KR101796369B1 - 소프트웨어 분석을 위한 리버스 엔지니어링 협업 장치, 방법 및 시스템 - Google Patents

Abstract

소프트웨어 분석을 위한 리버스 엔지니어링 협업 장치, 방법 및 시스템이 개시된다. 일 실시예에 따른 중앙 서버는 소프트웨어에 대한 정적 분석을 수행함으로써 함수 블록 정보를 포함하는 정적 분석 정보를 생성하고, 미리 설정된 실행 환경을 재현하는 분석 서버로부터 소프트웨어에 대한 동적 분석 정보를 수신하며, 정적 분석 정보 및 동적 분석 정보를 데이터베이스에 저장한다.

Description

소프트웨어 분석을 위한 리버스 엔지니어링 협업 장치, 방법 및 시스템{APPARATUS, METHOD AND SYSTEM OF REVERSE ENGINEERING COLLABORATION FOR SOFTWARE ANALSIS}

아래 실시예들은 소프트웨어 분석을 위한 리버스 엔지니어링 협업 장치, 방법 및 시스템에 관한 것이다. 특히, 실시예들은 소프트웨어 분석관이 협업 할 수 있는 시스템에 관한 것으로 악성코드 분석 및 취약점 분석 등 리버스 엔지니어링에 포함되는 분야에 적용될 수 있다.

기본적으로 소프트웨어 리버스 엔지니어링에 포함 되는 모든 작업은 디스어셈블(disassemble)을 기본으로 추가적인 데이터를 사용하게 되는데, 소프트웨어가 방대 할수록 핵심 데이터를 찾는 데에도 많은 시간이 소요된다. 또한, 역 분석을 하기 위한 환경 구축 시 필요한 분석 프로그램의 설정이 요구되는데, 환경이 다를 경우 분석 결과도 다르며 시스템의 무결성도 검증 받지 못한다.

또한, Ollydbg, IDA, PE Viewer 등 기존의 동/정적 분석 프로그램을 사용 시 분석 데이터들의 통합, 문서화 및 공유를 할 마땅한 방법이 없어 타인에게 분석된 정보를 제공하는데 불편함이 존재한다. 이러한 사유로 동/정적 데이터를 통합하고 협업 할 수 있는 시스템이 필수적으로 필요하다.
본 발명의 배경이 되는 기술은 아래의 특허에 개시된다.
- 한국등록특허 제10-1300256호(동적분석 및 정적분석 방지를 통한 소프트웨어 실행파일 보호 방법, 그리고 그에 따른 소프트웨어 실행파일 보호 프로그램을 기록한 컴퓨터로 판독가능한 기록매체)

실시예들은 분석관에 의하여 미리 구축된 환경에서 실시간으로 정적, 동적 분석이 가능한 모듈들을 제공하고, 해당 모듈들의 출력 데이터를 데이터베이스화하며, 구축된 데이터베이스에 기초하여 최종적으로 협업 시스템을 제공할 수 있다.

일 측에 따른 소프트웨어의 역 분석을 위한 중앙 서버의 동작 방법은 상기 소프트웨어의 역 분석 요청을 수신하는 단계; 상기 소프트웨어에 대한 정적 분석을 수행함으로써, 함수 블록 정보를 포함하는 정적 분석 정보를 생성하는 단계; 미리 설정된 실행 환경을 재현하는 분석 서버로 상기 소프트웨어에 대한 동적 분석을 요청하는 단계; 상기 분석 서버로부터 동적 분석 정보를 수신하는 단계; 및 상기 정적 분석 정보 및 상기 동적 분석 정보를 데이터베이스에 저장하는 단계를 포함한다. 상기 소프트웨어는 소스 코드가 아닌 실행 파일에 해당할 수 있다.

상기 정적 분석 정보를 생성하는 단계는 상기 소프트웨어에 포함된 복수의 함수 구간들을 추정함으로써, 지역 호출 리스트(Local Call List)를 생성하는 단계를 포함할 수 있다.

상기 정적 분석 정보를 생성하는 단계는 상기 소프트웨어의 헤더의 유형을 판단하는 단계; 상기 헤더의 유형에 따라, 상기 헤더로부터 IAT 및 EAT를 추출하는 단계; 상기 헤더로부터 OEP를 추출하는 단계; 및 상기 OEP에 기초하여 상기 소프트웨어에 포함된 함수 블록들을 조사함으로써, 상기 함수 블록 정보를 획득하는 단계를 포함할 수 있다.

상기 정적 분석 정보를 생성하는 단계는 상기 소프트웨어에 포함된 분석 대상 함수와 유사한 함수의 분석 정보가 상기 데이터베이스에 저장되어 있는지 판단하는 단계; 및 상기 유사한 함수의 분석 정보에 기초하여, 상기 분석 대상 함수의 분석 정보를 생성하는 단계를 포함할 수 있다.

상기 소프트웨어에 포함된 분석 대상 함수와 유사한 함수의 분석 정보가 상기 데이터베이스에 저장되어 있는지 판단하는 단계는 명령어 빈도수, 분기 블록, 및 SMT 엔트로피 중 적어도 하나에 기초하여, 상기 분석 대상 함수 및 상기 데이터베이스에 저장된 함수 사이의 유사도를 결정하는 단계를 포함할 수 있다.

일 측에 따른 소프트웨어의 역 분석을 위한 분석 서버의 동작 방법은 중앙 서버로부터 상기 소프트웨어의 동적 분석 요청을 수신하는 단계; 상기 중앙 서버로부터 상기 소프트웨어의 정적 분석 정보를 수신하는 단계; 데이터베이스로부터 미리 설정된 실행 환경을 획득하는 단계; 및 상기 정적 분석 정보 및 상기 미리 설정된 실행 환경에 기초하여 상기 소프트웨어의 동적 분석을 수행함으로써, 동적 분석 정보를 생성하는 단계를 포함한다. 상기 소프트웨어는 소스 코드가 아닌 실행 파일에 해당할 수 있다.

상기 동적 분석을 수행하는 단계는 상기 정적 분석 정보에 기초하여 불필요한 분기(branch)에 대한 정보를 획득하는 단계; 및 상기 획득된 정보에 기초하여 상기 소프트웨어에 대한 코드 커버리지를 수행함으로써 상기 소프트웨어의 SMT 수식을 해석하는 단계를 포함할 수 있다.

상기 동적 분석을 수행하는 단계는 상기 소프트웨어의 명령어(instruction)를 수행하는 단계; 미리 정해진 포인트가 발생하였는지 판단하는 단계; 상기 미리 정해진 포인트에 대한 정보를 저장하는 단계; 상기 명령어를 수식화하여 방정식 정보를 생성하는 단계; 및 상기 미리 정해진 포인트에 대한 정보 및 상기 방정식 정보를 상기 데이터베이스에 저장하는 단계를 포함할 수 있다.

상기 동적 분석 정보는 특정 입력 데이터에 대한 흐름 추적을 포함할 수 있다.

실시예들은 대규모 소프트웨어의 버그, 메모리 누수 문제 및 안티-리버싱(Anti-reversing)이 적용된 악성코드 등 로직 복잡도가 높은 소프트웨어 분석 시 분석관 간에 분석 정보 공유를 가능하게 함으로써, 분석 속도를 향상시키고 분석 데이터 관리를 가능하게 한다. 이로 인하여, 유사 문제가 발생하거나 업데이트 시에도 신속한 대처 및 비교 분석이 가능해진다.

게다가, 분석관 입장에서 분석 환경이 이미 구축되어 있어 분석 환경을 구축하는 시간을 소모할 필요가 없고, 플랫폼에 종속되지 않기 때문에 어디서든 분석이 가능하다. 때문에, 실시예들을 통해 분석관들의 분석 속도를 비약적으로 상승 시킬 수 있다.

또한, 알려지지 않은 취약점(Zero-day)을 찾기 위해선 많은 시간과 기술이 소요된다. 대표적으로 취약점을 찾기 위한 방법으로 퍼징(Fuzzing)과 소스 오디팅(Source Auditing)이 존재하지만, 이러한 방법들은 랜덤 하게 크래쉬(Crash)를 발생시켜야 하고, 소스 코드가 존재해야만 분석 가능하다는 단점이 있다. 실시예들은 심볼릭 실행(Symbolic Execution)을 사용함으로써 100% 취약점을 찾을 수 있다. 실시예들은 최종적으로 대부분의 코드 커버리지(Code Coverage) 정보를 데이터베이스에 가지는 심볼릭 실행(Symbolic Execution)을 통하여 분석 속도를 최적화 하고 분석 정확도를 향상시킨다. 분석 정확도는 데이터베이스에 쌓인 분석 정보의 빅-데이터(Big-data)의 양에 비례해 향상될 수 있다.

도 1a는 일 실시예에 따른 협업 시스템을 설명하는 도면.
도 1b는 일 실시예에 따른 사용자 인터페이스를 설명하는 도면.
도 1c는 일 실시예에 따른 헤더 정보를 설명하는 도면.
도 2는 일 실시예에 따른 정적 분석 엔진의 동작을 설명하는 도면.
도 3은 일 실시예에 따른 동적 분석 엔진의 동작을 설명하는 도면.
도 4는 일 실시예에 따른 중앙 서버와 분석 서버의 동작을 설명하는 도면.
도 5는 일 실시예에 따른 유사도 분석 모듈의 동작을 설명하는 도면.
도 6은 일 실시예에 따른 함수 조사 모듈의 동작을 설명하는 도면.
도 7은 다른 실시예에 따른 유사도 분석 모듈의 동작을 설명하는 도면.
도 8은 또 다른 실시예에 따른 유사도 분석 모듈의 동작을 설명하는 도면.
도 9는 일 실시예에 따른 데이터베이스의 구조를 설명하는 도면.
도 10은 또 다른 실시예에 따른 유사도 분석 모듈을 설명하는 도면.
도 11은 일 실시예에 따른 SMT 엔트로피 생성 알고리즘을 설명하는 도면.

본 명세서에서 개시되어 있는 특정한 구조적 또는 기능적 설명들은 단지 실시예들을 설명하기 위한 목적으로 예시된 것으로서, 실시예들은 다양한 다른 형태로 실시될 수 있으며 본 명세서에 설명된 실시예들에 한정되지 않는다.

제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 이런 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 이해되어야 한다. 예를 들어 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 표현들, 예를 들어 "~간의에"와 "바로~간의에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 해당 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.

일 실시예에 따르면, 분석관에 의하여 구축된 분석 서버에서 소프트웨어 역 분석에 필요한 정적 데이터인 디스어셈블(disassemble), API 호출 정보, call stack, 파일 헤더, 임포트 주소 테이블(Import Address Table), 익스포트 주소 테이블(Export Address Table), 함수 커버리지, 분기 블록 데이터는 중앙 서버로 전송된다. 중앙 서버와의 연결을 통하여 분석 서버를 구축 하면 분석 환경을 계속 사용 할 수 있기 때문에, 분석 환경 구축에 필요한 시간이 단축된다.

중앙 서버는 분석 서버의 데이터를 전송 받아 데이터베이스(DB)에 저장 후 2차 데이터 연관 분석을 진행 하여 분석에 필요한 데이터들을 통합한다. 통합된 데이터가 쌓이면 향후 분석 시 비슷한 바이너리 간에 비교를 제공하고 이를 통해 분석 시 시너지 효과를 만들 수 있다. 그 후 중앙 서버의 홈페이지 및 클라이언트를 통해 분석관이 분석을 진행 하고, 분석된 블록에 대한 설명 및 디버깅 기록은 타 분석관에게 공유될 수 있다.

실시예들을 위한 주요 구성요소는 표 1과 같이 설명될 수 있다.

1. 정적 분석 엔진(Static Analysis Engine) 정적 정보를 수집 하는 기능으로 분석 소프트웨어는 해당 정보를 가져온다. 디스어셈블, 파일 헤더, IAT/EAT, API 호출 정보, 함수 블록 정보, 분기 블록 정보, 패킹 여부 의 정보를 수집하여 DB에 저장한다. 2. 동적 분석 엔진(Dynamic Analysis Engine) 동적 정보를 수집 하는 기능으로 Instruction 수행 여부 및 Point 라 하는 특정 정보(Call Stack, Register, Stack)를 수집하는 기능을 분석 시작 시 구동하여 실행정보를 DB에 저장하고 분석이 시작 된다. 동적 분석은 실시간으로 서버와 통신하는 에이전트 원격 디버거가 연동되어 DB에 저장된 실행 정보의 상태로 돌아가 당시 실행 환경을 재현한다. 뿐만 아니라 Taint Analysis가 제공 되어 특정 입력데이터에 대한 흐름 추적도 가능하다. pintool, qemu를 이용해 Just-in-time(JIT) 환경에서 운영체제와 아키텍처에 상관없이 특정 입력데이터가 어떤 코드 경로를 통해 변화되는지 파악 할 수 있다. (Taint Analysis) 또한 JIT환경에서 어셈 명령어를 중간 언어(Intermediate Representation)로 표현해 Branch Block에 대해서 Yices 기반의 SMT(특정 방정식에서 미지수를 도출 하는 소프트웨어) Slover로 코드 커버리지를 진행하며 SMT 수식을 해석한다. 이는 자동으로 취약점을 찾는데 있어 활용된다(Symbolic Execution). 하지만 Taint Analysis 기능과 Symbolic Execution은 실용화 하기엔 분석 속도가 느리다는 문제가 존재하여 아직까지 상용화된 소프트웨어는 없다. 분석 속도가 느린 이유는 코드 커버리지 시 불필요한 loop 다중 실행, 불필요한 Branch 측정 등의 문제가 존재하기 때문이다. 이를 해결하고자 Static Analysis Engine을 통해 얻은 정보를 분석관이 분석해 Function과 Branch에 대한 심볼정보, 필요 메소드 여부, input 과의 관계를 얻어내고 이러한 데이터를 다시 Binary Trace Engine에서 사용한다. 때문에 불필요한 Branch를 사전에 파악하고 코드 커버리지 테스트를 진행하기 때문에 분석 속도가 증가 하는 것 이다. 3. 협업 모듈 1,2번 모듈로 DB에 분석할 프로그램의 동적, 정적 정보가 들어가게 된다. 분석관은 이러한 정보를 통해 프로그램을 분석하고 주석 및 함수의 사용용도, 인자 정보, 구조체 등을 분석 하여 DB에 저장 후 타 분석관과 분석 정보를 공유 할 수 있다. 4. 유사도 분석 모듈 프로그램 간 함수 유사성, 2번(Binary Trace Engine) 모듈의 동적 정보, Branch 유사성, 3번(협업) 모듈로 쌓인 분석관의 분석 정보들을 이용해 타 프로그램 분석 시 기존에 분석된 정보들 부분은 분석을 하지 않게 된다. 이로써 분석 시간을 단축하고 각 프로그램들의 정보를 이용해 Binary Trace Engine 모듈의 코드 커버리지 시간을 단축시킨다.

이하, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.

도 1a는 일 실시예에 따른 협업 시스템을 설명하는 도면이다. 이하, 설명의 편의를 위하여 윈도우 기본 프로그램 notepad.exe를 분석한다고 가정한다. 도 1a를 참조하면, 일 실시예에 따른 협업 시스템의 동작은 표 2와 같이 설명될 수 있다.

-101 분석할 소프트웨어를 중앙 서버로 요청 한다. (분석관의 컴퓨터를 새로운 분석서버로 추가할 수 있다. 이 경우 분석관의 컴퓨터에 설치된 프로그램 분석도 가능하다.) (Notepad.exe를 중앙 서버로 전송한다.) -102 해당 소프트웨어를 분석할 수 있는 환경으로 파일을 전달한다. 또한 전달 시 동적 분석 옵션을 넘겨 주어 불필요한 분석을 줄여 분석 속도를 줄일 수 있다. (동적 분석 옵션의 예로 notepad.exe가 실행 시 관련 dll이 함께 실행되는데 이중 어떠한 실행 파일만을 로그로 남길 것인지 선택 하는 것이 가능하다.) -103 동적 분석(Binary Trace Engine)을 한다. (Notepad.exe를 분석서버에서 실행하여 실행 코드들을 저장한다.) [데이터 예시: 실행된 Offset, 실행된 Offset의 레지스터, 스택 상태, API 호출 정보] -104 동적 분석을 통해 나온 분석 정보를 중앙 서버로 전달한다. (Notepad.exe의 분석이 끝나 모든 데이터를 중앙서버로 전송한다. 위에 예시 데이터 전송한다.) -105 전달 받은 동적 분석 정보를 DB에 저장한다. (동적 정보를 DB 저장한다.) -106 정적 분석(Static Analysis Engine)을 한다. [데이터 예시: 함수 정보, Header 분석 정보] (정적 정보를 중앙서버에서 분석하여 DB에 저장한다.) (자세한 사항은 도6 참조) -107 DB에 존재하는 정적, 동적 분석 정보를 분석관에게 제공한다. (분석이 끝난 분석 정보를 사용자에게 웹으로 보여준다.) -108 분석관이 분석 정보가 부족할 시 추가 요청을 한다. (분석을 하다 정보가 부족할 시 분석 정보를 추가적으로 요청한다.) (특정 주소, 특정 레지스터, 스택 등 동적 분석에 관한 분석 정보 요청이 가능하다.) “ex)0x401003에서 eax를 추적” -109 분석관이 요청한 정보를 추가적으로 분석한다. (추가적으로 분석할 요청을 읽어 들인다.) -110 추가 분석을 요청한다. (분석서버에 사용자가 요청한 추가 분석을 재 요청한다.) -111 중앙 서버에서 전달 받은 추가 분석 옵션을 얻기 위해 동적 분석 한다. 소스 코드 단에서 추적하는 것이 아닌 실행 코드 상에서 변수를 추적한다. (기존의 Binary Trace Engine 과는 다르게 특정 변수만을 대상으로 추적하여 변수가 어떤 코드들을 거쳐가는지 분석한다. 이하, 전술한 분석 기법은 Taint Analysis 라고 지칭될 수 있다. 데이터 예시 “ex)거쳐간 명령 코드들, 변수의 변화, 관계된 변수”) -112 동적 분석 정보를 중앙 서버로 전달한다. 사용자가 요청한 관계된 변수, 거쳐간 명령코드들, 변수의 변화 등을 분석하여 끝나게 되면 분석 정보(스택, 거쳐간 어셈블리 명령어 등)를 중앙 서버로 전송한다. -113 요청한 추가 정보에 대해 제공한다. 해당 추가 정보를 사용자에게 웹으로 보여준다. -114 분석관이 분석에 필요한 모든 정보를 구했다면 분석을 종료한다. 분석이 완료되었다면 분석을 종료한다. -115 분석관이 분석한 코드 정보를 DB에 저장한다. 분석이 종료되며 코멘트나 주석 등은 DB에 저장된다.

도 1b는 일 실시예에 따른 사용자 인터페이스를 설명하는 도면이다. 도 1b를 참조하면, 일 실시예에 따른 사용자 인터페이스는 표 3과 같이 설명될 수 있다.

1. 함수 목록 분석 대상 프로그램의 함수 목록이다. Name은 함수의 주석으로 기존 DB에 저장되어 있는 Hash와 일치하면, 기존 DB로부터 Symbol명을 읽어와 Name 값으로 부여한다. Offset은 함수의 오프셋 이다. 2. 함수의 실제 코드 함수 목록에 표시된 함수들 중 어느 하나의 함수가 선택되면, 함수의 실제 코드가 표시된다. 함수의 실제 코드로 함수의 각 분기들을 기준으로 트리 형식으로 보여주고 있다. 3. 정보 뷰어 Execute: 동적 분석 결과를 가져온다. 사용자가 코드를 클릭하게 되면 이전에 실행하며 분석한 동적 분석 결과에서 당시 상태(레지스터, 스택, API 호출 정보) 정보를 가져와 사용자에게 보여준다. Xref: 대상 함수 및 분기에서 호출하거나 관련된 분기, 함수 정보를 보여준다. Disasm: 상세한 디스어셈블리 정보를 보여준다. 4. View Mode 현재 View모드는 Function View이므로 하나의 함수를 집중적으로 분석할 수 있는 Mode이다. Graph View는 하나의 함수를 분기별 트리 형식으로 보여준다. ALL View는 전체 코드를 보여준다. Hex는 Hex Editor형식으로 보여준다. Hex-Ray는 함수의 코드를 의사 코드(C++)형식으로 변환 하여 보여주게 된다. 5. 분석 그래프 어셈 명령개수, 연산자의 개수(ADD, XOR, OR), 실행 횟수 순으로 통계를 내어 분기별 분석 정보를 통계적으로 분석할 수 있다. x축은 분기별 분석 정보로, 선택된 함수에 대한 브랜치(branch) 블록들의 주소를 나타낼 수 있다. y축은 통계 정보(어셈 명령 개수, 연산자의 개수, 실행 회수 등)를 나타낸다.

도 1c는 일 실시예에 따른 헤더 정보를 설명하는 도면이다. 도 1c를 참조하면, 일 실시예에 따른 헤더 정보는 표 4와 같이 설명될 수 있다.

Hashs는 파일의 해쉬 값을 나타낸다. 파일간 유사도 분석, 파일의 고유키로 사용된다. File Type은 Crypto Type(패커, 프로텍터 사용 시 이름 유추), Binary Type은 컴파일러 정보, 빌드 정보(Visual C++11, gcc 등)를 나타낸다. Header Information은 파일의 헤더 정보를 알려준다. (NT Header, DOS Header등) Section은 파일의 섹션 정보를 알려준다. (.Text 등) DLL IAT는 대상 프로그램의 IAT, EAT 정보를 나타낸다.

도 2는 일 실시예에 따른 정적 분석 엔진의 동작을 설명하는 도면이다. 도 2를 참조하면, 일 실시예에 따른 정적 분석 엔진의 동작은 표 5와 같이 설명될 수 있다.

-201 실행파일 전송을 하여 Static Analysis를 시작한다. -202 Header가 PE/ELF 인지 조사 한다. -203 PE Header 라면 IAT, EAT를 추출 한다. IAT: Import Address Table, EAT: Export Address Table -204 함수 정보를 수집하기 위해 OEP를 추출 한다. OEP : Original Entry Point -205 함수 블록 정보 수집은 대상 프로그램의 함수로 추정되는 구간을 찾아내 Local Call List를 만드는 방식이며 Call Graph, Branch Graph를 쓰기 위해 사용된다. 도6 참조 -206 모든 블록이 조사 될 때까지 계속 분석을 한다. -207 수집된 정보는 중앙 서버 처리 모듈로 이동되어 중앙서버로 보내진다.

도 3은 일 실시예에 따른 동적 분석 엔진의 동작을 설명하는 도면이다. 동적 분석 엔진은 바이너리 추적 엔진(Binary Trace Engine)이라고 지칭될 수 있다. 도 3을 참조하면, 일 실시예에 따른 동적 분석 엔진의 동작은 표 6과 같이 설명될 수 있다.

Symbolic SMT(Satisfiability modulo theories 의 약자로 의사 결정 문제를 해결해주는 기법을 의미하는데 여기서 사용된 의미는 대상 프로그램을 수식화 시켜 미지수의 조건을 알아내는 용도로 쓰인다.) -301 분석 시작은 대상 프로그램을 Run 시킨다. -302 대상 프로그램의 명령 코드 수행 시 interrupt 가 발생한다. interrupt에 대한 부가 설명: 분석 대상 프로그램은 emulator에서 돌아간다. 따라서 어셈블리 명령이 실행될 때마다 emulator 에서 각 명령어를 처리하는 Handler함수의 코드가 실행되는데 이를 Interrput라 표기 하였다. -303 분석관이 지정해놓은 Point(Taint Analysis(입력 데이터), 추적 할 데이터가 현재 사용되었는지 확인)가 발생하였는지 확인한다. -304 추적한 값의 이동 및 분석관이 지정한 대상의 수정이 발생했다면 이동이 발생한 대상을 추적 대상에 추가 한다. -305 실행한 명령은 Instruction 해석기를 거쳐 해당 명령의 Symbolic SMT solver 함수를 호출 하여 수식화 시켜 방정식을 생성한다. (SMT는 코드를 수식화 시켜 방정식으로 만든다.) ADD의 명령의 경우 $result=$x+$x이런 방식의 식이 생성 된다. -306 프로그램이 종료되거나 예외가 발생한 경우 중앙 전송 모듈로 추적한 데이터를 전송한다.

도 4는 일 실시예에 따른 중앙 서버와 분석 서버의 동작을 설명하는 도면이다. 도 4를 참조하면, 일 실시예에 따른 중앙 서버와 분석 서버의 동작은 표 7과 같이 설명될 수 있다.

(SMT는 코드 커버리지 방향을 구하기 위해 어셈블리어를 방정식으로 변환하는 것을 의미 한다.) 도3과 마찬가지로 $result=$x+$x이런 방식의 방정식이 생성 된다. 여기서 코드 커버리지를 구하는 것은 (예시)if(i==0) else 이런 코드에서 i가 0이 되야 조건이 맞는다는 것을 알기 위해 방정식을 만든 것을 의미 한다. -401 프로젝트를 관리하는 모듈이다. 여기서 프로젝트란 분석관이 분석할 프로그램을 올려 협업 할 대상 프로그램의 업로드에 해당한다. 프로젝트를 생성하게 될 경우 ‘도면 1‘과 같은 흐름으로 분석이 시작된다. 중복 프로젝트는 업로드가 불가능하며 프로그램 분석 시작의 첫 작업이다. -402 프로젝트를 관리하는 DB이다. 프로젝트 열람 권한 및 분석 정보 공유에 참여한 사용자 등의 데이터가 존재한다. -403 분석서버에서 모인 동적 관련 정보들 [Hooking, System Call 호출 정보, Execute Block, Execute Call]이 모여 있는 DB 이다. -404 분석서버에서 모인 정적 관련 정보들 ‘도 2 참조’ 이 모여 있는 DB 이다. -405 전체 분석을 관리하는 스케줄 시스템 이다. 분석 정보 열람 및 유사도 분석 등을 하기 위해 이 모듈에 요청을 해야 하며 분석 서버로부터 분석 정보를 받거나 요청한다. 받은 정보는 (406) 유사도, (407) 서버 제어 모듈과 연동되어 (408)분석 정보 시각화 모듈에 출력된다. -406 유사도 분석을 하는 모듈이다. 유사도 검증 알고리즘은 ‘도 5참조’ 하고 유사도 매칭은 Symbolic SMT 모듈(411)을 통해 명령 빈도 및 함수의 특징을 추출 하여 계산한다. (아래 유사도 분석 관련 도면 참조) -407 분석 서버 제어 모듈이다. 분석 서버의 연결, 제어, 실시간 통신을 담당하여 분석관으로부터 분석 서버 Control을 하게 해준다. 또한 이 모듈은 여러 사용자가 붙어 정보를 공유 할 수 있고 (405) 모듈의 정적 분석 데이터와 연동하여 보는 것이 가능하다. -408 분석 정보를 시각화 하는 모듈로 (405) 모듈에서 분석할 프로그램의 정보를 받아와 함수 그래프, 시각화를 하여 사용자에게 제공된다. 또한 검색, 주석 같은 분석관이 분석 한 정보를 저장 할 경우 (405) 모듈로 전송되어 DB에 저장 된다. -409 실시간 디버거 모듈로 중앙 서버와 통신하여 실시간으로 디버거 제어를 하고 Trace 하는 역할을 한다. 분석관이 중앙 서버를 통해 제어를 할 경우 디버거의 상황을 서버에 전송 한다. -410 실제 디버거로 Register, Stack, Memory Map, Call Stack 등 분석할 프로그램의 동적 정보를 제공한다. 또한 Trace 모듈과 연동되어 특정 데이터를 추적 하거나 실행 영역만을 Log로 남기게 된다. -411 Symbolic SMT 모듈로 각 Instruction을 SMT로 Symbol 화 하여 함수를 방정식으로 만든 후 그 방정식을 풀어 명제 변수의 값을 조사 하는 기능을 하게 된다. 또한 Symbol 화 된 함수를 서버로 전송하여 architecture 나 platform에 종속 받지 않고 (406)유사도 검증을 할 수 있게 도와준다. -412 Binary Trace 모듈로 ‘도3 참조’ (409)실시간 디버거 제어 모듈과 연동되어 (Taint Analysis)특정 데이터를 추적하거나 실행 영역만을 Logging 하는 역할을 한다. -413 동적 분석을 하는 모듈로 (410) 디버거에서 얻은 정보 및 Hooking 과 System Call 정보를 수집 하는 역할을 한다. -414 정적 분석을 하는 모듈(도 2 참조)로 disassemble, API 호출 정보, call stack, 파일 헤더, IAT/EAT, 함수 커버리지, 분기 블록 데이터 정보를 수집하는 역할을 한다. -415 중앙 서버 전송 모듈로 JSON 형태로 (413)동적 분석 및 (414)정적 분석에서 수집된 분석 정보를 가지고 중앙 서버로 전송 하게 된다.

도 5는 일 실시예에 따른 유사도 분석 모듈의 동작을 설명하는 도면이다. 도 5를 참조하면, 일 실시예에 따른 유사도 분석 모듈의 동작은 표 8과 같이 설명될 수 있다.

501,502단계에서 사용자에 의하여 프로그램 유사도 검증이 선택 된다. -501 프로그램 유사도 검증을 선택한다. -502 현재 분석하는 프로그램에서 유사분석 할 함수를 선택한다. -503 기존 DB에 유사 함수가 존재 하는지 확인한다. 유사 함수 또한 다른 분석 대상 프로그램의 정적 분석에서 나온 함수이다. -504 Symbolic SMT 로 명령 빈도 (명령 빈도는 미리 모든 어셈 명령에 대한 명령 타입을 지정해놓는다.) 및 명제 변수로 저장된 DB와 선택한 함수를 마찬가지로 Symbolic으로 만들어 명령 타입의 일치도, 명령의 대상 및 명제 변수의 유사 점수를 통해 조사 한다. 빈도수 기반 탐색 결과 일치 결과가 없을 경우 재 분석을 하고 DB의 모든 함수에 대한 매칭이 끝나면 유사도 분석도 종료 자료형, 위치 대상(Reg, MeM, Const), 명령 타입의 순서로 조사 하게 된다. (SMT는 코드 커버리지 방향을 구하기 위해 어셈블리어를 방정식으로 변환하는 것을 의미 한다.) -505 그 유사 함수를 찾았을 때 찾은 정보에 대해 반환 하여 같은 함수로써 인식하게 한 후 분석 DB에 심볼 명, 함수에 대한 분석 코멘트 등을 재정의 한다.

도 6은 일 실시예에 따른 함수 조사 모듈의 동작을 설명하는 도면이다. 도 6을 참조하면, 일 실시예에 따른 함수 조사 모듈의 동작은 표 9와 같이 설명될 수 있다.

-601 Static Analysis Engine에서의 함수 정보 수집에 해당됨. 함수 조사 시 크게 2가지 정보를 갖게 되는데 첫 번째로 함수 목록, 함수내의 Branch Block 목록을 수집한다. -602 OEP(Original Entry Point)에서부터 디스어셈블리를 가지고 start 함수라고 가정 후 분석을 시작한다. -603 Branch 즉 EIP가 바뀌는 어셈블리 명령어가 호출된 것을 말함. 따라서 (JMP, CALL)등등 발생하였을 때 605(조건 분기 검사)로 넘어가고 분기가 아니라면 코드를 함수와 블록의 일부로 저장하게 된다. -604 현재 분석 하고 있는 블록, 함수에 어셈블리 코드를 저장한다. -605 조건 분기 즉 (EFLAG)특정 조건이 맞을 때 발생하는 어셈 명령을 뜻한다. 따라서 조건 분기가 아니라면 대상 블록을 종결 됐다고 판정 후 분기가 Short 인지 Long Type인지 검사하여 종결 판단을 수행한다. -606 분석을 빠르게 하기 위해 함수 분석 노드가 생겨날 때 그것을 Thread로 관리한다. -607 또 다른 추적 Branch Block 정보를 생성한다. Branch Block: 분기와 관련된 코드를 기준으로 각 코드들 모아 하나의 분기 블록으로 인식한다. -608 더 이상 추적하는 Branch Block이 없을 때 함수가 완성되었다고 판단 하는 작업을 수행한다. -609 함수 내에서 호출된 Offset을 기준으로 새로운 함수를 생성하는 역할을 수행한다.

도 7은 다른 실시예에 따른 유사도 분석 모듈의 동작을 설명하는 도면이다. 도 7을 참조하면, 다른 실시예에 따른 유사도 분석 모듈의 동작은 표 10과 같이 설명될 수 있다.

-701 프로그램 유사도 검증을 선택한다. -702 현재 분석하는 프로그램에서 유사분석 할 함수를 선택한다. -703 기존 DB에 유사 함수가 존재 하는지 확인한다. -704 DB에 저장된 함수의 Branch Block을 가져와 분석하려는 함수의 Branch Block과의 유사도를 비교 한다. 유사도 비교 방식은 각 Block의 Hash, Entropy를 구하여 비교한다. Entropy를 구하는 알고리즘은 어셈블리어의 명령타입, 오퍼랜드의 타입으로 구하게 된다. 예시)mov eax, ebx, add eax, 3 [mov: 4, add: 10, eax: 10, 상수: 5] mov eax, 3 = 4105 Branch Block: 분기와 관련된 코드를 기준으로 각 코드들 모아 하나의 분기 블록으로 인식한다. -705 그 유사 함수를 찾았을 때 찾은 정보에 대해 반환 하여 같은 함수로써 심볼 정보를 공유한다.

도 8은 또 다른 실시예에 따른 유사도 분석 모듈의 동작을 설명하는 도면이다. 도 8을 참조하면, 또 다른 실시예에 따른 유사도 분석 모듈의 동작은 표 11과 같이 설명될 수 있다.

-801 프로그램 유사도 검증을 선택한다. -802 현재 분석하는 프로그램에서 유사분석 할 함수가 자동 선택된다. -803 기존 DB에 유사 함수의 주석이 존재 하는지 확인한다. (분석할 때는 함수의 Hash정보를 기준으로 검색한다.) -804 DB에 존재한다면 저장된 주석 정보를 가져온다. -805 주석을 가져왔다면 동일 함수로 인식하고 주석이 없다면 사용자가 입력한 새로운 주석을 저장한다.

도 9는 일 실시예에 따른 데이터베이스의 구조를 설명하는 도면이다. 도 9를 참조하면, 일 실시예에 따른 데이터베이스의 구조는 표 12와 같이 설명될 수 있다.

Analysis Option - 분석에 필요한 옵션들을 정의 한다. -911 소프트웨어의 Hash정보를 저장 한다. 소프트웨어를 식별하기 위함이다. -912 소프트웨어의 파일명을 저장 한다. [파일명을 다르지만 Hash가 같은 경우 존재] -913 프로젝트 정보를 저장 한다. [데이터 예시: 프로젝트 명, 분석 인원, 프로젝트 메인 이미지] -914 분석 서버의 정보를 저장 한다. [데이터 예시: IP, OS Type, Debugger 사용 여부] Static Analysis - 정적 정보를 저장 한다. -921 파일의 Header 정보 [데이터 예시: Header Type(ELF, PE, APK), NT Header, IAT, EAT] -922 함수 정보를 저장 한다. [데이터 예시: 함수의 Offset, 함수 심볼 명, 함수 Arg, 함수 Return 정보] -923 Branch Block 저장 한다. [데이터 예시: Branch 심볼 명, Branch Entropy, Branch Hash, Branch 범위] -924 함수 Reference 저장 한다. [데이터 예시: 부모 함수, 자식 함수] -925 Branch Block Reference 저장 한다. [데이터 예시: 부모 Block, 자식 Block] -926 디스어셈블리 저장 한다. [데이터 예시: 명령어 타입(데이터 이동), 명령어 (MOV), Argument (EAX), Read/Write 여부] -927 String 정보 저장 한다. [데이터 예시: 한국어 string 개수, 영어 string 개수, string] -928 Crypto 정보 저장 한다. [데이터 예시: 패킹 정보(Unpacker)] -929 Resource 저장 한다. [데이터 예시: 리소스 Number, 리소스 Name, 리소스 Data] Dynamic Analysis - 동적 정보를 저장 한다. -931 실행하며 로드 한 DLL을 저장 한다. [데이터 예시: DLL 명, DLL Image Base] -932 실행하며 호출한 API를 저장 한다. [데이터 예시: API 명, API Argument(buf = “C:\\”), API return value, 호출 위치] -933 Execute offset 실행하며 offset을 구하고 그 offset의 인자들을 가져온다. (인자는 예를 들어 MOV, EAX, 0x3 일 경우 EAX 와 0x3의 값을 저장한다.) [데이터 예시: Offset, Argument Value(EAX=0x401000, 0x3)] -934 실행하며 Call 명령을 사용했을 때 저장한다. [데이터 예시: 호출할 offset, 호출된 offset] -935 추가 분석 기능인 Taint Analysis에서 나오는 데이터를 저장 한다. [데이터 예시: 거쳐간 Offset 저장, Value의 변화] (Taint Analysis 는 실행하며 특정 데이터를 추적하는 기법을 의미한다.) -936 실행하며 생성된 SMT 정보를 저장 한다. [데이터 예시: 수식, 수식의 결과 값] (SMT는 코드 커버리지 방향을 구하기 위해 어셈블리어를 방정식으로 변환하는 것을 의미 한다.) -937 Debugger의 상태를 저장한다. [데이터 예시: Debugger 종류, Debugger 상태] -938 분석관이 실행한 Debugger Command를 저장한다. [데이터 예시: Step Over, 2015-04-03 54:22:10] 유사도 분석 -941 기존에 발견된 취약점 패턴을 저장 한다. [데이터 예시: CVE 이름, 취약점의 SMT, 취약점 종류(Buffer Over Flow), 디스어셈블리어 Entropy] -942 분석관이 분석하며 달게 된 함수의 Comment를 저장한다. [데이터 예시: 함수 ID, 함수 분석 정보] -943 사용자가 조회한 유사도 분석에 대해서 저장한다. [데이터 예시: 유사도 분석 알고리즘의 종류, 유사도 결과] -944 Branch Comment 사용자가 Branch Block에 저장한 주석을 저장한다. [데이터 예시: Offset, 코멘트(문자열 분석 함수)] -945 연관도 분석과 관련된 로그를 저장한다. [데이터 예시: 2015-04-03-01 notepad.exe, calc.exe 를 분석한다.] -406 SMT (SMT는 코드 커버리지 방향을 구하기 위해 어셈블리어를 방정식으로 변환하는 것을 의미 한다.) 의 엔트로피를 구해 저장한다.

도 10은 또 다른 실시예에 따른 유사도 분석 모듈을 설명하는 도면이다. 도 10을 참조하면, 또 다른 실시예에 따른 유사도 분석 모듈은 표 13과 같이 설명될 수 있다.

-1001 유사도를 분석할 SMT를 선택 한다. [데이터 예시: SMT 정보] -1002 유사도를 분석 할 함수 선택 한다. (사용자 & 자동 선택) -1003 선택된 함수의 SMT정보 존재 여부를 확인 한다. -1004 SMT Entropy 비교 SMT Entropy 생성 알고리즘은 도11 참조 예시)각 Entropy간 -를 해 오차범위+- 10단위로 비교를 한다. 예) 함수에 여러 개의 Branch Block(분기 블록)이 존재하고 이에 어셈 명령어들은 SMT로 만들어져 있다. (541313(xor eax, eax)…) 이러한 SMT정보를 선택한 함수의 어셈 명령어 SMT를 추출해 2자리씩 잘라 비교 한다. 54 = 53 = -1 이런 식으로 비교 하는데 비슷한 성질을 가진 연산자끼리는 비슷한 타입 코드를 가지고 있기 때문에 결과적으로 유사한 SMT를 구할 수 있다.) -1005 일치한다면 True -1006 일치하지 않는다면 False

도 11은 일 실시예에 따른 SMT 엔트로피 생성 알고리즘을 설명하는 도면이다. 도 11을 참조하면, 일 실시예에 따른 SMT 엔트로피 생성 알고리즘은 표 14와 같이 설명될 수 있다.

SMT는 실행코드를 수식화 하기 위해 코드를 방정식화 하는 작업을 의미 한다. -1101 SMT Entropy를 생성할 함수를 선택 한다. -1102 SMT의 존재 여부를 확인 한다. -1103 SMT의 Operand(연산자 타입)을 미리 정의 해둔 Type Code로 변환 한다. xor : 54 , add : 23 비슷한 성질을 가진 연산자끼리는 비슷한 타입 코드를 가지고 있다. -1104 SMT의 Argument(연산 대상)을 미리 정의 해둔 Type Code로 변환 한다. int형 변수 : 30 , 상수 : 23 -1105 102, 103에서 생성된 Type코드를 취합하여 반환 한다. (반환 되는 엔트로피의 예시는 54233023 이런 식으로 제작된다.) -1106 정의 되지 않은 Type Code일 경우 False

이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.

이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.

Claims (14)

1. 소프트웨어의 역 분석을 위한 중앙 서버의 동작 방법에 있어서,
   상기 소프트웨어의 역 분석 요청을 수신하는 단계;
   상기 소프트웨어에 대한 정적 분석을 수행함으로써, 함수 블록 정보를 포함하는 정적 분석 정보를 생성하는 단계;
   미리 설정된 실행 환경을 재현하는 분석 서버로 상기 소프트웨어에 대한 동적 분석을 요청하는 단계;
   상기 분석 서버로부터 동적 분석 정보를 수신하는 단계; 및
   상기 정적 분석 정보 및 상기 동적 분석 정보를 데이터베이스에 저장하는 단계
   를 포함하고,
   상기 정적 분석 정보를 생성하는 단계는,
   상기 소프트웨어의 분석 대상 함수의 명령어 빈도수. 상기 분석 대상 함수의 분기와 관련된 코드를 기준으로 각 코드들을 하나로 인식한 분기 블록, 및 상기 분석 대상 함수의 SMT를 이용하여 SMT 엔트로피를 구하는 단계;
   상기 명령어 빈도수, 분기 블록, 및 SMT 엔트로피에 기초하여 상기 분석 대상 함수 및 상기 데이터베이스에 저장된 함수 사이의 유사도를 결정함으로써 상기 분석 대상 함수와 유사한 함수의 분석 정보가 상기 데이터베이스에 저장되어 있는지 판단하는 단계; 및
   상기 유사한 함수의 분석 정보에 기초하여, 상기 분석 대상 함수의 분석 정보를 생성하는 단계
   를 포함하는,
   중앙 서버의 동작 방법.
   
2. 제1항에 있어서,
   상기 소프트웨어는 소스 코드가 아닌 실행 파일에 해당하는,
   중앙 서버의 동작 방법.
   
3. 제1항에 있어서,
   상기 정적 분석 정보를 생성하는 단계는
   상기 소프트웨어에 포함된 복수의 함수 구간들을 추정함으로써, 지역 호출 리스트(Local Call List)를 생성하는 단계
   를 포함하는,
   중앙 서버의 동작 방법.
   
4. 제1항에 있어서,
   상기 정적 분석 정보를 생성하는 단계는
   상기 소프트웨어의 헤더의 유형을 판단하는 단계;
   상기 헤더의 유형에 따라, 상기 헤더로부터 IAT 및 EAT를 추출하는 단계;
   상기 헤더로부터 OEP를 추출하는 단계; 및
   상기 OEP에 기초하여 상기 소프트웨어에 포함된 함수 블록들을 조사함으로써, 상기 함수 블록 정보를 획득하는 단계
   를 포함하는,
   중앙 서버의 동작 방법.
   
5. 제1항에 있어서,
   상기 분석 서버는
   상기 정적 분석 정보에 기초하여 불필요한 분기(branch)에 대한 정보를 획득하고, 상기 획득된 정보에 기초하여 상기 소프트웨어에 대한 코드 커버리지를 수행함으로써 상기 소프트웨어의 SMT 수식을 해석하는,
   중앙 서버의 동작 방법.
   
6. 제1항에 있어서,
   상기 동적 분석 정보는
   특정 입력 데이터에 대한 흐름 추적을 포함하는,
   중앙 서버의 동작 방법.
   
7. 삭제
8. 삭제
9. 소프트웨어의 역 분석을 위한 분석 서버의 동작 방법에 있어서,
   중앙 서버로부터 상기 소프트웨어의 동적 분석 요청을 수신하는 단계;
   상기 중앙 서버로부터 상기 소프트웨어의 정적 분석 정보를 수신하는 단계;
   데이터베이스로부터 미리 설정된 실행 환경을 획득하는 단계; 및
   상기 정적 분석 정보 및 상기 미리 설정된 실행 환경에 기초하여 상기 소프트웨어의 동적 분석을 수행함으로써, 동적 분석 정보를 생성하는 단계
   를 포함하고,
   상기 정적 분석 정보는,
   상기 중앙 서버에서, 상기 소프트웨어의 분석 대상 함수의 명령어 빈도수. 상기 분석 대상 함수의 분기와 관련된 코드를 기준으로 각 코드들을 하나로 인식한 분기 블록, 및 상기 분석 대상 함수의 SMT를 이용하여 SMT 엔트로피를 구하고,
   상기 명령어 빈도수, 분기 블록, 및 SMT 엔트로피에 기초하여 상기 분석 대상 함수 및 상기 중앙 서버의 데이터베이스에 저장된 함수 사이의 유사도를 결정함으로써 상기 분석 대상 함수와 유사한 함수의 분석 정보가 상기 중앙 서버의 데이터베이스에 저장되어 있는지 판단하고,
   상기 유사한 함수의 분석 정보에 기초하여, 상기 분석 대상 함수의 분석 정보를 생성함으로써 생성되는,
   분석 서버의 동작 방법.
   
10. 제9항에 있어서,
    상기 소프트웨어는 소스 코드가 아닌 실행 파일에 해당하는,
    분석 서버의 동작 방법.
    
11. 제9항에 있어서,
    상기 동적 분석을 수행하는 단계는
    상기 정적 분석 정보에 기초하여 불필요한 분기(branch)에 대한 정보를 획득하는 단계; 및
    상기 획득된 정보에 기초하여 상기 소프트웨어에 대한 코드 커버리지를 수행함으로써 상기 소프트웨어의 SMT 수식을 해석하는 단계
    를 포함하는,
    분석 서버의 동작 방법.
    
12. 제9항에 있어서,
    상기 동적 분석을 수행하는 단계는
    상기 소프트웨어의 명령어(instruction)를 수행하는 단계;
    미리 정해진 포인트가 발생하였는지 판단하는 단계;
    상기 미리 정해진 포인트에 대한 정보를 저장하는 단계;
    상기 명령어를 수식화하여 방정식 정보를 생성하는 단계; 및
    상기 미리 정해진 포인트에 대한 정보 및 상기 방정식 정보를 상기 데이터베이스에 저장하는 단계
    를 포함하는,
    분석 서버의 동작 방법.
    
13. 제9항에 있어서,
    상기 동적 분석 정보는
    특정 입력 데이터에 대한 흐름 추적을 포함하는,
    분석 서버의 동작 방법.
    
14. 하드웨어와 결합되어 제1항 내지 제6항 및 제9항 내지 제13항 중 어느 하나의 항의 방법을 실행시키기 위하여 매체에 저장된 컴퓨터 프로그램.

Images