケーションの実行時イメージとの比較に基づく。ブロックまたは機能がその変換状態を変えるたびに、実行時署名を適切に更新する。したがって、それらの変換状態を動的に変更するセグメントから構成されるバイナリアプリケーション等の自己改変コードアプリケーションの完全性をチェックすることが可能である。
自動モードにおいては、IVは、モジュール、機能またはブロックの完全性を検証することができる。希望するセキュリティレベルにより、様々な形で戦略ポイントにIVへの呼び出しが挿入される。たとえば、機能をブロックトランスミューテーション(BT)で保護すれば、IVは、各ブロックの実行の前に、そのブロックの完全性または機能を構成するブロックすべての完全性をチェックする。機能の完全性チェックとは、機能を構成する全ブロックの完全性をチェックすることを意味し、モジュールの完全性は、BT/FT保護機能に属する複数の署名値およびアプリケーションコードの残部からなる。図14は、IVがある場合とない場合両方の実行時機能処理を示すことにより、自動IV呼び出しの他の例を示す。二重署名スキームを利用することにより、実行の前に機能を検証することができ、これは、優れた防御方法である。図14のa)は、FT保護される機能に対する基本呼び出しを示し、図14のb)は、呼び出し者と呼び出された機能の両方の完全性チェックを含むFT保護される機能への呼び出しを示す図である。
ユーザモードでは、IVは、モジュールまたは機能の完全性をチェックするAPIの組を提供する。さらに、これらをソースコードに挿入して、IVチェックを行う時期をユーザが制御できる。この完全性検証機能性によって、ユーザは、複数の方法でモジュールの完全性をチェックすることができる。まず、対応のIVAPIが起動される場合は常に、アプリケーションを構成する不変のバイトの組全部(すなわちコードおよびリードオンリーデータ)をチェックできる。このAPIにより、ユーザは、性能を調整する目的で、起動ごとに、アプリケーションのうちどれだけをチェックするかを特定することができる。この全体のモジュールチェックに加えて、IVAPIでは、ユーザが、現在実行中の機能が、構築時以降改変されたかどうかをチェックすることができる。上記のとおり、動的に変換かつ実行される機能およびブロックを、実行の前後で、完全性についてチェックすることができる。
機能トランスミューテーション−実行時プロセス
一般に、アプリケーションモジュール実行の間、保護される機能が起動されると、そのエントリ機能ハンドラがまず実行され、ホワイトボックス変換実行時ファシリティと対話し、その機能に特定的なホワイトボックス変換実行時キーデータおよびオペレーションコードを使用して、ホワイトボックス変換逆オペレーションを実行することによりホワイトボックス変換された機能コードが逆変換され、実行メモリに逆変換された機能がロードされ、かつ機能から出る時には、実行制御が機能に渡されて、機能の出口ハンドラが起動される。随意には、各機能についてRSMが、リターンの前に機能のメモリ足跡をクリアするかスクランブルする。さらに、IV、ADBの一方または両方のトランスミューテーションをエントリ機能ハンドラおよび出口機能ハンドラに暗示的に適用することにより保護されている機能に対して適用されるFTと、IVまたはADBトランスミューテーションのうちいずれかまたは両方がインターロックされるように、層内保護を起動することができる。
図15は、本発明の実施例による、実行時実行の際の機能トランスミューテーション(FT)コンポーネントを示す図である。RSMがペイロードを実行可能な状態に変換した後でさえ、いくつかの機能は変換されたままにすることができる。さらに、RSMは、保護される機能ごとに、エントリハンドラおよび出口ハンドラをインストールする。保護される変換後の機能が起動されると、そのエントリハンドラが、コントロールを掌握し、必要なホワイトボックスキーを使用して、適切な逆変換を行って機能を実行可能な状態に復元する。この明細書ですでに説明のとおり、各機能は、独自のキーを用いて変換することができる。変換動作を行う前に、適宜、エントリハンドラが、保護時に指定される、様々な他のオペレーション(完全性チェック、アンチデバッグ)を行う。機能を実行可能な状態に変換した後、エントリハンドラが、制御を機能に渡して実行する。機能からのリターンは、機能の出口ハンドラによりインターセプトされるが、出口ハンドラの主な役割は、機能のコンテントを破壊し、制御を呼び出し者に返すことである。エントリハンドラの場合と同様、出口ハンドラは、保護時に指定された広範なセキュリティオペレーションを行うことができる。
FTコンポーネントにより、ユーザは、機能の実行時破壊/変換の頻度を指定する動的カウンタを規定することができる。デフォルトで、カウンタを1に設定する。各機能は、その独自の動的保護カウンタを有する。このカウンタによりユーザはセキュリティ対性能について、保護を調整することができる。たとえば、カウンタが5に設定されれば、出口ハンドラが機能のコンテントを破壊する前に、その機能を5回起動できる。
ブロックトランスミューテーション−実行時プロセス
図16は、動的解析および攻撃に対する保護でチャージされるブロックトランスミューテーション(BT)コンポーネントの実行時プロセスを示す。中心となる原則は、バイナリアプリケーションをディスクリートなブロックに分解することに基づく。構築時に、ブロックは、ホワイトボックス変換を用いて変換される。実行時に、ブロックは、要求に応じて動的に変換され、実行可能な状態に戻される。実行時では、最小数のブロックのみが(かつ理想的には単一のブロックのみ)が、クリーンな形になり、残りのブロックが未変換のままであることが好ましい。実行の後、ブロックは破壊され、BTおよびFTは、変換−実行−破壊という同じ基本原則を共有するが、これらは異なった態様で実現される。BEで保護される機能は構築時に改変される。たとえば、変換ルーチンへの呼び出しが、保護される機能内に挿入される。
全機能ではなく、ブロックを動的に変換することは、FTが提供するものに追加の保護層を構成する。たとえば、機能の入力パラメータにより、いくつかのブロックは実行されない。その結果、これらは、決して実行可能な状態に変換されず、解析、リフティングおよびタンパリングに対して脆弱にならない。
さらに、同じ機能に属するブロックは、定常的にメモリにおいて置換される。動的にブロックを変換し、メモリにおけるそれらの位置を置換することは、自動的かつ動的攻撃に対する良好な防御方法となる。図17は、その実行の様々な瞬間において保護されるアプリケーションの例を示す。ブロック置換の頻度は、入力セキュリティオプションでユーザが規定することができる。
動的機能ローディング
上に説明した技術に加えて、このシステムが提供する技術的インフラストラクチャは、保護される機能の動的ローディングも可能化する。この動的ローディング機能性により、ユーザは、ホワイトボックス変換を用いて機能を保護することができ、必要な時にこの機能をロードでき、この機能を起動でき、メモリから安全にこの機能を消去することができる。基礎のアプリケーションを変更することなく容易に機能のアップデートができることに加え、このシステムでは、保護される機能がメモリにおいてクリアな形式になる時間が最小になる。
動的機能ローディング−構築時
図18は、動的機能ローディングの構築時処理を示す。ユーザは、保護対象の機能を供給する。これらは、ユーザが供給するホワイトボックス変換キーおよびアルゴリズム仕様に関連して動的機能ローダー処理エンジンを介して処理される。このプロセスにより、変換された機能および隠しホワイトボックス逆変換キーを含む保護された変換データモジュールが生成される。このデータモジュールを様々な方法で(ダウンロード等)アプリケーションに供給ことができる。これにより、ユーザは、元のアプリケーションを再構築、再テストおよび再配備する必要なしに、機能の性質または保護レベルを簡単に変更できる。また、ユーザは、通常、実行ファイルおよび動的にロードされるかまたは共有されるライブラリ等のコードバイナリを可能にしないかもしれない標的システム上の領域に、機能コードを(このデータモジュールの形で)配置することもできる。
動的機能ローディング−実行時プロセス
図19は、動的機能ローディングの実行時プロセスを示す。実行時で、アプリケーションは、どの保護データモジュールをロードし、かつどの機能を起動すべきかを指定する動的機能ローディングライブラリへの呼び出しを行う。そこで、ライブラリは、保護データモジュールにおける機能を発見し、これをメモリ内に実行可能な形で変換する。ライブラリは、アプリケーションのために機能を起動し、その結果を戻す。機能を起動したのち、アプリケーションは、その機能をメモリから安全に消去することを依頼することができる。
動的機能ローディングの実行時プロセスは、いくつかのフェーズに分割される。図20は、プロセスの第1のフェーズの例を示す。このフェーズでは、呼び出しアプリケーションは、どの保護データモジュールが所望の機能を含むかを特定する。動的機能ローディングライブラリは、そこでライブラリ内の機能を識別する。
図21は、プロセスの第2フェーズの例を示す。このフェーズでは、動的機能ローディングライブラリは、隠しホワイトボックス変換キーを含み、所望の機能に逆変換を適用する準備をする。図22は、プロセスの第3フェーズの例を示す。このフェーズでは、所望の機能のコードを含むデータが、実行可能な状態に変換され、メモリ内へ配置され、起動の準備がされる。
図23は、このプロセスの第4のフェーズの例を示す。このフェーズでは、動的機能ローディングライブラリは、呼び出しアプリケーションのために機能を起動する。アプリケーションは、パラメータを機能に供給し、これがライブラリによって伝達される。機能からのリターンコードは、機能が完了した後に、呼び出し者に送られる。図24は、最終フェーズを示し、呼び出しアプリケーションが、機能を安全に消去することを要求できる。ライブラリは、そこで、機能をメモリから消去する。この機能を再び起動する必要がある場合は、再び実行可能な状態に変換して、ライブラリによりロードしなければならない。
図25は、コードトランスミューテーションおよびインターロッキングを伴う動的機能ローディングの構築時プロセスの例を示す。動的機能ローディングにより、適用されるより高度なセキュリティ技術のためのインフラストラクチャが提供される。たとえば、上の項で説明した機能保護技術はどれでも使用することができる。すなわち、それらは、以下のとおりである。
・ブロックトランスミューテーション
・機能に基づく完全性検証
・ブロックに基づく完全性検証
・アンチデバッグ
動的機能ローディングとソースコード変換を組み合わせることで、より高度なセキュリティを得ることができる。図25に示す例では、ユーザは、保護する必要がある3つの機能を含むアプリケーションを供給する。トランスコーダを介してソースコード変換を適用することにより、システムは、変換された機能と強くインターロックされた機能のための変換スタブを含むアプリケーションを作ることができる。これらの機能を、動的機能ローディング機構を用いて保護することができる。このようにコード変換を用いることによって、攻撃者が保護される機能を置換することが非常に困難になる一方で、動的機能ローディング技術により、保護される機能をメモリからリフティングすることが困難となる。さらに、この技術により、ユーザは保護される機能を容易に置換することができ、おそらく最初の構築時に攻撃を受けた際に、対応することができる。
インターロッキングセキュリティ技術
インターロッキングは、様々なセキュリティ技術間に強い相関を創出することによりセキュリティ標準を向上させることを目的とするものである。これはクリティカルコードおよびデータを中心とする。あるセキュリティエンジンの重要なコンポーネントが、他のセキュリティコンポーネントにより生成される値に依存する。このようなインターロックセキュリティエンジンの例を図14に示すが、検証された機能の動的変換の前に、完全性をチェックする。しかしながら、インターロッキングは、より複雑にすることが可能である。たとえば、IVおよびADのコンポーネントにより、他のセキュリティコンポーネントの部分(実行可能コード)を含むフェイルアンドサクセス(Fail and Success)コールバックルーチンが提供される。
たとえば、図26は、BTおよびIVコンポーネントのインターロックされた形を示す。ブロックを構成する命令の一部が、IVエンジンのサクセスコールバックに再配置される。したがって、これらは、検証の成功または失敗に応じて実行される。IV失敗の場合には、計算は完了せず、ハッカーの攻撃が失敗する。
キーの分割
暗号技術において大切なセキュリティ上のパラダイムは、復号化キーを保護することから構成される。ホワイトボックス技術を使用することは、この要件を満たす大きな前進の一歩である。数学的変換が復号化ルーチンによってのみ知られる復号化キーに適用され、攻撃者が各命令の実行を観察している場合でも、キーが露出しない復号化オペレーションが得られる。本発明は、隠し復号化キーを2つの部分に分割することから構成される追加のセキュリティ対策を導入する。一方の内部部分は、保護されるバイナリアプリケーションに埋め込まれ、外部部分は、エンドユーザが、実行フェーズで付与する必要がある。図2は、暗号化30および隠し復号化キー35両方を生成するプロセスを示す。保護時には、隠し復号化キーが、図27に示すように分解される。実行時には、RSMがキーの復元の役割を果たす。この技術は、いずれのホワイトボックス変換にもおよぶ。キー分割の特徴は、WB変換すなわちMT、IVおよびBTを利用するすべてのセキュリティコンポーネントに当てはまる。
たとえば、装置の製造業者は、キーの一部を装置上の安全な記憶装置に置くことができる。保護されるアプリケーションが起動されると、キーのこの部分を、安全な記憶装置からキーを回収する装置上のコードを実行することにより回収できる。完全なホワイトボックスキーをここで再構築し、保護されるアプリケーションのペイロードの復号化、バウチャデータの復号化、または機能および/ブロック変換に使用できる。安全な記憶装置からのキーの断片を手に入れた攻撃者も、それをどうすることもできず、また、アプリケーションからキーの断片を抽出することに成功した攻撃者もどうすることもできない。インターロック技術をさらに使用することで、安全な記憶装置を有する装置の上で実行される保護されるアプリケーションのコンテクスト外では、いかなる復号化オペレーションを行うことも非常に困難になる。もちろん、キー上の変換により、ホワイトボックスコンテクスト以外での使用が困難になる。すなわち攻撃者は、それ自体の暗号化ルーチンで変換されたキーを使用できない。
上記では、説明の目的で、発明の実施例を完全に理解する上で、様々な詳細について述べた。しかしながら、発明を実施するためこれら特定の詳細が不要であることは、当業者には明らかになるであろう。
本発明の実施例の代表的なものは、機械で読み出し可能な媒体(コンピュータ読み出し可能媒体、プロセッサ読み出し可能媒体または内部にコンピュータ読み出し可能プログラムコードが埋め込まれたコンピュータ使用可能媒体とも呼ぶ)に記憶されたソフトウェア製品をあげることができる。機械で読み出し可能な媒体は、ディスケット、コンパクトディスクリードオンリメモリ(CD−ROM)、メモリ装置(揮発性または不揮発性)または同様の記憶機構を含む磁気、光学または電気記憶媒体を含む何らかの有形の媒体が可能である。機械で読み出し可能な媒体は、実行されば、プロセッサに、本発明の実施例による方法における工程を実行させる、様々な命令の組、コードシーケンス、構成情報または他のデータを含むことが可能である。記載の発明を実現するために必要な他の命令およびオペレーションも機械で読み出し可能な媒体上に記憶できることは、当業者には理解されるであろう。機械で読み出し可能な媒体から実行するソフトウェアは、回路と対話して記載のタスクを実行することができる。
特に、ソースコードは、1つの計算装置上に展開でき、構築時処理は、他の装置で実行することができ、その一方で保護されるアプリケーションは実際にもう一つの装置上で実行できることは当然である。各装置は、プロセッサ、メモリおよびプロセッサにより実行されると、同プロセッサに、本件記載の方法を実行させる機械で読み出し可能かつ実行可能な命令を有形的に記憶する機械で読み出し可能な媒体を含みうる。
上記の発明の実施例は、例示目的のみのものである。本発明の範囲を逸脱することなく、特定の実施例について、代替、変形および変更は、当業者により実行可能であり、発明の範囲は添付の請求項によってのみ規定される。

Claims (61)

  1. バイナリアプリケーションコードを含むバイナリソフトウェアアプリケーションを、元の形から、そのアプリケーションの全体または一部に、タンパリング、リバースエンジニアまたはリフティングを試みる静的および/または動的攻撃に耐性がある安全な形に変換する方法であって、前記方法が、
    A)前記バイナリアプリケーションコードに一連の変更を行って、変更されたバイナリアプリケーションコードを生成することにより、構築時フェーズにおいて、前記バイナリソフトウェアアプリケーションに対する複数のバイナリトランスミューテーションの組み合わせを実行するステップを含み、前記変更が、構築時に前記変更されたバイナリアプリケーションコードと絡みあった新しいコードをインプラントすることを含み、さらに、
    B)トランスミューテーションの間に相互依存性を生成して配置することによって、前記トランスミューテーションをインターロックするステップと、
    C)実行の間、トランスミューテーションの前記組み合わせとインターロッキングを、保護対象のバイナリアプリケーションコードとインプラントされたコードの両方に適用するステップと、
    D)バイナリ保護が、保護されるアプリケーションから分離されることがないように、元のアプリケーションに意味論的に等価だが、前記インターロックされたトランスミューテーションを含む保護されるアプリケーションを生成するステップとを含む、方法。
  2. 前記複数のバイナリトランスミューテーションの組み合わせが、前記バイナリアプリケーションコードの連続的に入れ子になった層に適用される1以上の層間トランスミューテーションを含む、請求項2に記載の方法。
  3. ステップ(B)が、インターロッキングデータを付加することを含み、かつステップ(D)が、有効なインターロッキングデータの存在なしには、正確に実行できない保護されるアプリケーションを生成することを含む、請求項2に記載の方法。
  4. ステップ(B)が、適正な実行のために、1つのトランスミューテーションが、それ以前のトランスミューテーションの存在を必要とすることを含む、請求項3に記載の方法。
  5. ステップ(B)が、1つのトランスミューテーションに、第2のトランスミューテーションのための入力として使用される出力を生成させることを含む、請求項4に記載の方法。
  6. ステップ(B)が、相補の特徴を有するトランスミューテーションを使用することを含む、請求項1から5のいずれかに記載の方法。
  7. 前記連続的に入れ子になった層が、アプリケーションを含むモジュール、モジュールを含む機能、機能を含む命令の基本ブロックおよび個々の機械命令を含む、請求項2から6のいずれかに記載の方法。
  8. 前記バイナリトランスミューテーションの組み合わせが、前記バイナリアプリケーションコードの層に適用される1以上の層内トランスミューテーションをさらに含む、請求項2から7のいずれかに記載の方法。
  9. 前記1以上の層内トランスミューテーションが、構築時と実行時の両方において1以上の層に適用される完全性検証(IV)トランスミューテーションを含む、請求項8に記載の方法。
  10. 前記1以上の層内トランスミューテーションが、1以上の層に適用されるアンチデバッグトランスミューテーションを含む、請求項8または9に記載の方法。
  11. バイナリトランスミューテーションが、静的構築時プロセスを含み、該プロセスが、
    i)保護対象のアプリケーションのソースコード内にトランスミューテーション実行コードを挿入して、変更されたソースコードを生成するステップを含み、この変更ソースコードがコンパイルされて、前記バイナリアプリケーションコードが生成され、さらに
    ii)相補の変更を保護対象のバイナリアプリケーションに挿入して、バイナリアプリケーションへの前記相補の変更が存在しない限り、アプリケーションソースコードへの変更が、正しく作用しないようにするステップと、
    iii)保護対象のアプリケーションのバイナリ形式に対してバイナリトランスミューテーションに特定的なオペレーションを実行しかつ実行時に必要とされる関連の静的インターロッキングデータを生成するステップとを含み、
    バイナリトランスミューテーションが、実行時プロセスをさらに含み、該プロセスが、
    a)トランスミューテーションが除去されるか改変されれば、アプリケーションの元の意味が、保存されないような態様で、アプリケーションに挿入されたトランスミューテーション実行コードを実行するステップと、
    b)トランスミューテーション実行コードを実行しながらさらに必要な実行時インターロッキングデータを動的に生成するステップと、
    c)前記関連の静的および動的インターロッキングデータを使用して、適宜、インターロッキング依存性を検証するステップと、
    d)保護されるアプリケーションを実行しながら、1つのトランスミューテーションが、第2のトランスミューテーションの実行に適したアプリケーション状態を生成するのに必要になるように指定された順序で、一連の複数のトランスミューテーションを実行するステップとを含む、請求項2から10のいずれかに記載の方法。
  12. バイナリトランスミューテーションがホワイトボックス変換プロセスを適用し、該プロセスが、構築時に、
    i)ホワイトボックス変換構築時ファシリティを用いて、ホワイトボックス変換キーおよびオペレーションコードを生成かつアセンブルするステップと、
    ii)ホワイトボックス変換構築時キーでホワイトボックス変換オペレーションを行うことにより、前記バイナリコードおよび関連の重要情報を入力の形式から出力の形式に変換するステップと、
    iii)実行時に、ホワイトボックス変換実行時キーで、ホワイトボックス変換逆オペレーションを行うことによって、ホワイトボックス変換実行時ファシリティを用いて、バイナリコードおよび関連の重要情報を出力の形式から、入力の形式に戻す変換を行うステップとを含む、請求項1から11のいずれかに記載の方法。
  13. ホワイトボックス変換構築時ファシリティが、
    a)ホワイトボックス変換生成機と、
    b)ホワイトボックス変換構築時キーマスタと、
    c)ホワイトボックス変換オペレーションマスタと、
    d)ホワイトボックス変換構築時マネジャとを含み、かつ
    ホワイトボックス変換実行時ファシリティが、
    e)ホワイトボックス変換実行時キーマスタと、
    f)ホワイトボックス変換逆オペレーションマスタと、
    g)ホワイトボックス変換実行時マネジャとを含む、請求項12に記載の方法。
  14. ホワイトボックス変換生成機が、元のキーデータと、ユーザが供給する変換アルゴリズム選択とを受け入れ、かつホワイトボックス変換構築時キーデータ(意味的オペレーションコードとともに)とこれに結合する対応のホワイトボックス変換実行時キーデータ(逆オペレーションコードとともに)の組み合わされたペアを生成する、請求項13に記載の方法。
  15. 対応のホワイトボックス変換逆オペレーションコードが実行されている間、予期しない漏洩を防止するために、ホワイトボックス変換実行時キーデータおよびオペレーションコードが生成された後に元のキーデータおよび重要な変換情報を隠すステップをさらに含む、請求項14に記載の方法。
  16. 複数の変換を適用し、かつ前記ホワイトボックス変換オペレーションマスタが複数のホワイトボックス変換オペレーションを記憶し、前記ホワイトボックス構築時キーマスタが複数のホワイトボックス変換キーを記憶し、かつ前記ホワイトボックス変換実行時キーマスタが複数のホワイトボックス変換実行時キーを記憶し、かつ前記ホワイトボックス変換逆オペレーションマスタが、複数のホワイトボックス変換逆オペレーションを記憶する、請求項13または14に記載の方法。
  17. 前記ホワイトボックス変換構築時キーマスタが、ホワイトボックス構築時マネジャによりアクセスされ、
    前記ホワイトボックス変換オペレーションマスタが、複数のホワイトボックス変換意味的オペレーションコードを安全かつ有効に編成かつ配置し、
    前記ホワイトボックス変換オペレーションマスタが、ホワイトボックス変換構築時マネジャによってのみアクセスされ、
    前記ホワイトボックス変換構築時マネジャが、様々なホワイトボックス変換構築時キーとそれらの対応のホワイトボックス変換意味的オペレーションコードの記憶、回収およびマッチングを調整し、
    それにより各ホワイトボックス変換プロセスが、ホワイトボックス変換構築時マネジャを使用し、実行時に対応するホワイトボックス変換構築時キーを用いて適切なホワイトボックス変換意味的オペレーションを起動し、
    前記ホワイトボックス変換実行時キーマスタが、複数のホワイトボックス変換実行時キーを安全かつ有効に編成し、記憶しかつ配置し、
    前記ホワイトボックス変換実行時キーマスタが、ホワイトボックス変換実行時マネジャによりアクセスされ、
    前記ホワイトボックス変換逆オペレーションマスタが、複数のホワイトボックス変換逆オペレーションコードを安全かつ有効に編成しかつ配置し、
    前記ホワイトボックス変換逆オペレーションマスタが、ホワイトボックス変換実行時マネジャによりアクセスされ、
    前記ホワイトボックス変換実行時マネジャが、様々なホワイトボックス変換実行時キーとそれらに対応するホワイトボックス変換逆オペレーションコードの記憶、回収およびマッチングを調整し、
    それにより、各ホワイトボックス変換プロセスが、ホワイトボックス変換実行時マネジャを使用し、実行時に対応のホワイトボックス変換実行時キーを用いて適切なホワイトボックス変換逆オペレーションを起動する、請求項13に記載の方法。
  18. 最も普及した暗号アルゴリズムを含む広範な計算アルゴリズムを、前記ホワイトボックス変換生成機により実現されるホワイトボックス変換アルゴリズム用に選択するステップをさらに含む、請求項13に記載の方法。
  19. 暗号化アルゴリズムが選択され、暗号キーがユーザにより提供されると、ホワイトボックス変換生成機が、
    b)ホワイトボックス変換オペレーションコードとして、ホワイトボックス暗号オペレーションコードを生成し、
    c)ホワイトボックス変換逆オペレーションコードとして、ホワイトボックス復号オペレーションコードを生成し、
    d)ホワイトボックス変換構築時キーデータとして、ホワイトボックス暗号キーデータを生成し、
    e)ホワイトボックス変換実行時キーデータとして、ホワイトボックス復号キーデータを生成する、請求項14に記載の方法。
  20. 異なる連続して入れ子になった層の異なるトランスミューテーション用に、異なるホワイトボックス構築時キーおよび実行時キーならびにオペレーションコードを生成しかつアセンブルする、請求項12から19のいずれかに記載の方法。
  21. 方法が、保護されるアプリケーションが正しく機能するために両方の変更の存在が必要になるよう、バイナリ―コードに対して行われる変更に関連して作用する変更をソースコードに対して施すよう構成されるインターロッキング保護を付加し、かつインターロッキングが、トランスミューテーションのいずれかまたはすべてを除去するのが難しくなるような態様で、層間および層内トランスミューテーションの両方を含み、トランスニューテーションがトランスミューテーションを入れ子にすることによりインターロックされ、各入れ子になったトランスミューテーションが、各々がカプセル化する層に対する保護をさらに提供し、一方でカプセル化層からの保護をさらに受けかつ1以上の層内トランスミューテーションをさらに含み、各層内トランスミューテーションが、保護されるアプリケーションの1つの層内のまたは保護されるアプリケーション全体のための重複する保護を提供する、請求項2から20のいずれかに記載の方法。
  22. IVトランスミューテーションが構築時IV処理から構成され、該処理が、
    a)IVに特定的なホワイトボックス変換キーおよびオペレーションコードを生成しかつアセンブルするステップと、
    b)構築時のアプリケーションバイナリコードのハッシング情報を表す静的IVバウチャデータを計算するステップと、
    c)前記特定的ホワイトボックス変換キーおよびオペレーションコードを使用することによりIVに特定的なホワイトボックス変換を適用して、前記アプリケーションの前記バウチャデータを変換し、バウチャデータへの不正アクセスおよび攻撃を防止するステップと、
    d)前記専用ホワイトボックス変換キーおよびオペレーションコードに対応する隠しホワイトボックス変換実行時キーデータをアセンブルするステップとを含み、
    IVトランスミューテーションが、保護されるアプリケーションの始まりおよび実行の間の実行時アクションから構成され、該アクションが、
    e)IVライブラリが起動される間、IVイニシャライザーがホワイトボックス変換実行時ファシリティと対話して、IVに特定的なホワイトボックス変換逆オペレーションをホワイトボックス変換実行時キーデータに対して行うことにより、ホワイトボックス変換されたIVデータをプレーンIVデータに逆変換し、かつプレーンデータを保護されたデータ構造にロードするステップと、
    f)OSによりメモリにロードされるバイナリコードの動的IVバウチャデータを計算し、かつ動的IVバウチャデータを保護されるデータ構造に記憶するステップを含み、前記動的IVバウチャデータが実行時のアプリケーションバイナリコードのハッシング情報を表し、さらに
    g)保護された形式で提示される、前記静的IVバウチャデータを前記動的IVバウチャデータに対して比較することにより、保護対象のアプリケーションコードの完全性をチェックするステップとを含む、請求項9から21のいずれかに記載の方法。
  23. IVトランスミューテーションのアプリケーションが、ユーザが構築時フェーズにアプリケーションのソースコードの選択された場所に、IVAPI呼び出しを挿入できるようにし、その後、実行時に実行される構築時のアプリケーションに対して、自動的に、自動完全性検証エンジンを付加することにより、指定されたオプションのユーザ指定により決定される完全性のチェックを含む、請求項22に記載の方法。
  24. IVトランスミューテーションが、バイナリアプリケーションコード自体の完全性をチェックしかつコードに適用されるいずれか他のバイナリトランスミューテーションのコードの完全性もチェックする、請求項22または23に記載の方法。
  25. IVトランスミューテーションの実行が、コールバック機能を起動することによりアプリケーションにインターロックされる、請求項21から24のいずれかに記載の方法。
  26. 構築時フェーズの間、コールバック機能が付加されかつIVトランスミューテーションの準備の間パラメータとしてコールバック機能をIVAPI呼び出しに挿入することによりIVトランスミューテーションの実行とインターロックされる、請求項25に記載の方法。
  27. 前記バイナリトランスミューテーションの1つが、アプリケーションモジュールを保護するモジュールトランスミューテーション(MT)を含み、これは、前記アプリケーションモジュールに対する静的攻撃を防止するために構築時および実行時のMP処理により実行可能なアプリケーションおよび/または動的に共有されるライブライモジュールであることが可能で、
    構築時のMT処理が、
    a)ホワイトボックス変換構築時ファシリティと対話して、MTに特定的なホワイトボックス変換キーおよびオペレーションを生成かつアセンブリするステップを含み、前記アセンブルされたMTに特定的なホワイトボックス変換キーおよびオペレーションがMTに特定的なホワイトボックス変換構築時キーデータおよびホワイトボックス変換オペレーションならびに対応するホワイトボックス変換実行時データおよびホワイトボックス逆オペレーションを含み、さらに、
    b)保護対象のアプリケーションモジュールのバイナリコードを圧縮して、圧縮されたバイナリコードを構成するステップと、
    c)前記MTに特定的なホワイトボックス変換構築時キーデータおよびホワイトボックス変換オペレーション(ステップa)からの)を使用することにより、前記MTに特定的なホワイトボックス変換オペレーションを適用して前記圧縮バイナリコードを変換し、ホワイトボックス変換されたモジュールを形成するステップと、
    d)(ステップc)からの)前記ホワイトボックス変換されたモジュールと、隠し形式で(ステップa)でアセンブルされた)前記ホワイトボックス変換実行時キーデータおよび逆オペレーションを含むレジデントセキュリティモジュール(RSM)とを組み合わせることにより、前記アプリケーションモジュールのための安全にパッケージされたアプリケーションモジュールを生成するステップとを含み、
    モジュールトランスミューテーション(MT)が、実行時処理からさらに構成され、該処理が、
    e)OSが、安全にパッケージされたアプリケーションモジュールをロードしRSMにおけるコードの実行をトリガしている間、RSMが、ホワイトボックス変換実行時ファシリティと対話して、ホワイトボックス変換実行時キーデータを使用してIVに特定的なホワイトボックス変換逆オペレーションを実行することにより、圧縮されたアプリケーションモジュールにホワイトボックス変換されたモジュールを逆変換し、
    f)圧縮されたアプリケーションモジュールに対して脱圧縮オペレーションを適用して、前記アプリケーションモジュールのバイナリコードを得るステップと、
    g)前記アプリケーションモジュールをメモリ内へマッピングおよびローディングしかつ制御をアプリケーションのエントリポイントに渡すステップとを含む、請求項12から26のいずれかに記載の方法。
  28. 前記RSMにADDおよびIVトランスミューテーションの一方または両方を適用することにより前記RSMが保護される、請求項27に記載の方法。
  29. 前記バイナリトランスミューテーションの1つが、アプリケーションモジュール内の個々の機能への静的および動的攻撃を防止するため、構築時および実行時のFT処理により前記機能を保護する1以上の機能トランスミューテーション(FT)を含み、機能トランスミューテーションが、構築時のFT処理から構成され、該処理が、
    a)ホワイトボックス変換構築時ファシリティと対話して、保護対象の機能の各々に独自の、FTに特定的なホワイトボックス変換キーおよびオペレーションコードを生成しかつアセンブルするステップと、
    b)機能の各々に特定的なホワイトボックス変換構築時キーデータおよびホワイトボックス変換オペレーション(ステップa)からの)を使用して、FTに特定的なホワイトボックス変換を適用することにより前記機能の各々を含むバイナリコードを変換することで、変換された機能を生成するステップと、
    c)各変換された機能に対するすべての呼び出しがエントリ機能ハンドラを介して行われ、一方で機能からのリターンがその出口機能ハンドラを介して行われるように、前記変換された機能ごとに、エントリ機能ハンドラおよび出口機能ハンドラをインストールするステップと、
    d)ホワイトボックス変換された機能と、ステップb)に対して使用したホワイトボックス変換構築時キーデータおよびホワイトボックス変換オペレーションに対応するステップa)においてアセンブルされた隠しホワイトボックス変換実行時キーデータおよび逆オペレーションと、すべての保護される機能用にステップc)においてインストールされたすべてのエントリ機能ハンドラおよび出口機能ハンドラとを組み合わせることにより、レジデントセキュリティモジュール(RSM)およびすべての保護される機能を含む前記アプリケーションモジュールのための安全にパッケージされたアプリケーションモジュールを準備するステップを含み、
    機能トランスミューテーション(FT)が、各FTが保護する機能のための実行時アクションからさらに構成され、該アクションが、
    e)アプリケーションモジュールの実行中に、保護される機能が起動されると、そのエントリ機能ハンドラがまず実行されて、ホワイトボックス変換実行時ファシリティと対話し、その機能に特定的なホワイトボックス変換実行時キーデータおよびオペレーションコードを使用して、ホワイトボックス変換逆オペレーションを実行することにより、ホワイトボックス変換された機能コードを逆変換するステップと、
    f)実行メモリ内へ逆変換機能をロードするステップと、
    g)実行の制御を機能に渡し、かつ機能を出る時には、その機能の出口ハンドラを起動するステップとを含む、請求項12から28のいずれかに記載の方法。
  30. 機能ごとに、前記RSMが、リターンの前に機能のメモリの足跡をクリアまたはスクランブルする、請求項29に記載の方法。
  31. IVまたはADBトランスミューテーションの一方または両方が、IV、ADBまたは両方のトランスミューテーションを暗示的にエントリ機能ハンドラおよび出口機能ハンドラに適用することによって、保護されている機能に適用されるFTとインターロックされるように層内保護が起動される、請求項29または30に記載の方法。
  32. 追加の層内トランスミューテーション、すなわちブロックトランスミューテーション(BT)が、前記機能に対しての静的、動的および自動的攻撃に対するより強い保護を提供するために、かつ特定の実施例において、構築時および実行時にBT処理を行うことによりアプリケーションモジュール内の個々の機能内のコードの基本ブロックを保護し、ブロックトランスミューテーションが、構築時のBT処理から構成され、該処理が、
    a)前記機能の制御フローおよびデータフローを解析して、ブロック情報および機能の構造を識別かつ決定するステップと、
    b)保護されているブロックの各々に到達する全実行路が、そのエントリブロックハンドラをまず起動し、その後、ブロックコードに到達し、最終的に出口ブロックハンドラを介してブロックを去るように、ブロックの各々にエントリブロックハンドラおよび出口ブロックハンドラをインストールすることで各ブロックを増強するステップと、
    c)ホワイトボックス変換構築時ファシリティと対話して、保護対象のブロックの各々に独自の、BTに特定的なホワイトボックス変換キーおよびオペレーションコードを生成かつアセンブリするステップと、
    d)(ステップc)で生成かつアセンブルされた)ブロックの各々に特定的なホワイトボックス変換構築時キーデータおよびホワイトボックス変換オペレーションを使用することにより、BTに特定的なホワイトボックス変換を適用して、(ステップb)で処理される)基本ブロックの各々の増強されたバイナリコードを変換するステップと、
    e)前記エントリブロックハンドラおよび出口ブロックハンドラを有する前記変換されたブロックを含むレジデントセキュリティモジュール(RSM)と、アセンブルされた前記隠しホワイトボックス変換実行時キーデータおよび逆オペレーションとを含む前記アプリケーションモジュールために、安全にパッケージされたアプリケーションモジュールを準備するステップとを含み、
    ブロックトランスミューテーション(BT)が、1つの特定のFT保護される機能の全ての保護されるブロックのための実行時アクションからさらに構成され、該アクションが、
    f)アプリケーションモジュール実行の間、保護されるブロックを含む保護機能が起動されるたびに、同じ機能に属するすべてのブロックが、メモリにおいてランダムに転置され、さらに
    g)保護されるブロックを実行しようとするたびに、そのエントリブロックハンドラが起動され、これが、ホワイトボックス変換実行時ファシリティと対話して、ホワイトボックス変換実行時キーデータおよびブロックに特定的なオペレーションコードを使用して、ホワイトボックス変換逆オペレーションを実行することにより、ホワイトボックス変換されたブロックを逆変換し、
    h)指定された実行メモリに逆変換されたブロックをロードするステップと、
    i)ロードされたブロックに実行制御を渡すステップとを含み、ブロックから出る時には、出口ブロックハンドラが(随意に)メモリの足跡をクリアまたはスクランブルし、実行が次のブロックに渡り、保護される機能が出るまで、ステップB、CおよびDを繰り返す、請求項29から31のいずれかに記載の方法。
  33. ブロックトランスミューテーション(BT)が、入力セキュリティオプションを介してユーザにより指定されるブロック転置の頻度に基づく、メモリにおける動的に逆変換されたブロックのランダムコード位置転置をさらに含む、請求項32に記載の方法。
  34. ブロックトランスミューテーション(BT)が、出口ブロックハンドラが、ホワイトボックス変換実行時ファシリティと随意に対話し、ブロックに特定的なホワイトボックス変換実行時キーデータおよびオペレーションコードを使用して、ホワイトボックス変換オペレーションを実行することにより、ホワイトボックス逆変換されたブロックを再変換できるようさらに構成される、請求項32に記載の方法。
  35. ブロックトランスミューテーションが、各ブロックのエントリハンドラおよび出口ブロックハンドラに対してIVおよび/またはADBトランスミューテーションの一方または両方を適用することによりさらに保護される、請求項33または34に記載の方法。
  36. 命令トランスミューテーション(IT)が、前記機能に対する静的、動的および自動的攻撃に対する非常に強力な保護を提供するために、構築時および実行時のIT処理により、アプリケーションモジュール内の個々の機能内のコードの単一命令を保護する、請求項27から35のいずれかに記載の方法。
  37. バイナリコードを含むソフトウェアアプリケーションおよび随意には関連データを、元の形式から、アプリケーションの全部または一部に対し、タンパリング、リバースエンジニアまたはリフティングを試みる静的および/または動的攻撃に耐性があるより安全な形式で保護するシステムであって、前記システムが、
    a)ソフトウェアアプリケーションのための安全なバイナリライブラリを提供して、ユーザが保護を望むコード位置で指定のトランスミューテーション実行挙動を起動することと、
    b)前記アプリケーションを含むモジュール、機能、ブロックおよび命令等の様々な粒度の異なるタイプのトランスミューテーションをユーザが適用するオプションを提供することと、
    c)構築時ツールセットを提供して、前記アプリケーションに対するバイナリトランスミューテーションの準備を行いかつツールセットを使用して、前記アプリケーションの元の実行を、安全な実行に変換することと、
    d)元のアプリケーションに意味的に等価でかつ前記インターロックされたトランスミューテーション実行を含む保護されるアプリケーションを生成するステップを含み、これらトランスミューテーション実行が、トランスミューテーションの準備ともインターロックされるので、バイナリ保護は、保護されるアプリケーションと分離されないようになり、
    e)保護されるアプリケーションの実行の間、インターロックされたトランスミューテーションの実行を含む前記保護されるアプリケーションの安全な実行が、静的かつ動的に攻撃を阻止するようにかつその実行のいずれの時においても、実行メモリ内に提示されるバイナリコードの非常に小さな部分のみがクリアな形式であるよう実行を保護するシステム。
  38. c)、d)およびe)が、トランスミューテーションの準備と実行とをインターロックすることによりインターロッキングデータおよびコードを生成し、配列しかつ付加し、かつ有効なインターロッキングデータおよびコードの存在がなければ、正しく実行することができない保護されるアプリケーションを生成することと、
    異なるトランスミューテーションの実行間をインターロックすることによりインターロッキングデータおよびコードを生成し、配列しかつ付加し、かつ有効なインターロッキングデータおよびコードの存在なしでは正確に実行することができない保護されるアプリケーションを生成することと、
    複数のトランスミューテーションに、前記アプリケーションに対する複数層の保護を生成させることを含み、
    b)が、1以上の粒度に対して1を超える数のトランスミューテーションを重ねることをさらに含む、請求項37に記載のシステム。
  39. 各々IV、ADBまたはその両方により保護される相補な特徴を有する複数の入れ子になった保護の層を、入れ子になった相補のトランスミューテーションにより生成させることをさらに含む請求項38に記載のシステム。
  40. 粒度をいくつかに分けかつ現在の粒度に対する現在のトランスミューテーションについてIVチェックの結果が成功と判断された場合にのみ粒度の次の部分についてトランスミューテーション実行を呼び出すことをさらに含む、請求項39に記載のシステム。
  41. トランスミューテーションの間でフェイルアンドサクセスコールバック機能性を提供することをさらに含み、所与の粒度に対するトランスミューテーションのホワイトボックス変換逆オペレーションが、もう1つのトランスミューテーションのホワイトボックス変換逆オペレーションが成功した時のみに進められる、請求項37から40のいずれかに記載のシステム。
  42. 前記トランスミューテーションが前記コードおよび関連データの双方に適用される、いずれかの先行の請求項に記載の方法/システム。
  43. プロセッサにより実行されると、ここに開示および/または請求される方法のいずれかを前記プロセッサに実行させる、機械で読み出し可能かつ実行可能な命令を、有形的に記憶する機械で読み出し可能な媒体を含むコンピュータプログラム製品。
  44. ホワイトボックス変換によりホワイトボックス実行時キーデータを2以上の部分に分割することができ、1以上の部分が、内部でかつ保護されるアプリケーションに埋め込まれ、かつ残り部部分が外部でかつ1以上の別の記憶形式で記憶される、請求項37に記載のシステム。
  45. 外部ホワイトボックス変換実行キー部が、装置に別々に準備されることを可能にすることを含み、保護されるアプリケーションが、内部ホワイトボックス実行時キー部で、装置の準備時の間にインストールされる、請求項44に記載のシステムおよび方法。
  46. ホワイトボックス変換実行時キーマスタにより起動される特定のホワイトボックス実行時オペレーションを設けて、異なる別々のホワイトボックス実行時キーデータ部を使用可能な形式に再構築することをさらに含む請求項44に記載のシステムおよび方法。
  47. 保護されるアプリケーションとホワイトボックス変換実行時キーのこれらの別々に準備される外部部分との間にインターロック依存性を創出してセキュリティを以下のように向上させることをさらに含み、すなわち、
    a)保護されるアプリケーションおよび外部キー情報が分配されかつ準備されるいずれかの期間の間、攻撃がより困難になりかつセキュリティリスクが低減されるように、攻撃者がキー全体を入手するためには、ホワイトボックスキーの複数の部分を破る必要があり、
    b)保護されるアプリケーションおよびホワイトボックス変換実行時キーの異なるインスタンスがキーデータ分割の異なる割合を有し得るため、実行者がキーの複数の異なる部分の比率を変更することによって多様性を導入することができ、
    c)保護されるアプリケーションのインスタンスを1つの装置とインターロックするかまたは保護されるアプリケーションの複数のインスタンスを装置の組にインターロックすること含み、該装置の組は、保護されるアプリケーションのインスタンスが単一の装置に対するのと同じキーデータフォーマットを共有し、いずれか不正でかつマッチングされた装置に対しては、装置からの意味的に等価なアプリケーションのすべてまたは一部のコードリフティングが機能しない、請求項44に記載のシステムおよび方法。
  48. プロビジョニングが以下のような形をとり、すなわち、
    d)製造時に製造者によってまたはプロビジョニング時にサービスプロバイダによって装置上にホワイトボックス変換実行時キーの外部部分がインストールされ、
    e)初回または毎回アプリケーションが起動されると、ネットワークを介してホワイトボックス変換実行時キーの外部部分がダウンロードされ、
    f)アプリケーションが起動されると、装置に接続されるスマートカード等のユーザが供給する装置からホワイトボックス変換実行時キーの外部部分を取得し、かつ
    g)アプリケーションが起動されると、ユーザによりホワイトボックス変換実行時キーの外部部分を手動でエンターするという形をとる、請求項47に記載のシステムおよび方法。
  49. バイナリアプリケーションコードを含むバイナリソフトウェアアプリケーションを、元の形から、アプリケーションの全部または一部に対し、タンパリング、リバースエンジニアまたはリフティングを試みる静的および/または動的攻撃に耐性がある安全な形に変換する方法であって、前記方法が、
    前記バイナリアプリケーションを解析して、1以上のバイナリトランスミューテーションを適用できる前記アプリケーションの1以上のコンポーネントを決定するステップを含み、前記コンポーネントがコンポーネントコードを含み、さらに
    前記コンポーネントコードへ一連の変更を行って、変更されたコンポーネントコードを生成し、前記変更が、前記コンポーネントコードに1以上のWB変更を適用しかつ前記バイナリアプリケーションのコードへの前記変更と絡み合された新しいコードをインプラントするステップと、
    前記変更間に相互依存性を生成かつ配置することにより前記変更をインターロックするステップと、
    保護対象のバイナリアプリケーションコードおよびインプラントされたコードの両方に前記変更を適用しかつインターロックを行って、元のアプリケーションに意味的に等価だが、バイナリ保護が保護されるアプリケーションと分離されないように前記インターロックされた変換を含むトランスミュートされたアプリケーションを生成するステップとを含む、方法。
  50. バイナリコードと随意には関連のデータを含むソフトウェアアプリケーションを元の形式から、アプリケーションの全部または一部に対し、タンパリング、リバースエンジニアまたはリフティングを試みる静的および/または動的攻撃に耐性があるより安全な形式で保護する方法であって、前記方法が、
    c)構築時ツールセットを付与して、前記アプリケーションにバイナリトランスミューテーションの準備を行いかつツールセットを使用することにより前記アプリケーションの元の実行を安全な実行に変換するステップと、
    d)インターロックされたトランスミューテーション実行を含む、元のアプリケーションと意味的に等価な保護されるアプリケーションを生成するステップを含み、該実行がトランスミューテーション準備ともインターロックされて、それによりバイナリプロテクションが保護されるアプリケーションから分離されなくなっており、さらに
    前記保護されるアプリケーションの安全な実行が、その実行のいずれの時においても、バイナリコードの小さな部分のみがクリアな形式になっているように構成されるインターロックされたトランスミューテーション実行を含む、方法。
  51. ステップa)が、トランスミューテーション準備および実行間をインターロックすることによりインターロッキングデータおよびコードを生成、配列かつ付加するステップと、有効なインターロックキングデータおよびコードの存在なしでは、正確に実行できない保護されつアプリケーションを生成するステップとを含む、請求項50に記載の方法。
  52. 前記インターロッキングデータおよびコードを生成、配列かつ付加するステップが、異なる粒度の異なるトランスミューテーションの実行間をインターロックしかつ有効なインターロッキングデータおよびコードの存在なしでは、正確に実行できない保護されるアプリケーションを生成するするステップと、
    複数のトランスミューテーションにより、前記アプリケーションに対する複数層の保護を生成させるステップとを含む、請求項51に記載の方法。
  53. 前記異なる粒度の異なるトランスミューテーションが、入れ子になった相補的トランスミューテーションにより、各々IV、ADBまたはその両方により保護される相補的特徴を備える複数の入れ子になった保護の層を生成させる、請求項52に記載の方法。
  54. a)ソフトウェアアプリケーションのための安全なバイナリライブラリを提供して、ユーザが保護を希望するコード位置での指定されたトランスミューテーション実行の挙動を起動するステップと、
    b)前記アプリケーションを含むモジュール、機能、ブロックおよび命令等の様々な粒度で異なるタイプのトランスミューテーションを適用するユーザのためのオプションを提供するステップとを含む、請求項50から53のいずれかに記載の方法。
  55. バイナリアプリケーションコードを含むバイナリソフトウェアアプリケーションを、元の形式からそのアプリケーションの全体または一部に、タンパリング、リバースエンジニアまたはリフティングを試みる静的および/または動的攻撃に耐性がある安全な形式に変換する方法であって、前記方法が、
    A)前記バイナリアプリケーションコードに一連の変更を行って変更されたバイナリアプリケーションコードを生成することによって、構築時フェーズにおいて、前記バイナリソフトウェアアプリケーションに複数のバイナリ変換の組み合わせを行うステップを含み、前記変更が、構築時の前記変更されたバイナリアプリケーションコードと絡み合された新しいコードをインプラントすることを含み、さらに
    B)変換間の相互依存性を生成しかつ配置することにより前記変換をインターロックするステップと、
    C)保護対象のバイナリアプリケーションコードとインプラントされたコードの両方に、前記変換の組み合わせとインターロックとを適用し、元のアプリケーションと意味的に等価だが、バイナリ保護が保護されるアプリから分離しないように、前記インターロックされた変換を含むトランスミュートされたアプリケーションを生成するステップとを含む、方法。
  56. ステップA+Bが、保護対象のアプリケーションのバイナリ形式に対してバイナリトランスミューテーションに特定的なオペレーションを行いかつ実行時に必要とされる関連の静的インターロッキングデータを生成するステップを含み、
    バイナリトランスミューテーションが、実行時プロセスをさらに含み、該プロセスが、
    a)トランスミューテーションが除去または改変された場合には、アプリケーションの元の意味が保存されないような態様で、アプリケーションに挿入されるトランスミューテーション実行コードを実行するステップと、
    b)トランスミューテーション実行コードを実行しながらさらに必要な実行時インターロッキングデータを動的に生成するステップと、
    c)前記関連の静的かつ動的インターロッキングデータを使用して、適宜インターロッキング依存性を検証するステップと、
    d)保護されるアプリケーションを実行しながら、1つのトランスミューテーションが、第2のトランスミューテーションの実行に適したアプリケーション状態を生成するために必要になるように指定された順序で、一連の複数のトランスミューテーションを実行するステップとを含む、請求項55に記載の方法。
  57. いずれか所与のトランスミューテーションが、IVおよびADBルーチンに、それらの付随するインターロックファシリティを挿入することを含み、プログラムを、その後WB技術で変換される機能、ブロックおよび命令に分解が、実行のための特定的環境(エントリハンドラおよび出口ハンドラ、RSMその他を含む)を必要とするため、実際的には不可逆的になっている、請求項に56に記載の方法。
  58. バイナリアプリケーションコード含むバイナリソフトウェアアプリケーションを、元の形式からそのアプリケーションの全体または一部に、タンパリング、リバースエンジニアまたはリフティングを試みる静的および/または動的攻撃に耐性がある安全な形式に変換する方法であって、前記方法が、
    前記バイナリアプリケーションを解析して、バイナリトランスミューテーションを適用できる前記アプリケーションのコンポーネントを決定するステップを含み、各バイナリトランスミューテーションが、
    前記コンポーネントコードに対して変換を適用することにより前記コードに変更を行いかつ前記変換されたコンポーネントコードと絡み合されたトランスミューテーション実行コードを付加的にインプラントするステップと、
    前記変更と前記アプリケーションコードの他の局面(主要なアプリケーションまたは他のコンポーネントを含み得る)との間に相互依存性を生成かつ配置することにより前記変更をインターロックするステップと、
    保護対象のバイナリアプリケーションコードおよびインプラントされたコードの両方に前記変更およびインターロッキングを適用して元のアプリケーションと意味的に等価だが、バイナリ保護が、保護されるアプリケーションから分離されることがないように前記インターロックされた変換を含むトランスミュートされたアプリケーションを生成するステップとを含む、方法。
  59. バイナリトランスミューテーションが、実行時に必要な関連の静的インターロッキングデータを生成することを含み、
    バイナリトランスミューテーションが、実行時プロセスを含み、該プロセスが、
    a)トランスミューテーションが除去されるか改変された場合にはアプリケーションの元の意味が保存されないような態様で、アプリケーションに挿入されたトランスミューテーション実行コードを実行するステップと、
    b)トランスミューテーション実行コードを実行しながらさらに必要とされる実行時インターロッキングデータを動的に生成するステップと、
    c)前記関連の静的および動的インターロッキングデータを使用して、適宜、インターロッキング相互依存性を検証するステップと、
    d)保護されるアプリケーションを実行しながら、1つのトランスミューテーションが、第2のトランスミューテーションの実行に適したアプリケーション状態を生成するために必要になるように指定された順序で、一連の複数のトランスミューテーションを実行するステップとを含む、請求項58に記載の方法。
  60. 動的機能ローディングをさらに含む、先行の請求項のいずれかに記載の方法。
  61. 記載の動的機能ローディングの方法。
JP2012508860A 2009-05-06 2010-05-06 ホワイトボックス暗号化技術を用いるインターロックされたバイナリ保護 Expired - Fee Related JP5808019B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US17594509P 2009-05-06 2009-05-06
US61/175,945 2009-05-06
PCT/CA2010/000666 WO2010127438A1 (en) 2009-05-06 2010-05-06 Interlocked binary protection using whitebox cryptography

Publications (3)

Publication Number Publication Date
JP2012526310A true JP2012526310A (ja) 2012-10-25
JP2012526310A5 JP2012526310A5 (ja) 2013-06-20
JP5808019B2 JP5808019B2 (ja) 2015-11-10

Family

ID=43049872

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012508860A Expired - Fee Related JP5808019B2 (ja) 2009-05-06 2010-05-06 ホワイトボックス暗号化技術を用いるインターロックされたバイナリ保護

Country Status (7)

Country Link
US (1) US9141787B2 (ja)
EP (1) EP2430584B1 (ja)
JP (1) JP5808019B2 (ja)
KR (1) KR101676326B1 (ja)
CN (1) CN102483790B (ja)
CA (1) CA2761065C (ja)
WO (1) WO2010127438A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011170847A (ja) * 2010-02-18 2011-09-01 Thomson Licensing ソフトウェアのインテグリティを実行中に確かめる方法及び装置、並びにこのようなソフトウェアを生成する装置
JP2017531236A (ja) * 2014-08-13 2017-10-19 インカ・エントワークス・インコーポレイテッドInka Entworks, Inc. クラウドベースのアプリケーションセキュリティサービスの提供方法及びシステム
JP2018502505A (ja) * 2014-12-23 2018-01-25 ヴァレオ、コンフォート、アンド、ドライビング、アシスタンスValeo Comfort And Driving Assistance 仮想鍵を安全に送信する方法、およびモバイル端末を認証する方法

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2689376B1 (en) * 2011-03-24 2020-12-23 Irdeto B.V. System and method providing dependency networks throughout applications for attack resistance
BR112014028947A2 (pt) * 2012-05-25 2017-06-27 Koninklijke Philips Nv método de configuração de um processador, dispositivo para configuração de um processador, processador, e produto de programa de computador
US9678816B2 (en) 2012-06-29 2017-06-13 Vmware, Inc. System and method for injecting faults into code for testing thereof
US10089126B2 (en) * 2013-03-21 2018-10-02 Vmware, Inc. Function exit instrumentation for tail-call optimized code
US8918768B2 (en) 2012-12-06 2014-12-23 Apple Inc. Methods and apparatus for correlation protected processing of data operations
KR101428915B1 (ko) * 2013-02-22 2014-08-11 한양대학교 산학협력단 안드로이드 보안을 위한 피드백 기반 어플리케이션 재가공 프레임워크 방법과 그 시스템
US9721120B2 (en) 2013-05-14 2017-08-01 Apple Inc. Preventing unauthorized calls to a protected function
US20150199530A1 (en) * 2014-01-10 2015-07-16 General Electric Company Systems and Methods With Cryptography and Tamper Resistance Software Security
GB201405706D0 (en) * 2014-03-31 2014-05-14 Irdeto Bv Software protection
US20160124744A1 (en) * 2014-04-03 2016-05-05 Empire Technology Development Llc Sub-packaging of a packaged application including selection of user-interface elements
US9075990B1 (en) * 2014-07-01 2015-07-07 Shape Security, Inc. Reliable selection of security countermeasures
US20170249460A1 (en) * 2014-09-23 2017-08-31 The Regents Of The University Of California Provably secure virus detection
CN105790931B (zh) * 2014-12-26 2019-05-24 中国移动通信集团公司 一种密钥分发方法、网络设备、终端设备及系统
US10205710B2 (en) * 2015-01-08 2019-02-12 Intertrust Technologies Corporation Cryptographic systems and methods
KR102311340B1 (ko) 2015-01-15 2021-10-15 한국전자통신연구원 암호화 장치 및 방법
IN2015DE01753A (ja) * 2015-06-11 2015-08-28 Pradeep Varma
US10642962B2 (en) * 2015-07-28 2020-05-05 Western Digital Technologies, Inc. Licensable function for securing stored data
KR101790948B1 (ko) * 2015-10-26 2017-10-27 삼성에스디에스 주식회사 Drm 서비스 제공 장치 및 방법, drm 서비스를 이용한 콘텐츠 재생 장치 및 방법
US10171234B2 (en) * 2015-12-16 2019-01-01 Nxp B.V. Wide encoding of intermediate values within a white-box implementation
GB201522315D0 (en) * 2015-12-17 2016-02-03 Irdeto Bv Securing webpages, webapps and applications
US10503931B2 (en) * 2016-05-09 2019-12-10 Arris Enterprises Llc Method and apparatus for dynamic executable verification
KR101933649B1 (ko) * 2016-05-27 2018-12-28 삼성에스디에스 주식회사 화이트박스 암호 알고리즘을 이용한 공개키 암호화를 위한 장치 및 방법
CN106599620A (zh) * 2016-11-16 2017-04-26 中国人民解放军国防科学技术大学 一种基于动态代码变换的二进制软件保护方法
EP3665566A4 (en) 2017-08-08 2021-04-21 Crypto4A Technologies Inc. SECURE MACHINE-EXECUTED CODE DEPLOYMENT AND EXECUTION PROCESS AND SYSTEM
EP3441898B1 (de) * 2017-08-10 2020-02-12 Siemens Aktiengesellschaft Verfahren und vorrichtung zum schützen einer software gegen ein unbefugtes nutzen
US11017078B2 (en) 2018-04-24 2021-05-25 Microsoft Technology Licensing, Llc Environmentally-trained time dilation
US10965444B2 (en) 2018-04-24 2021-03-30 Microsoft Technology Licensing, Llc Mitigating timing attacks via dynamically triggered time dilation
US10785017B2 (en) * 2018-04-24 2020-09-22 Microsoft Technology Licensing, Llc Mitigating timing attacks via dynamically scaled time dilation
FR3098319A1 (fr) * 2019-07-05 2021-01-08 Commissariat à l'énergie atomique et aux énergies alternatives Procédé d'exécution d'un code binaire d'une fonction sécurisée par un microprocesseur
US11263316B2 (en) * 2019-08-20 2022-03-01 Irdeto B.V. Securing software routines
US11409843B2 (en) 2019-10-10 2022-08-09 Nxp B.V. Method for protecting a software program from copying
CN111625784B (zh) * 2020-05-29 2023-09-12 重庆小雨点小额贷款有限公司 一种应用的反调试方法、相关装置及存储介质
CN116668007B (zh) * 2023-08-01 2023-10-31 中电信量子科技有限公司 基于白盒sm4算法的加密通信方法、终端及系统

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09282156A (ja) * 1996-04-17 1997-10-31 Ricoh Co Ltd プログラム保護装置及びプログラム保護方法
JP2002514333A (ja) * 1997-06-09 2002-05-14 インタートラスト テクノロジーズ コーポレイション ソフトウェアセキュリティを増強するための混乱化技術
US20040139340A1 (en) * 2000-12-08 2004-07-15 Johnson Harold J System and method for protecting computer software from a white box attack
JP2005018725A (ja) * 2002-08-01 2005-01-20 Matsushita Electric Ind Co Ltd 暗号化データを復号して実行用メモリ空間に配置する装置、およびその方法
JP2005235076A (ja) * 2004-02-23 2005-09-02 Fujitsu Ltd コンピュータシステム、中央装置及びプログラム実行方法
US20060031686A1 (en) * 1999-09-03 2006-02-09 Purdue Research Foundation Method and system for tamperproofing software
US7054443B1 (en) * 2000-03-27 2006-05-30 Microsoft Corporation System and method for protecting digital goods using random and automatic code obfuscation
US20060195703A1 (en) * 2005-02-25 2006-08-31 Microsoft Corporation System and method of iterative code obfuscation
JP2007148575A (ja) * 2005-11-24 2007-06-14 Fuji Xerox Co Ltd 保護済み実行プログラムの作成のためのプログラム、方法及び装置
JP2008059404A (ja) * 2006-09-01 2008-03-13 Fuji Xerox Co Ltd 情報処理システムおよびプログラム
JP2008516502A (ja) * 2004-10-07 2008-05-15 アクサルト・エス・アー 命令の暗号セットを自動的に生成する方法および装置ならびにコード生成
US20080208560A1 (en) * 2007-02-23 2008-08-28 Harold Joseph Johnson System and method of interlocking to protect software - mediated program and device behaviors
JP2008250475A (ja) * 2007-03-29 2008-10-16 Brother Ind Ltd 情報処理装置、ネットワークシステム、およびプログラム
WO2009044129A1 (en) * 2007-10-02 2009-04-09 Iti Scotland Limited Anti-tamper techniques

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3637743B2 (ja) 1997-10-15 2005-04-13 ソニー株式会社 投射型液晶表示装置
GB0421774D0 (en) * 2004-09-30 2004-11-03 Ttp Communications Ltd Source code protection
KR20090032701A (ko) * 2007-09-28 2009-04-01 에스케이 텔레콤주식회사 하드웨어 고유번호에 기반한 소프트웨어 보호 방법 및 그를위한 저장매체
US8121294B2 (en) * 2008-10-21 2012-02-21 Apple Inc. System and method for a derivation function for key per page

Patent Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09282156A (ja) * 1996-04-17 1997-10-31 Ricoh Co Ltd プログラム保護装置及びプログラム保護方法
JP2002514333A (ja) * 1997-06-09 2002-05-14 インタートラスト テクノロジーズ コーポレイション ソフトウェアセキュリティを増強するための混乱化技術
US20060031686A1 (en) * 1999-09-03 2006-02-09 Purdue Research Foundation Method and system for tamperproofing software
US7054443B1 (en) * 2000-03-27 2006-05-30 Microsoft Corporation System and method for protecting digital goods using random and automatic code obfuscation
US20040139340A1 (en) * 2000-12-08 2004-07-15 Johnson Harold J System and method for protecting computer software from a white box attack
JP2005018725A (ja) * 2002-08-01 2005-01-20 Matsushita Electric Ind Co Ltd 暗号化データを復号して実行用メモリ空間に配置する装置、およびその方法
JP2005235076A (ja) * 2004-02-23 2005-09-02 Fujitsu Ltd コンピュータシステム、中央装置及びプログラム実行方法
JP2008516502A (ja) * 2004-10-07 2008-05-15 アクサルト・エス・アー 命令の暗号セットを自動的に生成する方法および装置ならびにコード生成
US20060195703A1 (en) * 2005-02-25 2006-08-31 Microsoft Corporation System and method of iterative code obfuscation
JP2007148575A (ja) * 2005-11-24 2007-06-14 Fuji Xerox Co Ltd 保護済み実行プログラムの作成のためのプログラム、方法及び装置
JP2008059404A (ja) * 2006-09-01 2008-03-13 Fuji Xerox Co Ltd 情報処理システムおよびプログラム
US20080208560A1 (en) * 2007-02-23 2008-08-28 Harold Joseph Johnson System and method of interlocking to protect software - mediated program and device behaviors
JP2008250475A (ja) * 2007-03-29 2008-10-16 Brother Ind Ltd 情報処理装置、ネットワークシステム、およびプログラム
WO2009044129A1 (en) * 2007-10-02 2009-04-09 Iti Scotland Limited Anti-tamper techniques
JP2010541086A (ja) * 2007-10-02 2010-12-24 アイティーアイ スコットランド リミテッド 耐タンパ技術

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011170847A (ja) * 2010-02-18 2011-09-01 Thomson Licensing ソフトウェアのインテグリティを実行中に確かめる方法及び装置、並びにこのようなソフトウェアを生成する装置
JP2017531236A (ja) * 2014-08-13 2017-10-19 インカ・エントワークス・インコーポレイテッドInka Entworks, Inc. クラウドベースのアプリケーションセキュリティサービスの提供方法及びシステム
JP2018502505A (ja) * 2014-12-23 2018-01-25 ヴァレオ、コンフォート、アンド、ドライビング、アシスタンスValeo Comfort And Driving Assistance 仮想鍵を安全に送信する方法、およびモバイル端末を認証する方法

Also Published As

Publication number Publication date
US20120192283A1 (en) 2012-07-26
KR101676326B1 (ko) 2016-11-15
CN102483790B (zh) 2016-01-20
JP5808019B2 (ja) 2015-11-10
CN102483790A (zh) 2012-05-30
EP2430584A4 (en) 2017-07-19
US9141787B2 (en) 2015-09-22
WO2010127438A1 (en) 2010-11-11
EP2430584A1 (en) 2012-03-21
KR20120032477A (ko) 2012-04-05
CA2761065C (en) 2018-01-02
CA2761065A1 (en) 2010-11-11
EP2430584B1 (en) 2019-11-13

Similar Documents

Publication Publication Date Title
JP5808019B2 (ja) ホワイトボックス暗号化技術を用いるインターロックされたバイナリ保護
CN107977553B (zh) 移动应用程序的安全加固的方法及装置
CN103827880B (zh) 保护非本机代码安全的方法
KR101159487B1 (ko) 소프트웨어 보안
US8510726B2 (en) System and method for generating white-box implementations of software applications
JP2012526310A5 (ja)
EP2831790B1 (en) Secured execution of a web application
US20170116410A1 (en) Software protection
KR20140053757A (ko) 소프트웨어 라이브러리에서의 다양한 변형을 통한 압축과 보호를 위한 시스템과 방법
CN101814124A (zh) 一种基于Java的软件安全性加强的方法
CN104866739A (zh) 安卓系统中应用程序加密方法及系统
US20070189526A1 (en) System and method for secure and flexible key schedule generation
Falcarin et al. Exploiting code mobility for dynamic binary obfuscation
Ertaul et al. JHide-A tool kit for code obfuscation.
KR20070022150A (ko) 소프트웨어 변조를 방지하기 위한 시스템, 방법, 및컴퓨터-판독가능 매체
CN105930744B (zh) 一种文件加固方法及装置
CN112685697B (zh) 一种防止安卓应用被破解篡改的方法及终端
Chen et al. Cloud licensing model for. NET software protection
Fukuda et al. To prevent reverse-enginnering tools by shuffling the stack status with hook mechanism
Zhu et al. Mobile code security on destination platform
Cai et al. Research on Dynamic Safe Loading Techniques in Android Application Protection System

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130502

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130502

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140401

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20140630

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20140707

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140801

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150106

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20150406

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20150501

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150605

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150818

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20150821

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20150821

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150904

R150 Certificate of patent or registration of utility model

Ref document number: 5808019

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees