KR101265099B1 - A Method For Software Security Treatment And A Storage Medium - Google Patents

A Method For Software Security Treatment And A Storage Medium Download PDF

Info

Publication number
KR101265099B1
KR101265099B1 KR1020110058169A KR20110058169A KR101265099B1 KR 101265099 B1 KR101265099 B1 KR 101265099B1 KR 1020110058169 A KR1020110058169 A KR 1020110058169A KR 20110058169 A KR20110058169 A KR 20110058169A KR 101265099 B1 KR101265099 B1 KR 101265099B1
Authority
KR
South Korea
Prior art keywords
obfuscation
code
file
program
obfuscated
Prior art date
Application number
KR1020110058169A
Other languages
Korean (ko)
Other versions
KR20120138586A (en
Inventor
오은진
Original Assignee
주식회사 터보테크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 터보테크 filed Critical 주식회사 터보테크
Priority to KR1020110058169A priority Critical patent/KR101265099B1/en
Publication of KR20120138586A publication Critical patent/KR20120138586A/en
Application granted granted Critical
Publication of KR101265099B1 publication Critical patent/KR101265099B1/en

Links

Images

Abstract

본 발명은 소프트웨어 보안처리 방법에 대한 것이다. 본 발명에 의한 소프트웨어 보안처리 방법은, 인터넷상에서 각종 서비스제공을 위한 프로그램의 원본코드를 작성하는 단계와; 상기 원본코드를 기계어 코드로 번역하는 단계와; 상기 기계어 코드 번역된 것의 특정부분을 마킹하는 단계와; 상기 기계어코드로 번역된 것 자체에 대한 코드 난독화를 수행하며, 마킹이 이루어진 부분에 대하여는 타 부분에 대하여 차등을 두어 고도의 난독화 과정을 수행하는 난독화단계와; 난독화된 프로그램을 테스트하여 정상적인 서비스제공이 이루어질 수 있는지를 판단하는 테스트단계와; 상기 테스트 단계에서 테스트가 완료된 난독화된 파일을 배포서버롤 전송하여 인터넷상에서 배포함으로써 인터넷상에서 서비스제공을 수행하는 단계를 포함하여 구성되는 것을 특징으로 한다.The present invention relates to a software security processing method. Software security processing method according to the present invention comprises the steps of preparing the original code of the program for providing various services on the Internet; Translating the original code into machine language code; Marking a particular portion of the machine code translation; An obfuscation step of performing a code obfuscation for the translation of the machine code into itself, and performing a highly obfuscation process with a difference between other parts of the marking part; A test step of determining whether normal service provision can be made by testing the obfuscated program; In the test step, characterized in that it comprises a step of providing a service on the Internet by transmitting the distribution of the obfuscated file is completed on the distribution server on the Internet.

Description

소프트웨어 보안 처리방법 및 기록매체{A Method For Software Security Treatment And A Storage Medium}A method for software security treatment and a storage medium

본 발명은 소프트웨어 보안 처리방법에 대한 것으로, 더욱 상세하게는 서비스제공을 위한 원본 파일의 기계어 코드 자체에 대한 고도 난독화를 수행하여 서비스제공을 수행하여 악의의 제3자에 의한 원본파일의 획득과 분석을 사전에 차단하는 것이 가능하면서도 파일사이즈의 증가를 최소로 하여 서비스의 품질을 향상시키는 것을 가능케 하는 소프트웨어 보안처리방법 및 기록매체에 대한 것이다.
The present invention relates to a software security processing method, and more particularly, to provide a service by performing a highly obfuscated machine code of the source file itself for service provision, to obtain the original file by a malicious third party and The present invention relates to a software security processing method and a recording medium that can block the analysis in advance and improve the quality of service by minimizing the increase in the file size.

해커들은 보안의 취약점을 찾기 위하여 역공학(reverse engineering)이라는 기술을 적극 활용하여 소스코드 없이 원본 파일 즉, 윈도우의 실행파일을 직접 분석하여 프로그램이 어떤 기능를 수행하는지 파악하여 취약점을 찾게 된다. Hackers actively use technology called reverse engineering to search for vulnerabilities and find vulnerabilities by directly analyzing the original file, that is, the Windows executable, without source code.

경우에 따라 프로그램의 취약점이 분석되면 해커는 실행프로그램의 바이너리 코드를 수정하여 실행 프로그램의 제어흐름을 바꾸어 자신의 의도대로 실행 프로그램이 동작하도록 하기도 한다.In some cases, when a vulnerability of a program is analyzed, a hacker may modify the binary code of an executable program to change the control flow of the executable program so that the executable program operates as intended.

예컨대, 해커는 인터넷뱅킹 공인인증서의 비밀번호 비교코드를 역공학으로 찾아서 해당루틴을 수정하여 비교부분을 건너뛰게 하면 공인인증서 비밀번호는 그 의미를 상실하게 된다. 한편, 공용 PC 보안 및 불법 소프트웨어 설치 방지를 위해 시스템 재부팅시 하드웨어를 리셋시키는 시스템 관리자의 모드 비밀번호 검사 루틴을 찾아 건너뛰게 하면 보안기능이 상실된다.For example, if a hacker finds a password comparison code of an Internet banking certificate by reverse engineering and modifies the corresponding routine to skip the comparison part, the certificate certificate loses its meaning. On the other hand, in order to prevent the common PC security and illegal software installation, if you find and skip the system administrator's mode password check routine that resets the hardware when the system reboots, the security function is lost.

이와 같은 해커들의 역공학에 의한 소프트웨어 분석 대응을 하기 위해 보안 전문가들은 실행프로그램의 소스코드를 알아보기 힘들게 하는 코드난독화(code obfuscation) 기술을 적용하고 있다. To counter the hackers' reverse engineering of software analysis, security experts are applying code obfuscation technology that makes it difficult to find the source code of an executable program.

도 1은 일반적인 소프트웨어 난독화 전후의 상태를 예시한 도면이고, 도 2는 종래 소프트웨어 코드 난독화를 수행하는 소프트웨어 보안방법의 각 단계를 보여준다.1 is a diagram illustrating a state before and after general software obfuscation, and FIG. 2 shows each step of a software security method for performing conventional software code obfuscation.

종래의 소프트웨어 코드 난독화는 실행파일의 원본코드가 기계어로 번역되어 있는 것을 디컴파일 하고(제1단계), 각 코드 블럭별로 암호화하고(제2단계), 다시 전체코드에 대한 암호화가 수행된다(제3단계). 다시 암호화된 파일을 기계어로 번역하고(제4단계), 암호를 복호하는 복호화 실행 파일을 난독화하여(제5단계), 암호화된 원본파일과 난독화된 복호화 실행 파일을 함께 서비스 수여자에 온오프라인으로 배포한다(제6단계).In the conventional software code obfuscation, the original code of the executable file is decompiled in the machine language (step 1), encrypted for each code block (step 2), and the entire code is again encrypted ( Step 3). Translate the encrypted file back into machine language (step 4), obfuscate the decryption executable file that decrypts the password (step 5), and bring the encrypted original file together with the obfuscated decryption executable file to the service recipient. Deploy offline (step 6).

또한 도 2에 도시된 바와 같이 종래에는 개발자 컴퓨터(10)마다 난독화 프로그램 CD를 설치하고 난독화 시스템을 동작시켜서 난독화 및 테스트를 수행한 후에 난독화가 완료된 파일을 배포서버(20)로 전송하는 구성에 의하며, 따라서 난독화 프로그램 자체가 CD를 통하여 광범위하게 배포가 이루어질 수밖에 없었다.In addition, as shown in FIG. 2, after installing the obfuscation program CD for each developer computer 10 and operating the obfuscation system to perform obfuscation and testing, the obfuscation file is transmitted to the distribution server 20. The obfuscation program itself was distributed widely through the CD.

하지만 종래의 상기와 같은 구성의 소프트웨어 보안방법에는 다음과 같은 문제점이 있어왔다. However, the conventional software security method of the above configuration has the following problems.

난독화 프로그램 CD의 광범위한 배포에 의하여 해커들에 의한 난독화 알고리즘이 거의 분석이 되기에 이르렀고, 실제 원본 프로그램 코드에 대해서는 난독화를 하지 않고 원본코드에 대해서는 암호화만 하므로 악의의 제 3자는 쉽게 원본코드를 암호화한 파일(즉 원본파일을 포함한 파일들을 서비스 제공시 기본으로 제공되는 것이므로) 온오프라인을 통하여 손쉽게 얻을 수 있게 된다는 문제점이 있다. 이 경우 복호화를 수행하는 프로그램을 얻게 되면 원본파일은 고스란히 악의의 제 3자에게 원형 그대로 제공되어 버린다. 특히 난독화 프로그램의 광범위한 배포에 의하여 역난독화 프로그램이 악의의 제3자들에 의하여 인터넷상에 상당히 배포되기에 이르렀다.
Due to the wide distribution of obfuscation program CD, the obfuscation algorithm by hackers has been almost analyzed, and since the original code is not obfuscated, only the original code is encrypted. There is a problem in that the encrypted file (that is, files including the original file are provided by default when the service is provided) can be easily obtained through online and offline. In this case, when a program for decryption is obtained, the original file is provided to the malicious third party as it is. In particular, the wide distribution of obfuscation programs has led to significant distribution of deobfuscation programs on the Internet by malicious third parties.

본 발명의 목적은, 서비스제공을 위한 원본소스의 기계어 코드 자체에 대한 고도 난독화를 수행하여 서비스제공에 이용함으로써 악의의 제3자에 의한 원본파일의 획득과 분석을 사전에 차단하는 것이 가능하면서도 파일사이즈의 증가를 최소로 하여 서비스의 품질을 향상시키는 것을 가능케 하는 소프트웨어 보안처리방법 및 기록매체를 구현하는 것이다.
The object of the present invention is to prevent the acquisition and analysis of the original file by a malicious third party in advance by performing highly obfuscated machine code of the original source for service provision and using it for service provision. It is to implement a software security processing method and a recording medium that makes it possible to improve the quality of service by minimizing the increase in file size.

상기 목적을 달성하기 위한 본 발명에 의한 소프트웨어 보안처리방법은, 인터넷상에서 각종 서비스제공을 위한 프로그램의 원본코드를 작성하는 단계와; 상기 원본코드를 기계어 코드로 번역하는 단계와; 상기 기계어 코드 번역된 것의 특정부분을 마킹하는 단계와; 상기 기계어코드로 번역된 것 자체에 대한 코드 난독화를 수행하며, 마킹이 이루어진 부분에 대하여는 타 부분에 대하여 차등을 두어 고도의 난독화 과정을 수행하는 난독화단계와; 난독화된 프로그램을 테스트하여 정상적인 서비스제공이 이루어질 수 있는지를 판단하는 테스트단계와; 상기 테스트 단계에서 테스트가 완료된 난독화된 파일을 배포서버롤 전송하여 인터넷상에서 배포함으로써 인터넷상에서 서비스제공을 수행하는 단계를 포함하여 구성되는 것을 특징으로 한다.Software security processing method according to the present invention for achieving the above object comprises the steps of preparing the original code of the program for providing various services on the Internet; Translating the original code into machine language code; Marking a particular portion of the machine code translation; An obfuscation step of performing a code obfuscation for the translation of the machine code into itself, and performing a highly obfuscation process with a difference between other parts of the marking part; A test step of determining whether normal service provision can be made by testing the obfuscated program; In the test step, characterized in that it comprises a step of providing a service on the Internet by transmitting the distribution of the obfuscated file is completed on the distribution server on the Internet.

상기 목적을 달성하기 위한 본 발명에 의한 소프트웨어 보안처리방법은, 각종 서비스제공을 위한 프로그램의 원본코드를 작성하는 단계와; 상기 원본코드를 기계어 코드로 번역하는 단계와; 상기 기계어 코드로 번역된 것의 특정부분을 마킹하는 단계와; 상기 기계어코드로 번역된 것 자체에 코드 난독화를 수행하며, 마킹이 이루어진 부분에 대하여는 타부분에 대하여 차등을 두어 고도의 난독화 과정을 수행하는 난독화단계와; 난독화된 프로그램을 테스트하여 정상적인 서비스제공이 이루어질 수 있는지를 판단하는 테스트단계와; 상기 테스트 단계에서 테스트가 완료된 난독화된 파일을 배포서버로 전송하는 단계를 포함하여 구성되는 것을 특징으로 한다.Software security processing method according to the present invention for achieving the above object comprises the steps of preparing the original code of the program for providing various services; Translating the original code into machine language code; Marking a specific portion of the translation into the machine code; An obfuscation step of performing code obfuscation on the translation into the machine language code itself, and performing a highly obfuscation process by putting a differential on the other parts of the marking part; A test step of determining whether normal service provision can be made by testing the obfuscated program; And transmitting the obfuscated file in which the test is completed in the test step to the distribution server.

상기 고도의 난독화는, 해당부분에 대응하는 API 주소 숨기기 기능을 포함하는 것을 특징으로 한다.The high obfuscation is characterized in that it includes an API address hiding function corresponding to the corresponding portion.

상기 고도의 난독화는, 해당부분에 대응하는 IAT 테이블 파괴를 포함하는 것을 특징으로 한다.The highly obfuscation is characterized by including destruction of the IAT table corresponding to the corresponding portion.

상기 고도의 난독화는, 코드가상화에 의한 기계어 코드의 난분해를 포함하는 것을 특징으로 한다.The high obfuscation is characterized by the difficulty of disassembling the machine code by code virtualization.

상기 난독화 단계에서는, 복수개의 암호화 알고리즘 중에서 사용자에 의하여 특정의 것을 선택하여 사용할 수 있도록 구성되는 것을 특징으로 한다.In the obfuscating step, it is configured to be able to select and use a specific one among a plurality of encryption algorithms.

상기 목적을 달성하기 위한 본 발명에 의한 기록매체는, 상기 소프트웨어 보안처리방법의 각 단계를 컴퓨터 시스템상에서 수행하는 컴퓨터 프로그램을 기록한 것을 특징으로 한다.
The recording medium according to the present invention for achieving the above object is characterized by recording a computer program for performing each step of the software security processing method on a computer system.

본 발명은 상기와 같은 구성에 의하여 인터넷상에서 제공되는 서비스를 위한 원본파일 자체를 난독화하여 제공하므로, 악의의 제 3자에서 서비스를 위한 원본파일 자체가 확보되기 곤란하며, 원본파일은 고도의 난독화 방법에 의해 난독화를 하여 악의의 제3자에 의한 소프트웨어 분석 및 시스템에 대한 침입을 사전에 방지하는 것을 가능케 하면서도 주요정보를 포함함 부분에 대한 선별적 고도 난독화가 가능하므로 난독화에 대한 시스템의 부하를 최소로 하는 것이 가능해진다.
Since the present invention obfuscates the original file itself for the service provided on the Internet by the above configuration, it is difficult to secure the original file itself for the service from a malicious third party, and the original file is highly obfuscated. The system for obfuscation is possible by obfuscation by the method of obfuscation, so that it is possible to prevent software analysis and intrusion into the system by a malicious third party in advance, and it is possible to selectively obfuscate the part containing the main information. It is possible to minimize the load.

도 1은 일반적인 소스코드 난독화의 이전과 난독화 이후 상태를 예시한 개요도.
도 2는 종래의 코드 난독화 과정을 예시한 흐름도.
도 3a는 본 발명의 일 실시예의 소프트웨어 보안처리 시스템의 바람직한 실시예의 구성을 예시한 개요도.
도 3b는 본 발명의 실시예의 소프트웨어 보안처리 방법의 각 단계를 예시한 흐름도.
도 4는 본 발명의 일 실시예의 소프트웨어 보안처리 시스템의 바람직한 실시예의 구성을 예시한 개요도.
도 5는 본 발명의 실시예의 난독화장치의 구성을 예시한 개요도.
도 6은 본 발명의 실시예의 난독화장치에 의하여 난독화된 실행파일에 구현된 기능을 예시한 도표.
도 7a는 본 발명의 실시예의 난독화장치에 의하여 코드 가상화에 의한 난독화 전후 상태를 예시한 개요도.
도 7b는 본 발명의 실시예의 난독화장치에 의하여 코드 가상화에 의한 난독화 전후 상태를 예시한 개요도.
도 8은 본 발명의 실시예의 난독화장치의 장치보안수단의 동작상태를 예시한 흐름도.1 is a schematic diagram illustrating a state before and after obfuscation of general source code obfuscation.
2 is a flow chart illustrating a conventional code obfuscation process.
3A is a schematic diagram illustrating a configuration of a preferred embodiment of the software security processing system of one embodiment of the present invention.
Fig. 3B is a flowchart illustrating each step of the software security processing method of the embodiment of the present invention.
4 is a schematic diagram illustrating a configuration of a preferred embodiment of the software security processing system of one embodiment of the present invention.
5 is a schematic diagram illustrating a configuration of an obfuscation apparatus of an embodiment of the present invention.
6 is a diagram illustrating a function implemented in an executable file obfuscated by the obfuscation apparatus of the embodiment of the present invention.
Figure 7a is a schematic diagram illustrating a state before and after obfuscation by code virtualization by the obfuscation apparatus of the embodiment of the present invention.
Figure 7b is a schematic diagram illustrating the state before and after obfuscation by code virtualization by the obfuscation apparatus of the embodiment of the present invention.
8 is a flowchart illustrating an operation state of the device security means of the obfuscation device of the embodiment of the present invention.

이하 상기와 같은 구성을 갖는 본 발명에 의한 소프트웨어 보안처리 방법 및 기록매체의 바람직한 실시예의 구성을 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, a configuration of a software security processing method and a recording medium according to the present invention having the above configuration will be described in detail with reference to the accompanying drawings.

도 3a 및 도 3b에서, 본 발명의 실시예의 소프트웨어 보안처리 방법을 수행하는 소프트웨어 보안처리 시스템은, 소스 코딩이 수행되는 개발자 컴퓨터(110)와, 코드 난독화를 수행하는 난독화장치(120)와, 각 개발자 컴퓨터(110)로부터 소스 코딩이 완료된 파일을 수집하여 상기 난독화장치(120)로 입력하며 상기 난독화 장치(120)에서 난독화 완료된 파일을 수신하는 보안관리서버(130)와, 난독화 완료된 파일을 수신하며 난독화 완료된 파일에 대한 테스팅이 수행되는 테스팅서버(160)와, 테스트가 완료된 소프트웨어를 클라이언트에 배포하는 배포서버(180)를 포함하여 구성된다.3A and 3B, a software security processing system for performing a software security processing method according to an embodiment of the present invention includes a developer computer 110 on which source coding is performed, an obfuscation device 120 for performing code obfuscation, and And a security management server 130 which collects the source coded files from each developer computer 110 and inputs them to the obfuscation device 120 and receives the obfuscated files from the obfuscation device 120. It includes a testing server 160 that receives the completed file and is tested for the obfuscated file, and a distribution server 180 for distributing the tested software to the client.

본 실시예의 개발자 컴퓨터(110)에서는 소스 코딩을 수행하며, 이를 기계어로 전환을 하여 보안관리서버(130)로 전송한다. 이때, 해당 프로그램이 EXE, DLL, OCX, BPL 등 32Bit 실행파일인 경우에 기계어에서 외부에 노출되서는 안되는 중요한 부분 즉 고도의 난독화를 필요로 하는 부분을 마킹하여 보안관리 서버로 전송한다(도 7a 및 도 7b 참조).The developer computer 110 of the present embodiment performs the source coding, and converts it to machine language and transmits it to the security management server 130. At this time, if the relevant program is 32Bit executable file such as EXE, DLL, OCX, BPL, etc., mark the important part that should not be exposed to the outside in machine language, that is, the part requiring high obfuscation, and transmit it to the security management server (Fig. 7a and 7b).

이 경우 마킹은 난독화장치(120)에서 식별가능한 방식과 수단에 의해 행해지며, 마킹의 방식과 수단에 따라 난독화의 종류와 정도를 차등화할 수 있도록 설정하는 것이 가능하며, 실시예에 따른 변형이 있을 수 있다.In this case, the marking is performed by a method and means discernible in the obfuscation apparatus 120, and it is possible to set such that the type and degree of obfuscation can be differentiated according to the method and means of marking. This can be.

본 실시예에서 개발자 컴퓨터(110), 보안관리 서버(130), 난독화장치(120) 테스팅서버(160) 및 배포서버(180)는 TCP/IP 프로토콜 소켓통신에 의하여 파일 송수신이 이루어질 수 있으며, 예컨대 소켓은 본 실시예의 보안시스템에서 제공되는 DLL 파일에 의해서만 난독화장치(120)에 접근 가능하며 보안관리서버(130)와 난독화장치(120)는 오직 난독화대상 파일 및 난독화가 완료된 파일의 교환만이 가능하도록 구성되며, 네트워크에서 난독화장치(120)에 대한 다른 목적의 접근은 불가하도록 난독화장치(120)의 시스템 세팅이 이루어진다. In the present embodiment, the developer computer 110, the security management server 130, the obfuscation device 120, the testing server 160, and the distribution server 180 may transmit and receive files by TCP / IP protocol socket communication. For example, the socket is accessible to the obfuscation device 120 only by the DLL file provided by the security system of the present embodiment, and the security management server 130 and the obfuscation device 120 are used only for the obfuscation target file and the obfuscation file. The system setting of the obfuscation device 120 is made such that only exchange is possible and the other purpose access to the obfuscation device 120 in the network is not possible.

본 발명의 실시예의 보안관리서버(130)는 네트워크 내 다수의 개발자 컴퓨터(110)에 연결되어 소스코딩 및 기계어번역이 된 파일을 수신하여 이를 난독화장치(120)로 입력하며, 난독화가 완료된 파일을 난독화장치(120)로부터 반환받으며, 반환받은 파일을 테스팅서버(160)로 입력하여 정상동작여부에 대한 테스팅이 수행되게 할 수 있다.The security management server 130 according to the embodiment of the present invention is connected to a plurality of developer computers 110 in a network, receives a file that has been source coded and machine-translated, inputs it to the obfuscation device 120, and the obfuscation file is completed. Received from the obfuscation device 120, by inputting the returned file to the testing server 160 can be tested for normal operation.

또한, 보안관리서버(130)는 테스팅 서버(160)로부터 난독화 및 테스팅 완료된 파일을 수신하여 배포서버(180)로 전송하며, 수정/보완이 필요한 파일은 해당 개발자 컴퓨터(110)로 반환한다.  In addition, the security management server 130 receives the file obfuscated and tested from the testing server 160, and transmits to the distribution server 180, the file that needs to be modified / supplemented returns to the developer computer (110).

도 4에 도시된 바와 같이, 본 발명의 다른 실시예에서는 난독화장치(120)에서 반환받은 난독화 완료된 파일 테스팅이 직접 보안관리서버(130)에서 수행되도록 구성되는 것이 가능하며, 보안관리서버(130)는 난독화 및 테스팅이 완료된 파일을 직접 배포서버(180)로 전송하는 구성에 의할 수 있다. As shown in FIG. 4, in another embodiment of the present invention, the obfuscated file testing returned from the obfuscation device 120 may be configured to be directly performed by the security management server 130. 130 may be configured to directly transmit the obfuscated and tested files to the distribution server 180.

또한, 본 발명의 또 다른 실시예에서는 네트워크상에서 개발자 컴퓨터(110)와 난독화장치(120)가 소켓통신에 의하여 연결되어 있으며, 개발자 컴퓨터(110)에서 소스코딩 및 기계어번역과 마킹이 이루어진 난독화대상 파일은 시스템에서 제공하는 dll 파일에 의하여 난독화장치(120)로 전달되며, 난독화장치(120)는 난독화가 완료된 파일을 해당 개발자컴퓨터(110)나 테스팅서버(160)로 전달하여 테스팅이 이루어지고 다시 배포서버(180)로 전달되는 구성에 의할 수 있다. In addition, in another embodiment of the present invention, the developer computer 110 and the obfuscation device 120 are connected by a socket communication on a network, and the obfuscation in which source coding and machine language translation and marking are performed on the developer computer 110. The target file is delivered to the obfuscation device 120 by the dll file provided by the system, the obfuscation device 120 is passed to the developer computer 110 or the testing server 160 to complete the obfuscation testing It can be made by the configuration made and delivered back to the distribution server 180.

본 발명의 실시예의 보안관리서버(130)와 난독화장치(120)는 보안이 유지될 수 있는 내부망에 위치하는 것이 바람직하다.Security management server 130 and obfuscation device 120 of the embodiment of the present invention is preferably located in the internal network that can be secured.

본 실시예의 난독화장치(120) 소켓은 보안시스템에서 제공된 DLL 파일을 통하여 보안관리서버(130), 테스팅서버(160) 또는 개발자 컴퓨터(110)와 통신을 하며 난독화 대상 파일을 수신하거나 난독화 완료파일을 송신한다.The obfuscating device 120 socket of this embodiment communicates with the security management server 130, the testing server 160, or the developer computer 110 through a DLL file provided by the security system and receives or obfuscates a file to be obfuscated. Send the complete file.

도 5에서 본 실시예의 난독화장치(120)는, 메인 프로세서(121)와, 자체보안수단(122) 및 난독화프로그램(123)을 저장하는 저장장치(125)와, 난독화 대상 파일 및 난독화 완료된 파일을 저장하는 데이터베이스(126)와, 보안관리서버와의 소켓통신을 위한 통신수단(127)과, 난독화프로그램 수정 또는 업데이트를 위한 데이터입출력수단(128) 및 디스플레이수단(129)을 포함한다.In FIG. 5, the obfuscation device 120 according to the present embodiment includes a main device 121, a storage device 125 that stores its own security means 122, and an obfuscation program 123, an obfuscation target file, and an obfuscation. Database 126 for storing the completed files, communication means 127 for socket communication with the security management server, data input and output means 128 and display means 129 for modifying or updating the obfuscation program do.

본 실시예의 자체 보안수단(122)은 상기 난독화장치(120)에 내장된 내부 파일시스템에 권한 없는 제 3자의 접근을 사전 차단하는 프로그램보안수단(122a)과, 상기 난독화 프로그램이 내장된 하드디스크를 떼내어 다른 장치에서 실행시키는 경우에 그 하드디스크에 저장된 난독화 프로그램을 포함한 파일시스템을 깨뜨리고 해당 하드디스크를 포맷하는 장치보안수단(122b)을 포함한다.
Self-securing means 122 of the present embodiment is a program security means (122a) for pre-blocking unauthorized third party access to the internal file system built in the obfuscation device 120, and the hard-coded obfuscation program The device security means 122b for breaking the file system including the obfuscation program stored in the hard disk and formatting the hard disk when the disk is removed and executed on another device.

본 실시예의 난독화장치(120)의 프로그램보안수단(122a)은, 고도의 보안알고리즘에 의해 생성된 암호에 의하여만 난독화장치(120)에의 접근이 가능하므로 난독화장치 관리자 이외에는 난독화장치(120)에 대한 어떠한 조작도 불가하며, 파일시스템에 대한 역공학 등에 의한 접근시 난독화 장치(120)는 서비스를 거부하며 경우에 따라 시스템을 재부팅하거나 파일시스템을 삭제하는 등의 동작을 수행할 수 있다. Since the program security means 122a of the obfuscation device 120 of the present embodiment can access the obfuscation device 120 only by a password generated by a high security algorithm, the obfuscation device other than the obfuscation device manager ( No operation for the operation 120 may be performed. When accessing the file system by reverse engineering or the like, the obfuscation device 120 may deny the service and perform an operation such as rebooting the system or deleting the file system in some cases. have.

한편, 본 발명의 실시예에서 장치보안수단(122b)은 물리적인 분해에 의해 난독화장치(120)의 저장장치(인 하드디스크를 꺼내어 제3의 장치에서 동작시키는 경우 기존 난독화장치의 CPU 및 네트워크 카드를 포함한 구성요소 하드웨어들의 고유번호와 개발자 고유의 알고리즘 및 보안표에 의해 장치를 식별하게 되므로 원래의 장치 이외의 제 3의 장치에서는 하드디스크를 동작시키는 것 자체가 불가능하도록 구현된다. On the other hand, in the embodiment of the present invention, the device security means 122b is the CPU of the existing obfuscation device when the storage device of the obfuscation device 120 (the hard disk is taken out and operated in the third device) by physical decomposition. Since the device is identified by the unique number of the component hardware including the network card and the developer's unique algorithm and security table, it is impossible to operate the hard disk in a third device other than the original device.

예컨대, 도 8에 도시된 바와 같이 하드웨어를 동작시키는 경우 1차적으로, 동작시키는 시스템의 CPU 고유번호 및 네트워크 카드 등의 하드웨어들의 고유번호로부터 시스템의 키 값(Key value)을 생성하며, 이를 하드웨어에 설치된 소프트웨어 보안처리 시스템 프로그램 설치본의 키 값과 비교하여 같은 경우에만 서비스가 개시될 수 있다(제60단계 내지 제63단계).For example, when hardware is operated as shown in FIG. 8, a key value of the system is first generated from a unique number of hardware such as a CPU unique number and a network card of the operating system. The service can be started only in the same cases compared with the key value of the installed software security processing system program installation (steps 60 to 63).

또한, 해당 키 값에 대응하는 권한 그룹 데이터 값(Admin Group Data Value) 및 권한 사용자 데이터 값(Admin User Data Value)을 저장하며, 권한 그룹의 변경이나 유저 권한에 대한 정보 변경을 감시하며, 변경이 발생하여 상기 저장한 값과 불일치가 발생하는 경우에는 시스템 침입 대응시스템을 구동한다(제64단계 내지 제80단계). 예컨대, 해당 서비스를 종료하고, 하드디스크의 모든 파일시스템을 삭제하며, 시스템을 재부팅하게 된다. 또한, 파일시스템을 삭제하기 이전에 파일시스템을 파괴하여 파일시스템의 복원을 방지함으로써 권한 없는 제 3자에 의하여 하드디스크의 보안알고리즘 및 난독화 프로그램에 대한 접근을 사전에 차단한다(제81단계 내지 제83단계).
In addition, it stores the authority group data value (Admin Group Data Value) and the authority user data value (Admin User Data Value) corresponding to the corresponding key value, and monitors the change of the authority group or the information on user authority. If a mismatch occurs with the stored value, the system intrusion response system is driven (steps 64 to 80). For example, the service may be terminated, all file systems of the hard disk may be deleted, and the system may be rebooted. In addition, before the file system is deleted, the file system is destroyed to prevent restoration of the file system, thereby preventing access to the security algorithm and the obfuscation program of the hard disk by an unauthorized third party in advance (steps 81 to 81). Step 83).

도 6에 도시된 바와 같이, 본 실시예의 난독화 장치(120)에는 기계어코드에 대한 난독화를 수행하는 난독화수단이 구비되며, 본 실시예의 난독화수단은 난독화된 실행파일에 대하여 원본코드 추적방해기능과, 안티디버깅기능, 안티패치기능, 암호화기능 등을 부가하도록 하기 위한 난독화 프로그램을 구비하며, 상기 난독화 프로그램에 의해 난독화를 거친 파일에 대한 제3자의 역공학 등 부당한 접근시에는 난독화에 의해 구현된 상기 기능들에 의하여 제 3자의 시스템 해독을 사전에 방지하므로 강화된 소프트웨어 보안을 유지할 수 있게 된다.As shown in FIG. 6, the obfuscation device 120 of the present embodiment includes obfuscation means for obfuscating machine code, and the obfuscation means of the present embodiment has an original code for the obfuscated executable file. It has an obfuscation program for adding a tracking obstacle function, an anti-debugging function, an antipatch function, an encryption function, etc., and in case of improper access such as reverse engineering of a third party to a file that has been obfuscated by the obfuscation program. The function implemented by obfuscation prevents third party system decryption in advance, thereby maintaining enhanced software security.

예컨대, 본 실시예에서 원본코드 추적방해기능은, API(Application Programming Interface, 이하 동일) 래퍼(Wrapper) 기능과, API 주소 숨기기, IAT(Import Address Table) 테이블 파괴, Flow 수정기능을 포함한다.For example, in the present embodiment, the original code tracking interruption function includes an API (Application Programming Interface) wrapper function, an API address hiding, an IAT (Import Address Table) table destruction, and a flow modification function.

본 실시예에서 API 래퍼(Wrapper) 기능은 디버거를 통한 분석 및 추적을 어렵게 만들기 위해 정상 API 코드에 여러 가지 더미코드를 삽입하는 것을 의미한다. API 주소 숨기기는 디버거가 메모리에 존재하는 주소값 중 윈도우 API를 가르키는 경우 문자열값으로 치환해서 코드 분석을 용이하게 할 수 있기 때문에 디버거가 아예 주소를 인식하지 못하도록 주소값을 변경해버리는 것을 의미한다. In this embodiment, the API wrapper function means inserting various dummy codes into the normal API code to make analysis and tracking through the debugger difficult. Hiding an API address means changing the address so that the debugger doesn't recognize the address at all, because if the debugger points to the Windows API in memory, it can be replaced with a string to facilitate code analysis.

IAT 테이블 파괴는 디스어셈블을 통한 역추적이 불가능하도록 디스어셈블러가 윈도우 API를 찾기 위해 참조하는 IAT 테이블을 파괴시킴으로써 윈도우 API를 찾을 수 없게 하는 것을 의미한다. Flow 수정기능은 코드분석을 어렵게 하기 위해 실행 코드의 흐름을 변경하여 간단한 코드의 흐름도 복잡하게 수정하는 것을 의미한다. Destroying the IAT table means that the disassembler can't find the window API by destroying the IAT table that the disassembler references to find the window API so that backtracking through disassembly is not possible. Flow modification means to modify the flow of simple code by changing the flow of execution code to make code analysis difficult.

본 실시예에서 안티디버깅기능은, 디버거를 통한 소프트웨어 분석을 차단하기 위해 각종 디버거 툴의 동작자체를 감지 및 차단하는 디버거탐지기능, 모니터링 도구를 통한 소프트웨어 분석 차단을 위한 모니터링 도구 탐지기능, 가상환경에서 소프트웨어를 복사한 후, 구동하여 분석하는 행위를 감지 및 차단하는 가상환경 탐지기능을 포함한다.In the present embodiment, the anti-debugging function is a debugger detection function for detecting and blocking the operation of various debugger tools to block software analysis through a debugger, a monitoring tool detection function for blocking software analysis through a monitoring tool, and a virtual environment. It includes a virtual environment detection function that detects and blocks the act of copying the software and then running and analyzing it.

본 실시예의 안티패치기능은 소프트웨어 제품을 구성하는 각종 파일들을 수정하여 제품의 보안기능을 우회하는 것을 차단하기 위해 파일 변형 유무 인지를 수행하는 파일변형 검사와, 실행된 소프트웨어의 메모리를 해킹하여 코드의 실행 구조를 변경하는 행위 감지를 하는 메모리 변형검사를 포함한다.
The anti-patch function of the present embodiment modifies various files constituting the software product to check whether the file is modified or not to bypass the security function of the product, and checks the code by hacking the memory of the executed software. It includes a memory variant that detects behavior changes to the execution structure.

본 실시예의 암호화기능은 소프트웨어의 코드영역을 암호화하여 디스어셈블을 통한 역추적을 사전에 차단할 수 있도록 하는 암호기능을 의미하며, AES, ARIA등의 다양한 알고리즘을 탑재하며, 사용자가 원하는 알고리즘을 선택할 수 있도록 구성된다.The encryption function of the present embodiment refers to an encryption function that encrypts a code area of software to block backtracking through disassembly in advance, and includes various algorithms such as AES and ARIA, and allows a user to select a desired algorithm. It is configured to be.

한편, 본 실시예의 난독화장치는, 소프트웨어 난독화의 다양한 기존 기술 예컨대, 구획난독, 데이터 난독, 집합난독, 제어난독 등의 난독화 기법을 구비하고 있어서 더미코드를 삽입하거나, 가변코드를 생성하거나, 제어흐름을 변환시키고, 코드를 가상화시키는 등의 방식으로 실행파일을 난독화한다. On the other hand, the obfuscation apparatus of the present embodiment is equipped with a variety of existing techniques of software obfuscation, for example, obfuscation such as partition obfuscation, data obfuscation, aggregate obfuscation, control obfuscation, so as to insert a dummy code, generate a variable code, Obfuscate executables by transforming control flows, virtualizing code, and so on.

또한, 본 실시예의 난독화장치(120)은 상기 개발자 컴퓨터에서 개발자가 마킹한 기계어의 특정부분에 대하여는 코드 가상화 및 고유의 특수코드에 의한 고도의 난독화 과정을 추가로 수행한다.In addition, the obfuscation apparatus 120 according to the present embodiment further performs a highly virtualized obfuscation process by code virtualization and a unique special code for a specific part of the machine code marked by the developer in the developer computer.

예컨대, 도 7a, 도 7b에 도시된 바와 같이 개발자에 의해 마킹된 영역의 기계어 부분은 해당 장치 또는 업체에 고유한 특수코드로 구성된 명령어들로 변환시키며, 이를 해석할 수 있는 가상 CPU를 구성하며, 경우에 따라 다수개의 가상 CPU에 의하여 구성을 하여 해커가 특수코드 및 가상 CPU의 전체 의미를 분석하기 전에는 프로그램의 해독 자체가 불가하도록 구성되므로, 해커의 시스템 분석을 매우 곤란하게 하며 해커에 의한 공격을 사전에 차단할 수 있게 된다.
For example, as illustrated in FIGS. 7A and 7B, the machine language portion of the area marked by the developer converts the instructions into instructions composed of special codes unique to the device or company, and configures a virtual CPU capable of interpreting them. In some cases, it is configured by multiple virtual CPUs so that the program cannot be decoded before the hacker analyzes the special meaning of the special code and virtual CPU. Therefore, it is very difficult for the hacker to analyze the system and prevent attack by hackers. You can block in advance.

한편, 본 발명의 바람직한 일 실시예에서는 난독화장치(120)에 내장되는 난독화 프로그램들은 권한 없는 제 3자의 무단 접근에 대응하여 상기 난독화 프로그램에 의해 난독화된 실행파일에 구현된 것과 동일한 난독화 기법 및 기능들에 의하여 난독화 처리가 되는 것이 가능하다.
Meanwhile, in a preferred embodiment of the present invention, the obfuscation programs embedded in the obfuscation device 120 are the same obfuscation as implemented in the executable file obfuscated by the obfuscation program in response to unauthorized access by an unauthorized third party. It is possible to be obfuscated by the digestion techniques and functions.

다음은 상기와 같은 구성을 갖는 본 발명의 실시예의 소프트웨어 보안처리 시스템에 의해 수행되는 소프트웨어 보안처리 방법의 각 단계를 도 3b를 참조하여 설명한다.Next, each step of the software security processing method performed by the software security processing system according to the embodiment of the present invention having the above configuration will be described with reference to FIG. 3B.

본 실시예의 난독화장치(120)가 네트워크 내부망에 대한 설치가 이루어지면, 난독화장치(120)에 의해 수행되는 난독화의 종류와 순서에 대한 최종세팅이 이루어지며, 이 과정은 해당 난독화장치(120)에 대하여 난독화되는 실행파일의 보안정책 및 실행파일의 실행속도 보장을 위해 적절한 난독화 방식·회수·순서 등의 조합을 정하게 되며, 이에 의해 난독화의 난이도가 결정되게 된다.
When the obfuscation device 120 of the present embodiment is installed on the network internal network, the final setting for the type and order of the obfuscation performed by the obfuscation device 120 is made, and the process is the obfuscation. In order to guarantee the security policy of the executable file to be obfuscated for the device 120 and the execution speed of the executable file, a combination of an appropriate obfuscation method, recovery, and order is determined, thereby determining the difficulty of obfuscation.

사용자 컴퓨터(110)에서는 온오프라인 서비스 제공을 위한 원본코드에 대한 코딩이 이루어지며, 사용자에 의한 원본코드의 작성 및 테스팅이 완료되면 해당 원본코드는 기계어로 번역이 된다(제50단계,제51단계).In the user computer 110, coding of an original code for providing an on-line service is performed, and when the creation and testing of the original code by the user is completed, the original code is translated into machine language (steps 50 and 51). ).

본 실시예의 사용자 컴퓨터(110)에서는 원본코드의 내용이 외부에 유출되면 안되는 범위를 설정하여 본 실시예의 소프트웨어 보안처리 시스템에서 제공하는 방식에 따라 해당 범위에 대한 마킹을 수행한다. 한편, 본 발명의 바람직한 실시예에서 마킹의 방식과 종류를 달리하는 것에 의하여 난독화의 정도를 달리할 수 있도록 구성되는 것도 가능하다(제53단계).The user computer 110 of the present embodiment sets the range in which the contents of the original code should not be leaked to the outside, and performs marking on the range according to the method provided by the software security processing system of the present embodiment. On the other hand, in the preferred embodiment of the present invention it is also possible to be configured to vary the degree of obfuscation by varying the type and type of marking (step 53).

본 실시예의 사용자 컴퓨터(110)에서 작성된 실행파일에 대한 기계어번역 및 마킹이 완료된 파일은 네트워크 소켓을 통하여 보안관리서버(130)로 입력된다. Machine language translation and marking of the executable file created in the user computer 110 of the present embodiment is input to the security management server 130 through the network socket.

본 실시예의 보안관리서버(130)는 각 사용자컴퓨터(120)로부터 난독화 대상 파일을 수집하며, 소프트웨어 보안처리 시스템에서 제공되는 dll 파일을 통하여 난독화장치(120)로 난독화 대상 파일을 전달한다(제53단계).The security management server 130 of the present embodiment collects the obfuscation target file from each user computer 120 and delivers the obfuscation target file to the obfuscation device 120 through the dll file provided by the software security processing system. (Step 53).

난독화장치(120)는 보안관리서버(130)로부터 입력받은 난독화 대상 파일을 데이터베이스(126)에 저장하며, 기 설정된 난독화의 방식·회수·순서 등의 조합에 따라 저장장치(125)에 저장된 난독화 프로그램을 호출하여 난독화 대상 파일에 대한 난독화를 수행한다(제54단계).The obfuscation device 120 stores the obfuscation target file received from the security management server 130 in the database 126, and stores the obfuscation device 120 in the storage device 125 according to a combination of pre-set obfuscation method, recovery, and order. The stored obfuscation program is called to perform obfuscation on the obfuscation target file (step 54).

또한, 사용자 컴퓨터(110)에서 마킹이 수행된 부분에 대하여는 코드가상화에 의한 기계어 코드의 특수코드로의 전환 및 가상 CPU에 의한 난분해를 포함하는 고도의 난독화 과정에 의하여 난독화 대상 파일을 난독화하며, 난독화 완료된 파일은 데이터베이스에 저장된다(제55단계).In addition, in the portion where the marking is performed in the user's computer 110, the obfuscation target file is obfuscated by a highly obfuscated process including conversion of the machine code into special codes by code virtualization and obfuscation by a virtual CPU. In step 55, the obfuscated file is stored in the database.

본 실시예의 난독화 장치(120)는 난독화가 완료된 실행파일을 보안관리서버(130)로 반환하며, 보안관리서버(130)에서는 난독화 완료된 파일을 테스팅서버(160)로 입력한다(제56단계).The obfuscation device 120 of the present embodiment returns the obfuscated execution file to the security management server 130, and the security management server 130 inputs the obfuscated file to the testing server 160 (step 56). ).

테스팅서버(160)에서는 난독화 완료된 파일이 원본 코드와 동일한 기능을 구현하고 있는지 여부 및 난독화에 의하여 구현된 디버거탐지기능, 모니터링 도구를 통한 소프트웨어 분석 차단을 위한 모니터일 도구 탐지기능, 가상환경에서 소프트웨어를 복사한 후 구동하여 분석하는 행위를 감지 및 차단하는 가상환경 탐지기능 등의 적절한 동작여부 및 실행파일이 적절한 동작속도를 구현하고 있는지 여부 테스팅될 수 있도록 한다(제57단계). In the testing server 160, whether the obfuscated file implements the same function as the original code, and the debugger detection function implemented by the obfuscation, the monitor tool detection function for blocking software analysis through the monitoring tool, and the virtual environment The operation of copying the software is performed to test whether the proper operation such as the virtual environment detection function that detects and blocks the analysis and the execution file implement the proper operation speed (step 57).

본 실시예에서 테스팅 과정에 설정 기준에 부합하지 못하는 파일은 보안관리서버(130)를 통하여 해당 사용자컴퓨터(110)로 반환되며, 기준에 부합하는 파일은 보안관리서버(130)를 통하여 배포서버(180)로 전달되며, 인터넷을 통하여 고객에 배포되거나 오프라인으로 고객에 배포되어 서비스가 제공될 수 있게 된다(제58단계).In the present embodiment, the file that does not meet the setting criteria in the testing process is returned to the user computer 110 through the security management server 130, the file matching the criteria is distributed through the distribution server (through the security management server 130 ( 180, the service can be provided to the customer through the Internet or distributed to the customer offline (step 58).

본 실시예에 의하는 경우는 원본코드를 기계어 번역하고 이 기계어코드 자체에 대한 난독화를 수행하기 때문에 원본 기계어 코드가 제 3자에게 확보되기 어렵고, 역공학에 의하는 경우에도 원본코드를 재생하는 것 자체가 불가능하기 때문에 제3자가 시스템 해킹에 앞서 시스템의 구성을 파악하는 것을 사전에 차단할 수 있다.
In the present embodiment, since the original code is translated into machine language and the machine code itself is obfuscated, it is difficult for the original machine code to be secured to a third party, and the original code can be reproduced even by reverse engineering. Since it is impossible to do this, it is possible to prevent a third party from knowing the configuration of the system before the system can be hacked.

본 발명의 권리범위는 상기 실시예에 한정되는 것이 아니라 특허청구범위에 기재된 사항에 의해 정해지며, 특허청구범위에 기재된 사항과 균등범위에서 당업자가 행한 다양한 변형과 개작을 포함함은 자명하다.
It is obvious that the scope of the present invention is not limited to the above embodiments but is defined by the matters defined in the claims of the present invention and includes various modifications and alterations made by those skilled in the art within the scope of the claims.

110.........개발자 컴퓨터 120........난독화장치
122.........자체보안수단 122a.......프로그램 보안수단
122b........장치 보안수단 123........난독화 프로그램
125.........저장장치 130........보안관리서버
160.........테스팅 서버 180........배포서버 110 ....... Developer Computer 120 ........ Obstacle
122 ............ Self security measures 122a ....... Program security measures
122b ........ device security measures 123 ........ obfuscation programs
125 ....... Storage Device 130 ........ Security Management Server
160 ......... Testing Server 180 ........ Deployment Server

Claims (7)

인터넷상에서 각종 서비스제공을 위한 프로그램의 원본코드를 작성하는 단계와;
상기 원본코드를 기계어 코드로 번역하는 단계와;
상기 기계어 코드 번역된 것의 특정부분을 마킹하는 단계와;
상기 기계어코드로 번역된 것 자체에 대한 코드 난독화를 수행하며, 마킹이 이루어진 부분에 대하여는 타 부분에 대하여 차등을 두어 상대적으로 고도의 난독화 과정을 수행하는 난독화단계와;
상기 난독화단계에서 난독화된 프로그램을 테스트하여 상기 원본코드에 의한 것과 같은 정상적인 서비스제공이 이루어질 수 있는 것인지를 판단하는 테스트단계와;
상기 테스트 단계에서 테스트가 완료된 난독화된 파일을 배포서버로 전송하여 인터넷상에서 배포함으로써 인터넷상에서 서비스제공을 수행하는 단계를 포함하여 구성되는 것을 특징으로 하는 소프트웨어 보안처리 방법.
Creating original code of a program for providing various services on the Internet;
Translating the original code into machine language code;
Marking a particular portion of the machine code translation;
An obfuscation step of performing a code obfuscation for the translation into the machine code, and performing a highly advanced obfuscation process with a difference between other parts of the marking part;
A test step of determining whether normal service provision such as by the original code can be made by testing the obfuscated program in the obfuscating step;
And providing a service on the Internet by transmitting the obfuscated file which has been tested in the test step to a distribution server and distributing it on the Internet.
각종 서비스제공을 위한 프로그램의 원본코드를 작성하는 단계와;
상기 원본코드를 기계어 코드로 번역하는 단계와;
상기 기계어 코드로 번역된 것의 특정부분을 마킹하는 단계와;
상기 기계어코드로 번역된 것 자체에 코드 난독화를 수행하며, 마킹이 이루어진 부분에 대하여는 타부분에 대하여 차등을 두어 상대적으로 고도의 난독화 과정을 수행하는 난독화단계와;
상기 난독화단계에서 난독화된 프로그램을 테스트하여 상기 원본코드에 의한 것과 같은 정상적인 서비스제공이 이루어질 수 있는지를 판단하는 테스트단계와;
상기 테스트 단계에서 테스트가 완료된 난독화된 파일을 배포서버로 전송하는 단계를 포함하여 구성되는 것을 특징으로 하는 소프트웨어 보안처리 방법.
Creating original code of a program for providing various services;
Translating the original code into machine language code;
Marking a specific portion of the translation into the machine code;
An obfuscation step of performing code obfuscation on the translation into the machine code, and performing a highly advanced obfuscation process with a difference between other parts of the marking part;
A test step of determining whether normal service provision such as by the original code can be made by testing the obfuscated program in the obfuscating step;
And transmitting the completed obfuscated file in the test step to the distribution server.
청구항 1 또는 2에 있어서, 상기 고도의 난독화는, 해당부분에 대응하는 API(Application Programming Interface) 주소 숨기기 기능을 포함하는 것을 특징으로 하는 소프트웨어 보안처리방법.
The software security processing method of claim 1 or 2, wherein the highly obfuscating includes an API (application programming interface) address hiding function corresponding to the corresponding part.
청구항 1 또는 2에 있어서, 상기 고도의 난독화는, 해당부분에 대응하는 IAT(Import Address Table) 테이블 파괴를 포함하는 것을 특징으로 하는 소프트웨어 보안처리방법.
The software security processing method according to claim 1 or 2, wherein the high obfuscation includes destruction of an import address table (IAT) table corresponding to the corresponding portion.
청구항 1 또는 2에 있어서, 상기 고도의 난독화는, 코드가상화에 의한 기계어 코드의 난분해를 포함하는 것을 특징으로 하는 소프트웨어 보안처리방법.
The software security processing method according to claim 1 or 2, wherein the high obfuscation comprises a hard decomposition of machine code by code virtualization.
청구항 1 또는 2에 있어서, 상기 난독화 단계에서는, 복수개의 암호화 알고리즘 중에서 사용자에 의하여 특정의 것을 선택하여 사용할 수 있도록 구성되는 것을 특징으로 하는 소프트웨어 보안처리방법.
The method of claim 1 or 2, wherein in the obfuscating step, a specific one of a plurality of encryption algorithms is configured to be selected and used by a user.
청구항 1 또는 2에 있어서의 소프트웨어 보안처리방법의 각 단계를 컴퓨터 시스템상에서 수행하는 컴퓨터 프로그램을 기록한 것을 특징으로 하는 기록매체.
A recording medium which records a computer program for performing each step of the software security processing method according to claim 1 on a computer system.
KR1020110058169A 2011-06-15 2011-06-15 A Method For Software Security Treatment And A Storage Medium KR101265099B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110058169A KR101265099B1 (en) 2011-06-15 2011-06-15 A Method For Software Security Treatment And A Storage Medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110058169A KR101265099B1 (en) 2011-06-15 2011-06-15 A Method For Software Security Treatment And A Storage Medium

Publications (2)

Publication Number Publication Date
KR20120138586A KR20120138586A (en) 2012-12-26
KR101265099B1 true KR101265099B1 (en) 2013-05-20

Family

ID=47905364

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110058169A KR101265099B1 (en) 2011-06-15 2011-06-15 A Method For Software Security Treatment And A Storage Medium

Country Status (1)

Country Link
KR (1) KR101265099B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101350390B1 (en) * 2013-08-14 2014-01-16 숭실대학교산학협력단 A apparatus for code obfuscation and method thereof
KR101436741B1 (en) 2013-05-27 2014-09-01 (주)스마일게이트엔터테인먼트 The method and system for applying security solution program
WO2015046655A1 (en) * 2013-09-27 2015-04-02 숭실대학교 산학협력단 Application code obfuscation device based on self-conversion and method therefor
WO2016200045A1 (en) * 2015-06-12 2016-12-15 서울대학교 산학협력단 Hardware-based kernel code insertion attack detecting device and method therefor
KR20200142754A (en) * 2019-06-13 2020-12-23 경희대학교 산학협력단 How to obfuscate return commands and how to execute obfuscated return commands

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9021262B2 (en) 2013-01-25 2015-04-28 Concurix Corporation Obfuscating trace data
US8954546B2 (en) 2013-01-25 2015-02-10 Concurix Corporation Tracing with a workload distributor
US9207969B2 (en) 2013-01-25 2015-12-08 Microsoft Technology Licensing, Llc Parallel tracing for performance and detail
US20130283281A1 (en) 2013-02-12 2013-10-24 Concurix Corporation Deploying Trace Objectives using Cost Analyses
US8997063B2 (en) 2013-02-12 2015-03-31 Concurix Corporation Periodicity optimization in an automated tracing system
US8924941B2 (en) 2013-02-12 2014-12-30 Concurix Corporation Optimization analysis using similar frequencies
US20130219372A1 (en) 2013-03-15 2013-08-22 Concurix Corporation Runtime Settings Derived from Relationships Identified in Tracer Data
WO2014142430A1 (en) * 2013-03-15 2014-09-18 주식회사 에스이웍스 Dex file binary obfuscation method in android system
US9292415B2 (en) 2013-09-04 2016-03-22 Microsoft Technology Licensing, Llc Module specific tracing in a shared module environment
WO2015071778A1 (en) 2013-11-13 2015-05-21 Concurix Corporation Application execution path tracing with configurable origin definition
KR101671336B1 (en) * 2014-02-27 2016-11-16 (주)스마일게이트엔터테인먼트 Method of unpacking protection with code separation and apparatus thereof
KR101629379B1 (en) * 2014-08-04 2016-06-13 주식회사 엔씨소프트 Method of distributing original data with recovery data
KR102361534B1 (en) * 2020-02-05 2022-02-10 라인플러스 주식회사 Method and system for obfuscation using compiler

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005266887A (en) 2004-03-16 2005-09-29 Kddi Corp Program encryption apparatus, program distribution system and computer program
US20100306854A1 (en) 2009-06-01 2010-12-02 Ab Initio Software Llc Generating Obfuscated Data

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005266887A (en) 2004-03-16 2005-09-29 Kddi Corp Program encryption apparatus, program distribution system and computer program
US20100306854A1 (en) 2009-06-01 2010-12-02 Ab Initio Software Llc Generating Obfuscated Data

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ASE’07, NOVEMBER 49, 2007, ATLANTA, GEORGIA, USA.

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101436741B1 (en) 2013-05-27 2014-09-01 (주)스마일게이트엔터테인먼트 The method and system for applying security solution program
KR101350390B1 (en) * 2013-08-14 2014-01-16 숭실대학교산학협력단 A apparatus for code obfuscation and method thereof
WO2015023023A1 (en) * 2013-08-14 2015-02-19 숭실대학교 산학협력단 Device for obfuscating code and method for same
US8984299B1 (en) 2013-08-14 2015-03-17 Soongsil University Research Consortium Techno-Park Apparatus for code obfuscation and method thereof
WO2015046655A1 (en) * 2013-09-27 2015-04-02 숭실대학교 산학협력단 Application code obfuscation device based on self-conversion and method therefor
WO2016200045A1 (en) * 2015-06-12 2016-12-15 서울대학교 산학협력단 Hardware-based kernel code insertion attack detecting device and method therefor
KR20200142754A (en) * 2019-06-13 2020-12-23 경희대학교 산학협력단 How to obfuscate return commands and how to execute obfuscated return commands
KR102258408B1 (en) 2019-06-13 2021-05-28 경희대학교 산학협력단 How to obfuscate return commands and how to execute obfuscated return commands

Also Published As

Publication number Publication date
KR20120138586A (en) 2012-12-26

Similar Documents

Publication Publication Date Title
KR101265099B1 (en) A Method For Software Security Treatment And A Storage Medium
Tan et al. A root privilege management scheme with revocable authorization for Android devices
Parno et al. Bootstrapping trust in commodity computers
US20210294879A1 (en) Securing executable code integrity using auto-derivative key
US10050982B1 (en) Systems and methods for reverse-engineering malware protocols
US8271790B2 (en) Method and system for securely identifying computer storage devices
US20070180509A1 (en) Practical platform for high risk applications
KR20050085678A (en) Attestation using both fixed token and portable token
US10452564B2 (en) Format preserving encryption of object code
US20170099144A1 (en) Embedded encryption platform comprising an algorithmically flexible multiple parameter encryption system
JP7256861B2 (en) secure computer system
KR20180010482A (en) Method and apparatus for security of internet of things devices
Bugiel et al. Implementing an application-specific credential platform using late-launched mobile trusted module
KR101226615B1 (en) A Device For Software Obfuscation And A System For Software Security Treatment
Loftus et al. Android 7 file based encryption and the attacks against it
KR101907846B1 (en) Apparatus, method for encryption using dependency integrity check of androids and other similar systems
CN112749383A (en) Software authentication method and related product
CN112654986A (en) Enabling software distribution
US20240129110A1 (en) System and method of application resource binding
Schiess Governmental Control of Digital Media Distribution in North Korea: Surveillance and Censorship on Modern Consumer Devices
KR101907847B1 (en) Apparatus, method for encryption using dependency integrity check of androids and other similar systems
Raval et al. Hardware Root of Trust on IoT Gateway
Getreu Embedded system security with Rust
Turriziani Protection of Private Keys with TPM 2.0
Rawat et al. Enhanced Security Mechanism for Cryptographic File Systems Using Trusted Computing

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee