KR101861952B1 - 소프트웨어 브레이크 포인트를 무력화시키기 위한 안티 디버깅 방법 및 장치 - Google Patents
소프트웨어 브레이크 포인트를 무력화시키기 위한 안티 디버깅 방법 및 장치 Download PDFInfo
- Publication number
- KR101861952B1 KR101861952B1 KR1020170011824A KR20170011824A KR101861952B1 KR 101861952 B1 KR101861952 B1 KR 101861952B1 KR 1020170011824 A KR1020170011824 A KR 1020170011824A KR 20170011824 A KR20170011824 A KR 20170011824A KR 101861952 B1 KR101861952 B1 KR 101861952B1
- Authority
- KR
- South Korea
- Prior art keywords
- point
- instruction
- debugging
- interrupt
- detected
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000003780 insertion Methods 0.000 claims abstract description 6
- 230000037431 insertion Effects 0.000 claims abstract description 6
- 238000001514 detection method Methods 0.000 claims description 11
- 230000006870 function Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/14—Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/362—Software debugging
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Security & Cryptography (AREA)
- Debugging And Monitoring (AREA)
Abstract
소프트웨어 브레이크 포인트를 무력화시키기 위한 안티 디버깅 방법 및 장치가 개시된다. 본 발명의 일 실시예에 따른 안티 디버깅 방법은 대상 프로그램에 대해 미리 설정된 디버깅 예상 지점의 원본 명령어를 저장하는 단계; 상기 대상 프로그램에 인터럽트 명령어의 삽입 여부를 탐지하는 단계; 및 상기 인터럽트 명령어의 삽입이 탐지되면 상기 탐지된 인터럽트 명령어를 해당 지점에 대해 미리 저장된 원본 명령어로 대체하는 단계를 포함한다.
Description
본 발명은 안티 디버깅 기술에 관한 것으로서, 보다 구체적으로 소프트웨어 브레이크 포인트를 무력화(또는 차단)시킬 수 있는 안티 디버깅 방법 및 장치에 관한 것이다.
안티 디버깅이란 타겟 소프트웨어가 디버깅을 당하고 있을 경우에 알고리즘 또는 모듈이 분석 당하지 않도록 에러를 발생시키거나 프로그램의 흐름을 정상적이지 않은 방향으로 흘러가게 하는 방법이다.
안티 디버깅 기법 중 하나인 modified code detection 기법은 코드의 변경사항을 체크하는 방법으로, 체크섬 비교 등으로 소프트웨어 브레이크 포인트의 탐지가 가능하다.
소프트웨어 브레이크 포인트를 탐지하는 방법은 ARM 아키텍처(Advanced RISC Machine architecture)의 동적 분석을 방해하기 위한 안티 디버깅 기법 중 하나로, 소프트웨어 브레이크 포인트를 탐지하는 방법에서는 탐지에 초점이 맞춰져 있고 이후의 처리는 단순히 프로그램을 중지시키거나 실행흐름을 바꾸는 것이 전부이며 브레이크 포인트 자체를 무력화시키는 기법은 사용되지 않고 있다.
여기서, 소프트웨어 브레이크 포인트는 원본 명령어에 직접 인터럽트 명령어(0xCC)를 삽입하여 실행 루틴을 디버거로 넘기는 방식으로 동작한다.
따라서, 소프트웨어 브레이크 포인트를 무력화시킬 수 있는 방법의 필요성이 요구된다.
본 발명의 실시예들은, 소프트웨어 브레이크 포인트를 무력화시킬 수 있는 안티 디버깅 방법 및 장치를 제공한다.
본 발명의 일 실시예에 따른 안티 디버깅 방법은 대상 프로그램에 대해 미리 설정된 디버깅 예상 지점의 원본 명령어를 저장하는 단계; 상기 대상 프로그램에 인터럽트 명령어의 삽입 여부를 탐지하는 단계; 및 상기 인터럽트 명령어의 삽입이 탐지되면 상기 탐지된 인터럽트 명령어를 해당 지점에 대해 미리 저장된 원본 명령어로 대체하는 단계를 포함한다.
상기 원본 명령어로 대체하는 단계는 SVC 명령어를 이용한 시스템콜을 사용하여 상기 해당 지점의 쓰기 권한을 부여한 후 상기 탐지된 인터럽트 명령어를 상기 해당 지점에 대해 미리 저장된 원본 명령어로 대체할 수 있다.
상기 원본 명령어로 대체하는 단계는 시스템 함수를 사용하여 상기 해당 지점의 쓰기 권한을 부여한 후 상기 탐지된 인터럽트 명령어를 상기 해당 지점에 대해 미리 저장된 원본 명령어로 대체할 수 있다.
상기 원본 명령어를 저장하는 단계는 상기 디버깅 예상 지점의 원본 명령어를 해시값과 함께 맵 테이블에 저장할 수 있다.
상기 디버깅 예상 지점은 시스템 콜, 함수 콜, 리턴 지점, if문과 while문을 포함하는 분기문의 진입 지점과 종료 지점을 포함할 수 있다.
본 발명의 일 실시예에 따른 안티 디버깅 장치는 대상 프로그램에 대해 미리 설정된 디버깅 예상 지점의 원본 명령어를 저장하는 저장부; 상기 대상 프로그램에 인터럽트 명령어의 삽입 여부를 탐지하는 탐지부; 및 상기 인터럽트 명령어의 삽입이 탐지되면 상기 탐지된 인터럽트 명령어를 해당 지점에 대해 미리 저장된 원본 명령어로 대체하는 대체부를 포함한다.
상기 대체부는 SVC 명령어를 이용한 시스템콜을 사용하여 상기 해당 지점의 쓰기 권한을 부여한 후 상기 탐지된 인터럽트 명령어를 상기 해당 지점에 대해 미리 저장된 원본 명령어로 대체할 수 있다.
상기 대체부는 시스템 함수를 사용하여 상기 해당 지점의 쓰기 권한을 부여한 후 상기 탐지된 인터럽트 명령어를 상기 해당 지점에 대해 미리 저장된 원본 명령어로 대체할 수 있다.
상기 저장부는 상기 디버깅 예상 지점의 원본 명령어를 해시값과 함께 맵 테이블에 저장할 수 있다.
상기 디버깅 예상 지점은 시스템 콜, 함수 콜, 리턴 지점, if문과 while문을 포함하는 분기문의 진입 지점과 종료 지점을 포함할 수 있다.
본 발명의 실시예들에 따르면, 소프트웨어 브레이크 포인트를 무력화시킴으로써, 분석가에 의해 이미 분석된 지점이더라도 그 지점까지 바로 이동하지 못하게 되어 다시 처음부터 일일이 따라가며 분석할 수밖에 없게 되고, 따라서 분석가의 역공학을 방지할 수 있다.
도 1은 본 발명의 일 실시예에 따른 안티 디버깅 방법에 대한 동작 흐름도를 나타낸 것이다.
도 2는 본 발명의 일 실시예에 따른 안티 디버깅 방법을 설명하기 위한 예시도를 나타낸 것이다.
도 3은 동적 디버깅 툴을 이용한 본 발명에 따른 방법을 설명하기 위한 예시도를 나타낸 것이다.
도 4는 본 발명의 일 실시예에 따른 안티 디버깅 장치에 대한 구성을 나타낸 것이다.
도 2는 본 발명의 일 실시예에 따른 안티 디버깅 방법을 설명하기 위한 예시도를 나타낸 것이다.
도 3은 동적 디버깅 툴을 이용한 본 발명에 따른 방법을 설명하기 위한 예시도를 나타낸 것이다.
도 4는 본 발명의 일 실시예에 따른 안티 디버깅 장치에 대한 구성을 나타낸 것이다.
이하, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 또한, 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
본 발명의 실시예들은, 소프트웨어 브레이크 포인트를 무력화(또는 차단)시킬 수 있는 기술을 제공하는 것을 그 요지로 한다.
여기서, 본 발명은 브레이크 포인트에 의해 원본 명령어에 직접 삽입되는 인터럽트 명령어(0xCC)를 탐지하여 해당 지점의 인터럽트 명령어를 원래의 원본 명령어로 대체함으로써, 소프트웨어 브레이크 포인트를 무력화(또는 차단)시킬 수 있다.
나아가, 본 발명은 ARM 아키텍처 역공학 방해를 위하여 소프트웨어 브레이크 포인트를 무력화시키는 방법 및 장치를 제공할 수 있다.
도 1은 본 발명의 일 실시예에 따른 안티 디버깅 방법에 대한 동작 흐름도를 나타낸 것이다.
도 1을 참조하면, 본 발명에 따른 안티 디버깅 방법은 대상 프로그램에 대하여 디버깅 예상 지점의 원본 명령어를 사전에 미리 저장한다(S110).
여기서, 단계 S110은 디버깅 예상 지점의 원본 명령어를 해시값과 함께 맵 테이블에 저장할 수 있으며, 단계 S110에서의 디버깅 예상 지점은 인터럽트 명령어가 삽입될 수 있는 지점으로, 시스템 콜, 함수 콜, 리턴 지점, if문과 while문을 포함하는 분기문의 진입 지점과 종료 지점 등을 포함할 수 있다.
물론, 본 발명에서의 디버깅 예상 지점은 본 발명을 제공하는 개인 또는 사업자에 의해 결정될 수 있으며, 바람직하게는 인터럽트 명령어가 직접 삽입될 수 있는 지점일 수 있다.
단계 S110에 의해 대상 프로그램에서 디버깅 예상 지점에 대한 원본 명령어가 맵 테이블에 저장된 후 대상 프로그램 실행 도중 소프트웨어 브레이크 포인트 기법에 의해 인터럽트 명령어가 삽입되어 있는지 그 삽입 여부를 탐지한다(S120).
여기서, 단계 S120은 인터럽트 명령어를 탐지할 수 있는 다양한 기법을 이용하여 대상 프로그램에 삽입된 인터럽트 명령어를 탐지할 수 있으며, 인터럽트 명령어를 탐지하는 방식은 이 기술 분야에 종사하는 당업자라면 알 수 있기에 그 설명은 생략한다.
단계 S120에 의해 대상 프로그램에 인터럽트 명령어가 삽입된 것으로 탐지되면 인터럽트 명령어가 삽입된 해당 지점에 대한 원본 명령어를 확인하고, 해당 지점의 인터럽트 명령어를 확인된 원본 명령어로 대체함으로써, 소프트웨어 브레이크 포인트에 의해 대상 프로그램에 삽입된 인터럽트 명령어를 무력화시킬 수 있다(S130, S140).
이와 같이, 본 발명에 따른 방법은 사전에 자주 사용되는 디버깅 예상 지점의 명령어를 맵 테이블에 해시값과 함께 저장해 놓고, 실행 도중 브레이크 포인트가 탐지되면 저장해 놓은 원본 명령어를 다시 덮어쓰는 방법으로 브레이크 포인트를 무력화시킬 수 있다.
도 2는 본 발명의 일 실시예에 따른 안티 디버깅 방법을 설명하기 위한 예시도를 나타낸 것으로, 도 2a에 도시된 바와 같이, 본 발명에 따른 안티 디버깅 방법은 소프트웨어 브레이크 포인트의 특성을 역이용하여 인터럽트 명령어의 삽입이 탐지되었을 경우, 해당 인터럽트 명령어를 다시 원본 명령어로 덮어씀으로써 인터럽트 명령어를 무효화 시킬 수 있다. 즉, 해당 지점의 인터럽트 명령어 0xCC를 원본 명령어로 덮어씌워 0xCC를 지움으로써, 브레이크 포인트를 무효화시킬 수 있다.
여기서, 소프트웨어 브레이크 포인트는 원본 명령어에 직접 인터럽트 명령어(0xCC)를 삽입하여 프로그램의 실행을 잠시 멈추어 분석가의 디버깅을 돕는 방법으로, 본 발명에서는 원본 명령어를 저장해 두었다가 프로그램의 재동작하기 전에 다시 원본 번지에 복구시킬 수 있다.
일반적으로 코드영역이나 데이터영역은 쓰기 권한이 없기 때문에 해당 영역에 데이터를 쓰려고 하면 세그먼트 폴트가 발생하며 동작이 멈추게 된다. 따라서, 본 발명에서는 mprotect()라는 시스템 함수를 사용하여 먼저 해당 영역의 쓰기 권한을 부여한 후 원본 명령어를 덮어써야 올바르게 동작하게 된다.
나아가, 본 발명에서는 mprotect()함수를 직접적으로 사용하는 것이 후킹 등에 탐지 될 가능성이 있기 때문에 SVC 명령어를 이용한 시스템 콜을 사용함으로써, 인터럽트 명령어에 원본 명령어를 덮어씌울 수 있다. 물론, 후킹 등의 탐지 등을 고려하지 않는 다면 mprotect()함수를 직접적으로 사용하여 해당 영역의 쓰기 권한을 부여한 후 원본 명령어를 덮어씌울 수도 있고, SVC 명령어를 이용한 시스템 콜을 사용하여 해당 영역의 쓰기 권한을 부여한 후 인터럽트 명령어에 원본 명령어를 덮어씌울 수도 있다.
예컨대, 도 2b에 도시된 바와 같이 브레이크 포인트가 탐지되면 SVC 명령어를 이용하여 시스템 함수를 호출하여 브레이크 포인트가 탐지된 코드 영역 0x100 번지의 쓰기 권한을 설정하고, 0x100 번지의 원본 명령어1을 쓰기 권한이 부여된 0x100 번지에 덮어씌움으로써, 0x100 번지에서 탐지된 인터럽트 명령어를 원본 명령어 1로 대체하고, 이를 통해 브레이크 포인트를 무효화할 수 있다.
도 3은 동적 디버깅 툴을 이용한 본 발명에 따른 방법을 설명하기 위한 예시도를 나타낸 것으로, 동적 디버깅 툴인 IDA를 이용하여 테스트 앱을 동적으로 실행시키고 본 발명에 따른 방법을 확인한 것이다.
도 3에 도시된 빨간색으로 칠해진 라인은 IDA상에서 소프트웨어 브레이크 포인트가 걸린 지점으로, 특정 영역에서 F2를 누름으로써, 브레이크 포인트를 삽입/제거 할 수 있다.
먼저, 0x5D983DF6번지에 브레이크 포인트를 걸어놓고 레지스터를 이용하여 해당 번지의 값을 동작 과정 중에 변경함으로써, 실행 중 0x5D983DF6번지에서 프로그램이 중지하지 않고 넘어가 0x5D983DFA번지에서 멈추도록 만든 것이다.
도 3a는 시스템 함수 호출 전 상황을 보여준 것으로, R7레지스터에는 mprotect() 함수를 호출하기 위해 7D라는 오프셋을 넣어주고, mprotect()의 인자로 권한을 설정할 주소 값(페이지 단위), 사이즈, 권한(RWX)을 각각 R0~R2레지스터에 담고 실행한 것이다.
도 3b의 상부 그림은 R1에 테스트할 임의의 숫자를 넣고 R1의 값을 R2에 저장되어있는 목표 번지(즉, 0x5D983DF6)에 덮어씀으로써 목표 번지에 삽입되어있는 브레이크 포인트를 무효화시키는 과정 직전 상태를 나타낸 것이다.
도 3b의 상부 그림에서 프로그램을 동작시키면 도 3b의 아래 그림으로 넘어오게 되며, 도 3b에 도시된 바와 같이, 목표 번지의 브레이크 포인트는 덮어 쓰여서 넘어가고 그 다음 브레이크 포인트가 설정되어있는 곳에서 프로그램이 멈추는 것을 볼 수 있다.
이와 같이, 본 발명에 따른 방법은 탐지된 브레이크 포인트를 원본 명령어를 이용하여 무효화시킴으로써, 분석가에 의해 이미 분석된 지점이더라도 그 지점까지 바로 이동하지 못하게 되어 다시 처음부터 일일이 따라가며 분석할 수밖에 없게 되고, 따라서 분석가의 역공학을 방지할 수 있다.
도 4는 본 발명의 일 실시예에 따른 안티 디버깅 장치에 대한 구성을 나타낸 것으로, 상술한 도 1 내지 도 3의 기능을 수행하는 장치에 대한 구성을 나타낸 것이다.
도 4를 참조하면, 본 발명의 실시예에 따른 안티 디버깅 장치(400)는 저장부(410), 탐지부(420) 및 대체부(430)를 포함한다.
저장부(410)는 대상 프로그램에 대해 미리 설정된 디버깅 예상 지점의 원본 명령어를 저장한다.
이 때, 저장부(410)는 디버깅 예상 지점의 원본 명령어를 해시값과 함께 맵 테이블에 저장할 수 있으며, 디버깅 예상 지점은 시스템 콜, 함수 콜, 리턴 지점, if문과 while문을 포함하는 분기문의 진입 지점과 종료 지점을 포함할 수 있다.
탐지부(420)는 대상 프로그램에 인터럽트 명령어의 삽입 여부를 탐지한다.
대체부(430)는 인터럽트 명령어의 삽입이 탐지되면 탐지된 인터럽트 명령어를 해당 지점에 대해 미리 저장된 원본 명령어로 대체함으로써, 브레이크 포인트를 무력화시킨다.
이 때, 대체부(430)는 SVC 명령어를 이용한 시스템콜을 사용하여 해당 지점의 쓰기 권한을 부여한 후 탐지된 인터럽트 명령어를 해당 지점에 대해 미리 저장된 원본 명령어로 대체할 수 있다.
이 때, 대체부(430)는 시스템 함수를 사용하여 해당 지점의 쓰기 권한을 부여한 후 탐지된 인터럽트 명령어를 해당 지점에 대해 미리 저장된 원본 명령어로 대체할 수 있다.
물론, 대체부(430)는 인터럽트 명령어가 탐지부(420)에 의해 탐지되면 탐지부에 의해 탐지된 인터럽트 명령어의 해당 지점을 확인하고, 확인된 해당 지점의 원본 명령어를 저장부에 저장된 맵 테이블을 통해 확인함으로써, 해당 지점의 인터럽트 명령어를 해당 지점의 원본 명령어로 덮어 씌울 수 있다.
비록, 도 4의 장치에서 그 설명이 생략되었더라도 도 4의 장치는 도 1 내지 도 3에서 설명한 내용을 모두 포함할 수 있으며, 소프트웨어 브레이크 포인트에 의해 대상 프로그램에 삽입되는 인터럽트 명령어를 무력화시킬 수 있는 모든 내용을 포함할 수 있다는 것은 이 기술 분야에 종사하는 당업자에게 있어서 자명하다.
이상에서 설명된 시스템 또는 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 시스템, 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예들에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
Claims (10)
- 저장부에서 대상 프로그램에 대해 미리 설정된 디버깅 예상 지점의 원본 명령어를 저장하는 단계;
탐지부에서 상기 대상 프로그램의 실행 도중 소프트웨어 브레이크 포인트 기법에 의해 인터럽트 명령어가 삽입되었는지 삽입 여부를 탐지하는 단계; 및
대체부에서 상기 인터럽트 명령어의 삽입이 탐지되면 상기 탐지된 인터럽트 명령어를 해당 지점에 대해 미리 저장된 원본 명령어로 대체하는 단계
를 포함하고,
상기 원본 명령어를 저장하는 단계는
상기 디버깅 예상 지점의 원본 명령어를 해시값과 함께 맵 테이블에 저장하며,
상기 원본 명령어로 대체하는 단계는
SVC 명령어를 이용한 시스템콜을 사용하여 상기 해당 지점의 쓰기 권한을 부여한 후 상기 탐지된 인터럽트 명령어를 상기 해당 지점에 대해 미리 저장된 원본 명령어로 대체하는 안티 디버깅 방법.
- 삭제
- 삭제
- 삭제
- 제1항에 있어서,
상기 디버깅 예상 지점은
시스템 콜, 함수 콜, 리턴 지점, if문과 while문을 포함하는 분기문의 진입 지점과 종료 지점을 포함하는 것을 특징으로 하는 안티 디버깅 방법.
- 대상 프로그램에 대해 미리 설정된 디버깅 예상 지점의 원본 명령어를 저장하는 저장부;
상기 대상 프로그램의 실행 도중 소프트웨어 브레이크 포인트 기법에 의해 인터럽트 명령어가 삽입되었는지 삽입 여부를 탐지하는 탐지부; 및
상기 인터럽트 명령어의 삽입이 탐지되면 상기 탐지된 인터럽트 명령어를 해당 지점에 대해 미리 저장된 원본 명령어로 대체하는 대체부
를 포함하고,
상기 저장부는
상기 디버깅 예상 지점의 원본 명령어를 해시값과 함께 맵 테이블에 저장하며,
상기 대체부는
SVC 명령어를 이용한 시스템콜을 사용하여 상기 해당 지점의 쓰기 권한을 부여한 후 상기 탐지된 인터럽트 명령어를 상기 해당 지점에 대해 미리 저장된 원본 명령어로 대체하는 안티 디버깅 장치.
- 삭제
- 삭제
- 삭제
- 제6항에 있어서,
상기 디버깅 예상 지점은
시스템 콜, 함수 콜, 리턴 지점, if문과 while문을 포함하는 분기문의 진입 지점과 종료 지점을 포함하는 것을 특징으로 하는 안티 디버깅 장치.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170011824A KR101861952B1 (ko) | 2017-01-25 | 2017-01-25 | 소프트웨어 브레이크 포인트를 무력화시키기 위한 안티 디버깅 방법 및 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170011824A KR101861952B1 (ko) | 2017-01-25 | 2017-01-25 | 소프트웨어 브레이크 포인트를 무력화시키기 위한 안티 디버깅 방법 및 장치 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101861952B1 true KR101861952B1 (ko) | 2018-05-28 |
Family
ID=62451427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170011824A KR101861952B1 (ko) | 2017-01-25 | 2017-01-25 | 소프트웨어 브레이크 포인트를 무력화시키기 위한 안티 디버깅 방법 및 장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101861952B1 (ko) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102310219B1 (ko) * | 2021-04-06 | 2021-10-08 | 주식회사 위엔 | 개인 정보 보안 강화 장치 및 그 방법 |
| CN114036056A (zh) * | 2021-11-16 | 2022-02-11 | 企查查科技有限公司 | 防调试方法、装置、设备、存储介质和程序产品 |
| US11409635B2 (en) | 2019-08-23 | 2022-08-09 | Raytheon Company | Hacker-resistant anti-debug system |
| WO2023229063A1 (ko) * | 2022-05-25 | 2023-11-30 | 시큐레터 주식회사 | 무해화(disarming) 동작에서 차이점(delta) 추출 방식을 이용한 원본 파일 백업 공간을 효율화하는 방법 및 이를 위한 장치 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2636526B2 (ja) * | 1991-03-01 | 1997-07-30 | 富士通株式会社 | 命令追跡処理方式 |
| KR20060059792A (ko) * | 2004-11-29 | 2006-06-02 | 주식회사 안철수연구소 | 실시간 컴퓨터 프로그램의 디버깅 방지 방법 및 그 기록매체 |
| KR20070019190A (ko) * | 2005-08-11 | 2007-02-15 | 주식회사 웨어플러스 | 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치 |
| KR20070019191A (ko) * | 2005-08-11 | 2007-02-15 | 주식회사 웨어플러스 | 커널 메모리를 보호하는 방법 및 그 장치 |
| KR20090070585A (ko) * | 2007-12-27 | 2009-07-01 | 주식회사 안철수연구소 | 가상 환경에서의 디버깅 방지 장치 및 방법 |
| KR20120126667A (ko) * | 2011-05-12 | 2012-11-21 | 주식회사 안랩 | 악성 프로그램 후킹 방지 장치 및 방법 |
-
2017
- 2017-01-25 KR KR1020170011824A patent/KR101861952B1/ko active IP Right Grant
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2636526B2 (ja) * | 1991-03-01 | 1997-07-30 | 富士通株式会社 | 命令追跡処理方式 |
| KR20060059792A (ko) * | 2004-11-29 | 2006-06-02 | 주식회사 안철수연구소 | 실시간 컴퓨터 프로그램의 디버깅 방지 방법 및 그 기록매체 |
| KR20070019190A (ko) * | 2005-08-11 | 2007-02-15 | 주식회사 웨어플러스 | 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치 |
| KR20070019191A (ko) * | 2005-08-11 | 2007-02-15 | 주식회사 웨어플러스 | 커널 메모리를 보호하는 방법 및 그 장치 |
| KR20090070585A (ko) * | 2007-12-27 | 2009-07-01 | 주식회사 안철수연구소 | 가상 환경에서의 디버깅 방지 장치 및 방법 |
| KR20120126667A (ko) * | 2011-05-12 | 2012-11-21 | 주식회사 안랩 | 악성 프로그램 후킹 방지 장치 및 방법 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11409635B2 (en) | 2019-08-23 | 2022-08-09 | Raytheon Company | Hacker-resistant anti-debug system |
| KR102310219B1 (ko) * | 2021-04-06 | 2021-10-08 | 주식회사 위엔 | 개인 정보 보안 강화 장치 및 그 방법 |
| CN114036056A (zh) * | 2021-11-16 | 2022-02-11 | 企查查科技有限公司 | 防调试方法、装置、设备、存储介质和程序产品 |
| CN114036056B (zh) * | 2021-11-16 | 2024-03-26 | 企查查科技股份有限公司 | 防调试方法、装置、设备、存储介质和程序产品 |
| WO2023229063A1 (ko) * | 2022-05-25 | 2023-11-30 | 시큐레터 주식회사 | 무해화(disarming) 동작에서 차이점(delta) 추출 방식을 이용한 원본 파일 백업 공간을 효율화하는 방법 및 이를 위한 장치 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101861952B1 (ko) | 소프트웨어 브레이크 포인트를 무력화시키기 위한 안티 디버깅 방법 및 장치 | |
| KR102003663B1 (ko) | 디버그 예외 생성 제어 | |
| JP4518564B2 (ja) | 不正コード実行の防止方法、不正コード実行の防止用プログラム、及び不正コード実行の防止用プログラムの記録媒体 | |
| US6708326B1 (en) | Method, system and program product comprising breakpoint handling mechanism for debugging and/or monitoring a computer instruction sequence | |
| KR101740224B1 (ko) | 불법 모드 변경처리 | |
| US8170859B1 (en) | Methods, apparatuses and computer program products for simulating arbitrary unmodified code | |
| US7711914B2 (en) | Debugging using virtual watchpoints | |
| CN110580226B (zh) | 操作系统级程序的目标码覆盖率测试方法、系统及介质 | |
| KR102025078B1 (ko) | 단일 스텝 실행을 이용한 코드 진단 | |
| EP3121749B1 (en) | Method and apparatus for ensuring control flow integrity | |
| US11727110B2 (en) | Verifying stack pointer | |
| KR20180029054A (ko) | 보안 모드 상태 데이터 액세스 트랙킹 | |
| KR102581568B1 (ko) | 우발적 로드 억제 | |
| US20070226471A1 (en) | Data processing apparatus | |
| US6961923B2 (en) | Method of detecting zombie breakpoints | |
| KR102598392B1 (ko) | 처리 회로에 의한 명령 실행을 나타내는 트레이스 스트림을 생성 및 처리하는 장치 및 방법 | |
| CN109726115B (zh) | 一种基于Intel处理器跟踪的反调试自动绕过方法 | |
| US20200272553A1 (en) | Configurable system for interaction with system or processor states in development tools | |
| US20220335135A1 (en) | Vulnerability analysis and reporting for embedded systems | |
| KR102292197B1 (ko) | 진단 데이터 캡처 | |
| CN111143851A (zh) | 适用于操作系统内核对象地址泄露的检测方法及系统 | |
| US20190163601A1 (en) | Apparatus and method for controlling assertion of a trigger signal to processing circuitry | |
| CN110799940B (zh) | 内容数据管理 | |
| KR101734594B1 (ko) | 부트 메모리 페일 조치 방법 및 차량전자시스템 | |
| Ying | UnROP: creating correct backtrace from core dumps with stack pivoting |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |