KR101976992B1 - 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법 - Google Patents
시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법 Download PDFInfo
- Publication number
- KR101976992B1 KR101976992B1 KR1020180105835A KR20180105835A KR101976992B1 KR 101976992 B1 KR101976992 B1 KR 101976992B1 KR 1020180105835 A KR1020180105835 A KR 1020180105835A KR 20180105835 A KR20180105835 A KR 20180105835A KR 101976992 B1 KR101976992 B1 KR 101976992B1
- Authority
- KR
- South Korea
- Prior art keywords
- signature
- signatures
- analysis
- technique
- string
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 182
- 238000004458 analytical method Methods 0.000 title claims abstract description 110
- 238000001514 detection method Methods 0.000 claims abstract description 44
- 238000000605 extraction Methods 0.000 abstract description 12
- 239000008186 active pharmaceutical agent Substances 0.000 description 43
- 239000000284 extract Substances 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000003068 static effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001012 protector Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000008458 response to injury Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/14—Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
- G06F16/90344—Query processing by using string matching techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/41—Compilation
- G06F8/42—Syntactic analysis
- G06F8/427—Parsing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
- G06F8/75—Structural analysis for program understanding
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Stored Programmes (AREA)
- Debugging And Monitoring (AREA)
Abstract
본 발명은 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법에 대한 것이다.
본 발명에 따른 시그니처 추출을 이용한 분석회피기법 자동 인식 장치는 안드로이드에서 실행되는 실행코드를 APK의 형태로 압축하여 포함하고 있는 애플리케이션 파일을 언팩하여 DEX 파일과 ELF 파일을 추출하는 추출부, 상기 추출된 DEX 파일과 ELF 파일을 디컴파일한 후 각각 파싱하여 시그니처를 획득하는 파싱부, 상기 획득한 시그니처를 상기 시그니처의 종류별로 각각 입력받으며, 상기 입력된 시그니처와 데이터베이스에 저장된 시그니처를 비교 분석하여 분석회피기법에 사용된 시그니처를 검출하는 검출부, 그리고 상기 검출된 시그니처로부터 상기 애플리케이션에 적용된 분석회피 기법을 판별하는 판별부를 포함한다.
이와 같이 본 발명에 따르면, 분석회피기법이 적용된 애플리케이션을 자동으로 인식함에 따라 분석하는데 드는 시간을 단축시켜 악성 애플리케이션으로 인해 입는 피해에 대한 적절하고 빠른 대응이 가능하도록 할 수 있다.
본 발명에 따른 시그니처 추출을 이용한 분석회피기법 자동 인식 장치는 안드로이드에서 실행되는 실행코드를 APK의 형태로 압축하여 포함하고 있는 애플리케이션 파일을 언팩하여 DEX 파일과 ELF 파일을 추출하는 추출부, 상기 추출된 DEX 파일과 ELF 파일을 디컴파일한 후 각각 파싱하여 시그니처를 획득하는 파싱부, 상기 획득한 시그니처를 상기 시그니처의 종류별로 각각 입력받으며, 상기 입력된 시그니처와 데이터베이스에 저장된 시그니처를 비교 분석하여 분석회피기법에 사용된 시그니처를 검출하는 검출부, 그리고 상기 검출된 시그니처로부터 상기 애플리케이션에 적용된 분석회피 기법을 판별하는 판별부를 포함한다.
이와 같이 본 발명에 따르면, 분석회피기법이 적용된 애플리케이션을 자동으로 인식함에 따라 분석하는데 드는 시간을 단축시켜 악성 애플리케이션으로 인해 입는 피해에 대한 적절하고 빠른 대응이 가능하도록 할 수 있다.
Description
본 발명은 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법에 관한 것으로서, 더욱 상세하게는 모바일 환경에서의 분석회피기법의 종류, 방법 및 적용 도구를 인식하는 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법에 관한 것이다.
안드로이드 애플리케이션 시장 성장과 함께 악성애플리케이션 시장도 크게 성장하고 있으며, 악성 애플리케이션에 모바일 코드 보호기법인 분석회피기법들이 악용되고 있다. 이렇게 분석회피기법이 적용된 악성 애플리케이션의 분석을 위해서는 분석회피기법을 인식하는 기술인 분석회피기법 인식 기술이 필요하다.
종래의 분석회피기법 인식 기법들은 모바일 애플리케이션을 대상으로 하는 것이 아닌 PC 환경의 분석회피기법을 인식하는 것에 중점을 두는 경우가 많았기 때문에 모바일 애플리케이션을 분석하는 대에는 분석가의 역량과 노하우에 의존하게 되고 수동으로 많은 시간에 걸쳐 분석회피기법을 인식하여야 했다.
이는 한 달에도 수만 건에 이르는 악성 애플리케이션에 대한 빠른 대응을 불가능하게 만들기 때문에, 분석가의 역량과 노하우에 의존하는 기존의 방법이 아닌 자동으로 모바일 환경에서의 분석회피기법 인식 기법이 필요하다.
모바일 환경에서의 분석회피기법은 크게 안티 루팅 기법, 안티 디버깅 기법, 그리고 안티 에뮬레이터 기법이 대표적이다. 종래의 분석회피기법 인식 기술들은 PC 환경에서 어떠한 분석회피기법이 걸렸는지 인식하는 정도의 기술이다. 이러한 인식 방법은 PC 환경의 분석회피기법의 종류를 인식하는 것은 가능하지만 모바일 환경에서의 분석회피기법에는 사용할 수 없다는 문제를 가지고 있다.
따라서 모바일 환경에서의 분석회피기법을 인식하기 위하여는 분석가가 수동으로 애플리케이션을 분석한 후 인식하여야 하기 때문에 분석에 드는 시간이 매우 오래 걸리게 되어 악성애플리케이션으로부터 입는 피해에 대한 대응이 적절한 시기에 이루어지지 못하는 원인이 되기 때문에 문제가 된다.
분석회피기법이 적용된 소프트웨어는 분석을 위한 환경에서는 정상적으로 동작하지 않기 때문에 일반적이 소프트웨어에 비하여 얻을 수 있는 정보가 매우 적고, 그렇기 때문에 분석회피기법을 인식하고 대처하는 기술이 필요하다.
본 발명의 배경이 되는 기술은 대한민국 공개특허공보 제10-2016-0114037호(2016.10.04 공개)에 개시되어 있다.
본 발명이 이루고자 하는 기술적 과제는 모바일 환경에서의 분석회피기법의 종류, 방법 및 적용 도구를 인식하는 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법을 제공하기 위한 것이다.
이러한 기술적 과제를 이루기 위한 본 발명의 실시예에 따른 모바일 환경에서 애플리케이션에 적용된 분석회피기법을 자동 인식하기 위한 장치에 있어서, 안드로이드에서 실행되는 실행코드를 APK의 형태로 압축하여 포함하고 있는 애플리케이션 파일을 언팩하여 DEX 파일과 ELF 파일을 추출하는 추출부, 상기 추출된 DEX 파일과 ELF 파일을 디컴파일한 후 각각 파싱하여 시그니처를 획득하는 파싱부, 상기 획득한 시그니처를 상기 시그니처의 종류별로 각각 입력받으며, 상기 입력된 시그니처와 데이터베이스에 저장된 시그니처를 비교 분석하여 분석회피기법에 사용된 시그니처를 검출하는 검출부, 그리고 상기 검출된 시그니처로부터 상기 애플리케이션에 적용된 분석회피 기법을 판별하는 판별부를 포함한다.
상기 시그니처는, 문자열 시그니처, API 함수 시그니처, 그리고 바이너리 시그니처를 포함할 수 있다.
상기 파싱부는, 상기 추출된 DEX 파일을 분석하여 상기 DEX 파일에 포함된 하나 이상의 문자열 시그니처를 추출하는 DEX 파싱 모듈, 그리고 상기 추출된 ELF 파일을 분석하여 상기 ELF 파일에 포함된 하나 이상의 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 추출하는 ELF 파싱 모듈를 포함할 수 있다.
상기 검출부는, 상기 DEX 파싱 모듈과 ELF 파싱 모듈로부터 추출된 하나 이상의 문자열 시그니처를 입력받고, 상기 입력된 하나 이상의 문자열 시그니처를 상기 데이터베이스에 저장된 문자열 시그니처와 비교하여 일치하는 문자열 시그니처를 검출하는 문자열 검출모듈, 상기 ELF 파싱 모듈로부터 추출된 하나 이상의 API 함수 시그니처를 입력받고, 상기 입력된 하나 이상의 API 함수 시그니처를 상기 데이터베이스에 저장된 API 함수 시그니처와 비교하여 일치하는 API 함수 시그니처를 검출하는 API 검출모듈, 그리고 상기 ELF 파싱 모듈로부터 추출된 하나 이상의 바이너리 시그니처를 입력받고, 상기 입력된 하나 이상의 바이너리 시그니처를 상기 데이터베이스에 기 저장된 바이너리 시그니처와 비교하여, 일치하는 바이너리 시그니처를 검출하는 바이너리 검출모듈을 포함할 수 있다.
상기 데이터베이스는, 분석회피기법에 사용되는 소스코드에 대응하는 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 저장할 수 있다.
상기 판별부는, 상기 검출된 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 통하여 상기 애플리케이션 파일에 적용된 분석회피기법의 종류 및 도구에 대한 정보를 판별하고, 판별 결과를 사용자가 인식할 수 있는 형태로 변환하여 출력할 수 있다.
상기 판별 결과는 상기 애플리케이션 파일에 적용된 분석회피기법의 종류, 방식 및 도구를 포함하며, 상기 분석회피기법의 종류는, 안티 루팅 기법, 안티 디버깅 기법 그리고 안티 에뮬레이터 기법을 포함하며, 상기 분석회피기법의 방식은, 문자열 방식, API 방식 및 바이너리 방식을 포함하고, 상기 분석회피기법에 적용된 도구는, 모바일 환경에서 어플리케이션 생성 시에 사용된 프로그램을 나타낼 수 있다.
본 발명의 다른 실시예에 따른 모바일 환경에서 분석회피기법 자동 인식 장치를 이용한 분석회피기법을 자동 인식하기 위한 방법에 있어서, 분석회피기법 자동 인식 장치를 통해 애플리케이션을 수신하고, 수신된 애플리케이션에 포함되며 APK의 형태로 압축한 실행코드를 언팩하여 DEX 파일과 ELF 파일을 추출하는 단계, 상기 추출된 DEX 파일과 ELF 파일을 디컴파일한 후 각각 파싱하여 시그니처를 획득하는 단계, 상기 획득한 시그니처를 상기 시그니처의 종류별로 각각 입력받으며, 상기 입력된 시그니처와 데이터베이스에 저장된 시그니처를 비교분석하여 분석회피기법에 사용된 시그니처를 검출하는 단계, 그리고 상기 검출된 시그니처로부터 상기 애플리케이션에 적용된 분석회피 기법을 판별하는 단계를 포함한다.
이와 같이 본 발명에 따르면, 분석회피기법이 적용된 애플리케이션을 자동으로 인식함에 따라 분석하는데 드는 시간을 단축시켜 악성 애플리케이션으로 인해 입는 피해에 대한 적절하고 빠른 대응이 가능하도록 할 수 있다.
또한 본 발명에 따르면 분석회피기법 인식 시 안드로이드의 자바로 작성된 코드뿐 아니라 JNI를 이용하여 네이티브 라이브러리로 작성된 분석회피기법 또한 인식하는 것이 가능하다.
또한 본 발명에 따르면 인식 그 자체로 끝나는 것이 아닌 해당 분석회피기법이 사용한 분석회피기법의 종류, 분석회피기법에 사용된 방법 등, 안드로이드 애플리케이션 분석에 필요한 다양한 정보를 제공한다.
또한 본 발명에 따르면 동적 방법이 아닌 정적 방법을 이용하여 애플리케이션에 적용된 분석회피기법을 인식하는 것으로 직접 애플리케이션을 실행하지 않아도 어떠한 분석회피기법이 적용되어 있는가를 확인할 수 있다.
도 1은 본 발명의 실시예에 따른 시그니처 추출을 이용한 분석회피기법 자동 인식 장치를 나타내는 구성도이다.
도 2는 도 1에 도시된 자동인식장치의 구조를 나타낸 도면이다.
도 3은 본 발명의 실시예에 따른 시그니처 추출을 이용한 분석회피기법 자동 인식 장치를 이용한 인식방법을 나타내는 순서도이다.
도 4는 도 3에 도시된 분석회피기법 자동 인식 방법을 나타낸 도면이다.
도 2는 도 1에 도시된 자동인식장치의 구조를 나타낸 도면이다.
도 3은 본 발명의 실시예에 따른 시그니처 추출을 이용한 분석회피기법 자동 인식 장치를 이용한 인식방법을 나타내는 순서도이다.
도 4는 도 3에 도시된 분석회피기법 자동 인식 방법을 나타낸 도면이다.
이하 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하기로 한다. 이 과정에서 도면에 도시된 선들의 두께나 구성요소의 크기 등은 설명의 명료성과 편의상 과장되게 도시되어 있을 수 있다.
또한 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서, 이는 사용자, 운용자의 의도 또는 관례에 따라 달라질 수 있다. 그러므로 이러한 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
먼저 도 1을 통해 본 발명의 실시예에 따른 시그니처 추출을 이용한 분석회피기법 자동 인식 장치에 대하여 설명한다.
도 1은 본 발명의 실시예에 따른 시그니처 추출을 이용한 분석회피기법 자동 인식 장치를 나타낸 구성도이다.
도 1에 나타낸 바와 같이, 본 발명의 실시예에 따른 분석회피기법 자동 인식 장치(100)는 추출부(110), 파싱부(120), 검출부(130), 판별부(140) 및 데이터베이스(150)을 포함한다.
추출부(110)는 애플리케이션에 포함된 실행코드인DEX 파일과 ELF 파일을 추출한다. 다만, DEX 파일과 ELF 파일은 APK의 형태로 압축되어 있으므로, 추출부(110)는 APK를 언팩하여 DEX 파일과 ELF 파일을 추출한다.
파싱부(120)는 추출부(110)에서 추출된 DEX 파일과 ELF 파일을 디컴파일한 후 각각 파싱하여 시그니처를 획득한다.
상기 시그니처는 문자열 시그니처, API 시그니처 및 바이너리 시그니처를 포함하며, 획득한 시그니처는 검출부(130)에 전달되어 분석회피기법의 적용여부를 판단한다.
검출부(130)는 파싱부(120)에서 추출된 문자열 시그니처, API 시그니처 및 바이너리 시그니처를 입력받으며, 입력된 각각의 시그니처는 데이터베이스(150)에 저장된 시그니처와 비교분석하여 분석회피기법에 사용된 시그니처를 검출한다.
판별부(140)는 검출부(130)에서 검출된 시그니처를 이용하여 애플리케이션에 적용된 분석회피 기법을 판별하고, 판별된 결과는 사용자가 인식할 수 있는 형태로 변환하여 출력된다.
데이터베이스(150)는 대표적인 분석회피기법인 안티 루팅 기법, 안티 디버깅 기법 및 안티 에뮬레이터 기법에 반드시 사용되는 시그니처를 수집하여 저장한다.
도 2는 도 1에 도시된 자동인식장치의 구조를 나타낸 도면이다.
도 2에 나타낸 바와 같이, 본 발명이 실시예에 따른 분석회피기법 자동 인식 장치(100)는 애플리케이션을 수신하여 분석회피기법이 적용되었는지 여부를 자동으로 인식한다. 한편, 분석회피기법 자동 인식 장치(100)에 수신된 애플리케이션은 실행여부와 상관없이 분석회피기법을 인식할 수 있으므로, 분석회피기법 자동 인식 장치(100)는 애플리케이션의 분석회피기법 적용 여부를 정적 또는 동적인 상태에서 분석이 가능하다.
따라서, 추출부(110)는 분석회피기법의 적용여부를 모르는 애플리케이션을 수신하고, 수신된 애플리케이션에 포함된 실행코드를 언팩한다.
안드로이드의 애플리케이션은 .dex, .xml 등의 파일들을.apk(android application package)로 압축한 형태이다.
따라서, 추출부(110)는 압출된 APK 파일을 ZIP 확장자로 변경한 후 압축을 해제하고, 압축이 해제된 APK로부터 classes.dex 파일 및 공유 라이브러리 파일(shared library file)을 획득한다.
추출부(110)는 획득된 복수의 파일 중에서 안드로이드 실행코드인 DEX 파일과 ELF 파일을 추출한다.
파싱부(120)는 추출된 실행코드인 DEX 파일과 ELF 파일로부터 분석회피기법 인식에 필요한 시그니처를 얻기 위해 실행코드를 파싱한다.
안드로이드의 실행코드인 DEX 파일과 ELF 파일에는 복수의 정보를 포함하고 있으며, 복수의 정보는 각 소스마다 사용하는 API, 함수, 필드값 및 스트링을 포함한다.
따라서, 파싱부(120)는 DEX 파일과 ELF 파일을 각각 파싱하기 위해 DEX 파싱모듈(121)과 ELF 파싱모듈(122)을 더 포함한다.
DEX 파싱모듈(121)은 DEX 파일을 파싱하는 것으로, DEX 파일로부터 하나 이상의 스트링 즉, 문자열 시그니처를 추출한다.
ELF 파싱모듈(122)은 ELF 파일을 파싱하는 것으로, ELF 파일로부터 하나 이상의 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 추출한다
상기와 같이, DEX 파싱모듈(121)과 ELF 파싱모듈(122)에서 추출된 시그니처는 분석회피기법의 대표적인 기법인 안티 루팅 기법, 안티 디버깅 기법 그리고 안티 에뮬레이터 기법을 인식하기 위한 것이다.
따라서, 파싱부(120)는 추출된 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 검출부(130)에 송신하고, 시그니처를 수신한 검출부(130)는 데이터베이스(150)에 저장된 시그니처와 비교 분석하여 분석회피기법에 사용된 시그니처를 검출한다.
검출부(130)는 DEX 파싱모듈(121)과 ELF 파싱모듈(122)로부터 시그니처를 수신 받으며, 수신된 시그니처는 종류에 따라 분류되어 각각의 검출모듈에 전달된다.
따라서, 검출부(130)는 문자열 시그니처를 수신받는 문자열 검출모듈(131)과, API 시그니처를 수신받는 API 검출모듈(132) 그리고, 바이너리 시그니처를 수신받는 바이너리 검출모듈(133)을 포함한다.
문자열 검출모듈(131)은 DEX 파싱모듈(121)과 ELF 파싱모듈(122)에서 각각 추출된 하나 이상의 시그니처를 수신하고, 수신된 하나 이상의 시그니처와 데이터베이스(150)에 저장된 문자열 시그니처를 서로 비교 판단한다.
이때, 하나 이상의 문자열 시그니처 중에서 어느 하나의 문자열 시그니처가 데이터베이스(150)에 저장된 시그니처와 동일한 것으로 판단되면, 검출부(130)는 동일한 문자열 시그니처를 검출하여 판별부(140)에 송신한다.
API 검출모듈(132)은 ELF 파싱모듈(122)로부터 API 함수 시그니처를 수신하고, 수신된 API 함수 시그니처와 데이터베이스(150)에 저장된 시그니처를 비교 판단한다.
이를 다시 설명하면, API 검출모듈(132)은 ELF 파싱모듈(122)로부터 추출된 하나 이상의 API 함수 시그니처를 입력받으며, 하나 이상의 API 함수 시그니처를 입력 받은 API 검출모듈(132)은 데이터베이스(150)에 저장된 API 함수 시그니처와 비교하여 동일한 API 함수 시그니처를 검출한다.
API 함수 시그니처에 대한 검출이 완료되면, API 검출모듈(132)은 판별부(140)에 검출된 API 함수 시그니처를 송신한다.
바이너리 검출모듈(133)은 ELF 파싱모듈(122)로부터 하나 이사의 바이너리 시그니처를 수신하고, 수신된 하나 이상의 바이너리 시그니처와 데이터베이스(150)에 저장된 시그니처를 비교하여 동일한 바이너리 시그니처를 검출한다.
바이너리 검출모듈(113)에서 검출된 바이너리 시그니처는 판별부(140)에 전달된다.
판별부(140)는 검출부(130)에서 검출된 시그니처를 수신하고, 수신된 시그니처를 사용자가 인식할 수 있는 형태로 변환하여 출력한다.
이하에서는 도 3 및 도 4를 이용하여 본 발명의 실시예에 따른 모바일 환경에서 분석회피기법 자동 인식 장치를 이용한 분석회피기법을 자동 인식하기 위한 방법에 대하여 더욱 상세하게 설명한다.
도 3은 본 발명의 실시예에 따른 분석회피기법 자동 인식 장치를 이용한 인식방법을 나타내는 순서도이고, 도 4는 도 3에 도시된 분석회피기법 자동 인식 방법을 나타낸 도면이다.
도 3에 나타난 바와 같이, 본 발명의 실시예에 따르면 분석회피기법 자동 인식 장치(100)에 포함된 추출부(110)는 분석회피기법이 적용되었는지를 판단하고자 하는 애플리케이션을 수신한다(S310).
수신된 애플리케이션은 모바일 환경에서 실행이 된 상태일 수도 있고, 실행되지 않은 상태일 수도 있다.
애플리케이션을 수신한 추출부(100)는 안드로이드에서 실행되는 실행코드를 추출한다.
이때, 실행코드는 APK의 형태로 압출되어 있으므로, 먼저, 추출부(100)는 APK를 언팩하여 DEX 파일과 ELF 파일을 추출한다(S320).
추출된 DEX 파일과 ELF 파일은 각각 많은 정보를 포함하고 있으므로, DEX 파일과 ELF 파일에 포함하고 있는 시그니처를 추출하기 위하여 추출부(110)는 추출된 DEX 파일과 ELF 파일을 파싱부(120)에 전달한다.
DEX 파일과 ELF 파일을 전달받은 파싱부(120)는 DEX 파일을 파싱할 수 있는 DEX 파싱모듈(121)과 ELF 파일을 파싱할 수 있는 ELF 파싱모듈(122)에 각각 분류하여 전달한다.
따라서, DEX 파싱모듈(121)과 ELF 파싱모듈(122)은 DEX 파일과 ELF 파일을 각각 전달받아 파싱하여 각각의 시그니처를 추출한다(S330).
이를 다시 설명하면, DEX 파싱모듈(121)에 수신된 DEX 파일을 디컴파일한 후 파싱하여 하나 이상의 문자열 시그니처를 추출한다.
추출된 문자열 시그니처는 도 4에 나타낸 바와 같이, "hello world", "Lcom/msec/exam", "detect_debug" 와 같은 문자열을 추출한다.
추출된 문자열은 의미가 있는 것일 수도 있고 의미가 없는 것일 수도 있다. 따라서, DEX 파싱모듈(121)는 의미가 있는 문자열을 복수개 이상 추출하여 검출부(130)에 전달한다.
한편, ELF 파싱모듈(122)은 수신된 ELF 파일을 디컴파일한 후 파싱하여 하나 이상의 문자열 시그니처, 하나 이상의 API 함수 시그니처 그리고 하나 이상의 바이너리 시그니처를 추출한다.
예를 들면, ELF 파싱모듈(122)은 ELF 파일을 파싱하여"/system/bin/su", "/system/xbin/su", "ro.build.tag", isrooting, 21 00 3C 20 F3 2C, detect_debugger, F3 2C 21 0C 3C E0를 추출한다.
상기와 같이 파싱부(120)에서 추출된 시그니처는 검출부(130)에 전달되며, 시그니처를 전달받은 검출부(130)는 시그니처의 종류별로 각각 분류하여 해당되는 검출모듈(131,132,133)에 전달한다(S340).
즉, 검출부(130)는 파싱부(120)로부터 전달받은 시그니처가 문자열 시그니처일 경우에는 문자열 시그니처를 문자열 검출모듈(131)에 입력하고, 파싱부(120)로부터 전달받은 시그니처가 API 함수 시그니처일 경우에는 API 함수 시그니처를 API 검출모듈(132)에 입력하며, 파싱부(120)로부터 전달받은 시그니처가 바이너리 시그니처일 경우에는 바이너리 시그니처를 바이너리 검출모듈(133)에 입력한다.
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
따라서, 문자열 검출모듈(131)은 DEX 파싱모듈(121)에서 추출한 "hello world", "Lcom/msec/exam", "detect_debug"를 포함하는 문자열 시그니처와, ELF 파싱모듈(122)에서 추출한 "/system/bin/su", "/system/xbin/su", "ro.build.tag"를 포함하는 문자열 시그니처를 입력 받는다.
또한, API 검출모듈(132)은 ELF 파싱모듈(122)에서 추출한 isrooting, detect_debugger를 포함하는 API함수 시그니처를 입력받고, 바이너리 검출모듈(133)은 ELF 파싱모듈(122)에서 추출한 21 00 3C 20 F3 2C, F3 2C 21 0C 3C E0를 포함하는 바이너리 시그니처를 입력받는다.
상기와 같이, 시그니처를 종류에 따라 분류되어 입력받은 검출부(130)는 데이터베이스(150)에 저장된 시그니처와 비교분석한다(S350).
따라서, 검출부(130)는 입력된 시그니처와 데이터베이스에 저장된 시그니처를 비교하여 분석회피기법에 적용여부를 판단한다.
이를 상세하게 설명하면, 예를 들면, 데이터베이스(150)에 안티 디버깅 기법에 반드시 사용되는 문자열 시그니처인 "detect_debug"가 저장되었다고 가정한다. 그러면, 문자열 검출모듈(131)은 입력받은 문자열 시그니처 즉, "hello world", "Lcom/msec/exam", "detect_debug", "/system/bin/su", "/system/xbin/su", "ro.build.tag"를 데이터베이스(150)에 저장된 문자열 시그니처와 비교하여 동일한 문자열 시그니처인 "detect_debug"를 검출한다.
또한, 데이터베이스(150)에 안티 루팅 기법에 반드시 사용되는 API 함수 시그니인 isrooting 이 저장되었다고 가정한 상태에서, API 검출모듈(132)은 입력받은 API 함수 시그니처인 isrooting과 detect_debugger를 데이터베이스(150)에 저장된 API함수 시그니처와 비교하여 동일한 API함수 시그니처인 isrooting를 검출한다.
또한, 데이터베이스(150)에 안티 에뮬레이터 기법에 반드시 사용되는 바이너리 시그니처인 "21 00 3C 20 F3 2C"가 저장되었다고 가정한다. 그러면, 바이너리 검출모듈(133)은 입력받은 바이너리 시그니처인 "21 00 3C 20 F3 2C" 와 "F3 2C 21 0C 3C E0"를 데이터베이스(150)에 저장된 바이너리 시그니처와 비교하여 동일한 바이너리 시그니처인 "21 00 3C 20 F3 2C" 를 검출한다.
상기와 같이 검출부(130)에서 검출된 시그니처는 판별부(140)에 전달되고, 검출된 시그니처를 전달받은 판별부(140)는 분석회피기법을 인식할 수 있는 시그니처에 대한 정보를 사용자가 인식할 수 있는 형태로 변환하여 출력한다(S360).
따라서, 판별부(140)는 검출된 시그니처를 통해 분석회피기법의 종류, 방식, 적용된 도구 등에 대한 정보를 사용자에게 제공한다.
예를 들어, 상기에 기재한 바와 같이 검출부(130)가 "detect_debug", isrooting 및 "21 00 3C 20 F3 2C"를 포함하는 시그니처가 검출하였다고 가정하면, 판별부(140)는 검출된 시그니처를 이용하여 안티 루팅 기법, 안티 디버깅 기법 그리고 안티 에뮬레이터 기법이 모두 적용되었다는 결과를 출력한다.
따라서, 본 발명의 실시예에 따르면, 분석회피기법이 적용된 애플리케이션을 자동으로 인식함에 따라 분석하는데 드는 시간을 단축시켜 악성 애플리케이션으로 인해 입는 피해에 대한 적절하고 빠른 대응이 가능한 효과를 지닌다.
또한, 본 발명의 실시예에 따르면, 분석회피기법 인식 시 안드로이드의 자바로 작성된 코드뿐 아니라 JNI를 이용하여 네이티브 라이브러리로 작성된 분석회피기법 또한 인식하는 것이 가능하며, 분석회피기법에 대한 인식 그 자체로 끝나는 것이 아닌 해당 분석회피기법이 사용한 분석회피기법의 종류, 분석회피기법에 사용된 방법 등, 안드로이드 애플리케이션 분석에 필요한 다양한 정보를 제공하는 효과를 도모할 수 있다.
또한, 본 발명의 실시예에 따르면, 동적 방법이 아닌 정적 방법을 이용하여 애플리케이션에 적용된 분석회피기법을 인식하는 것으로 직접 애플리케이션을 실행하지 않아도 어떠한 분석회피기법이 적용되어 있는가를 확인할 수 있다.
본 발명은 도면에 도시된 실시예를 참고로 하여 설명되었으나 이는 예시적인 것에 불과하며, 당해 기술이 속하는 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 아래의 특허청구범위의 기술적 사상에 의하여 정해져야 할 것이다.
100 : 분석회피기법 자동 인식 장치
110 : 추출부
120 : 파싱부
121 : DEX 파싱모듈
122 : ELF 파싱모듈
130 : 검출부
131 : 문자열 검출모듈
132 : API함수 검출모듈
133 : 바이너리 검출모듈
140 : 판별부
150 : 데이터베이스
110 : 추출부
120 : 파싱부
121 : DEX 파싱모듈
122 : ELF 파싱모듈
130 : 검출부
131 : 문자열 검출모듈
132 : API함수 검출모듈
133 : 바이너리 검출모듈
140 : 판별부
150 : 데이터베이스
Claims (14)
- 모바일 환경에서 애플리케이션에 적용된 분석회피기법을 자동 인식하기 위한 장치에 있어서,
안드로이드에서 실행되는 실행코드를 APK의 형태로 압축하여 포함하고 있는 애플리케이션 파일을 언팩하여 DEX 파일과 ELF 파일을 추출하는 추출부,
상기 DEX 파일을 디컴파일한 후 파싱하는 DEX 파싱모듈과 ELF 파일을 디컴파일한 후 파싱하는 ELF 파싱 모듈을 포함하며, DEX 파싱모듈과 ELF 파싱 모듈로부터 문자열 시그니처, API 함수 시그니처, 그리고 바이너리 시그니처를 획득하는 파싱부,
상기 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 입력받으며, 상기 입력된 시그니처와 데이터베이스에 저장된 시그니처를 비교 분석하여 분석회피기법에 사용된 시그니처를 검출하는 검출부, 그리고
상기 검출된 시그니처로부터 상기 애플리케이션에 적용된 분석회피 기법을 판별하는 판별부를 포함하며,
상기 검출부는,
상기 DEX 파싱 모듈과 ELF 파싱 모듈로부터 추출된 하나 이상의 문자열 시그니처를 입력받고, 상기 입력된 하나 이상의 문자열 시그니처를 상기 데이터베이스에 저장된 문자열 시그니처와 비교하여 일치하는 문자열 시그니처를 검출하는 문자열 검출모듈,
상기 ELF 파싱 모듈로부터 추출된 하나 이상의 API 함수 시그니처를 입력받고, 상기 입력된 하나 이상의 API 함수 시그니처를 상기 데이터베이스에 저장된 API 함수 시그니처와 비교하여 일치하는 API 함수 시그니처를 검출하는 API 검출모듈, 그리고
상기 ELF 파싱 모듈로부터 추출된 하나 이상의 바이너리 시그니처를 입력받고, 상기 입력된 하나 이상의 바이너리 시그니처를 상기 데이터베이스에 기 저장된 바이너리 시그니처와 비교하여, 일치하는 바이너리 시그니처를 검출하는 바이너리 검출모듈을 포함하는 분석회피기법 자동 인식 장치. - 삭제
- 제1항에 있어서,
상기 파싱부는,
상기 추출된 DEX 파일을 분석하여 상기 DEX 파일에 포함된 하나 이상의 문자열 시그니처를 추출하는 DEX 파싱 모듈, 그리고
상기 추출된 ELF 파일을 분석하여 상기 ELF 파일에 포함된 하나 이상의 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 추출하는 ELF 파싱 모듈를 포함하는 분석회피기법 자동 인식 장치. - 삭제
- 제1항에 있어서,
상기 데이터베이스는,
분석회피기법에 사용되는 소스코드에 대응하는 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 저장하는 분석회피기법 자동 인식 장치. - 제1항에 있어서,
상기 판별부는,
상기 검출된 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 통하여 상기 애플리케이션 파일에 적용된 분석회피기법의 종류 및 도구에 대한 정보를 판별하고, 판별 결과를 사용자가 인식할 수 있는 형태로 변환하여 출력하는 분석회피기법 자동 인식 장치. - 제6항에 있어서,
상기 판별 결과는 상기 애플리케이션 파일에 적용된 분석회피기법의 종류, 방식 및 도구를 포함하며,
상기 분석회피기법의 종류는,
안티 루팅 기법, 안티 디버깅 기법 그리고 안티 에뮬레이터 기법을 포함하며,
상기 분석회피기법의 방식은,
문자열 방식, API 방식 및 바이너리 방식을 포함하고,
상기 분석회피기법에 적용된 도구는,
모바일 환경에서 어플리케이션 생성 시에 사용된 프로그램을 나타내는 분석회피기법 자동 인식 장치. - 모바일 환경에서 분석회피기법 자동 인식 장치를 이용한 분석회피기법을 자동 인식하기 위한 방법에 있어서,
분석회피기법 자동 인식 장치를 통해 애플리케이션을 수신하고, 수신된 애플리케이션에 포함되며 APK의 형태로 압축한 실행코드를 언팩하여 DEX 파일과 ELF 파일을 추출하는 단계,
상기 DEX 파일을 디컴파일한 후 파싱하는 DEX 파싱모듈과 ELF 파일을 디컴파일한 후 파싱하는 ELF 파싱 모듈로부터 문자열 시그니처, API 함수 시그니처, 그리고 바이너리 시그니처를 획득하는 단계,
상기 문자열 시그니처, API 함수 시그니처, 및 바이너리 시그니처를 입력받으며, 상기 입력된 시그니처와 데이터베이스에 저장된 시그니처를 비교분석하여 분석회피기법에 사용된 시그니처를 검출하는 단계, 그리고
상기 검출된 시그니처로부터 상기 애플리케이션에 적용된 분석회피 기법을 판별하는 단계를 포함하며,
상기 시그니처를 검출하는 단계는,
상기 DEX 파싱 모듈과 ELF 파싱 모듈로부터 추출된 하나 이상의 문자열 시그니처를 입력받고, 상기 입력된 하나 이상의 문자열 시그니처를 상기 데이터베이스에 저장된 문자열 시그니처와 비교하여 일치하는 문자열 시그니처를 검출하고,
상기 ELF 파싱 모듈로부터 추출된 하나 이상의 API 함수 시그니처를 입력받고, 상기 입력된 하나 이상의 API 함수 시그니처를 상기 데이터베이스에 저장된 API 함수 시그니처와 비교하여 일치하는 API 함수 시그니처를 검출하고,
상기 ELF 파싱 모듈로부터 추출된 하나 이상의 바이너리 시그니처를 입력받고, 상기 입력된 하나 이상의 바이너리 시그니처를 상기 데이터베이스에 기 저장된 바이너리 시그니처와 비교하여, 일치하는 바이너리 시그니처를 검출하는 분석회피기법 자동 인식 방법. - 삭제
- 제8항에 있어서,
상기 시그니처를 획득하는 단계는,
파싱된 DEX 파일을 분석하여 상기 DEX 파일에 포함된 하나 이상의 문자열 시그니처를 획득하고,
파싱된 ELF 파일을 분석하여 상기 ELF 파일에 포함된 하나 이상의 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 획득하는 분석회피기법 자동 인식 방법. - 삭제
- 제8항에 있어서,
상기 데이터베이스는,
분석회피기법에 사용되는 소스코드에 대응하는 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 저장하는 분석회피기법 자동 인식 방법. - 제8항에 있어서,
상기 분석회피 기법을 판별하는 단계는,
상기 검출된 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 통하여 상기 애플리케이션에 적용된 분석회피기법의 종류 및 도구에 대한 정보를 판별하고, 판별 결과를 사용자가 인식할 수 있는 형태로 변환하여 출력하는 분석회피기법 자동 인식 방법. - 제13항에 있어서,
상기 판별 결과는 상기 애플리케이션에 적용된 분석회피기법의 종류, 방식 및 도구를 포함하며,
상기 분석회피기법의 종류는,
안티 루팅 기법, 안티 디버깅 기법 그리고 안티 에뮬레이터 기법을 포함하며,
상기 분석회피기법의 방식은,
문자열 방식, API 방식 및 바이너리 방식을 포함하고,
상기 분석회피기법에 적용된 도구는,
모바일 환경에서 어플리케이션 생성 시에 사용된 프로그램을 나타내는 분석회피기법 자동 인식 방법.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/262,745 US11934495B2 (en) | 2017-11-16 | 2018-11-26 | Device for automatically identifying anti-analysis techniques by using signature extraction and method therefor |
| PCT/KR2018/014602 WO2020050455A1 (ko) | 2017-11-16 | 2018-11-26 | 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170153307 | 2017-11-16 | ||
| KR20170153307 | 2017-11-16 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101976992B1 true KR101976992B1 (ko) | 2019-05-10 |
Family
ID=66580929
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020180105835A KR101976992B1 (ko) | 2017-11-16 | 2018-09-05 | 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11934495B2 (ko) |
| KR (1) | KR101976992B1 (ko) |
| WO (1) | WO2020050455A1 (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112699398A (zh) * | 2021-01-28 | 2021-04-23 | 厦门立林科技有限公司 | 一种安卓应用关键数据的保护装置、方法、设备及可存储介质 |
| KR102271273B1 (ko) | 2020-11-26 | 2021-06-29 | 숭실대학교산학협력단 | 네이티브 코드 분석방지 우회를 위한 프로세스 래핑 방법, 이를 수행하기 위한 기록 매체 및 장치 |
| US11886589B2 (en) | 2020-11-26 | 2024-01-30 | Foundation Of Soongsil University-Industry Cooperation | Process wrapping method for evading anti-analysis of native codes, recording medium and device for performing the method |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20150047940A (ko) * | 2013-10-25 | 2015-05-06 | 삼성전자주식회사 | 어플리케이션 분석 방법 및 장치 |
| KR20170068814A (ko) * | 2015-12-10 | 2017-06-20 | 한국전자통신연구원 | 악성 모바일 앱 감지 장치 및 방법 |
| KR20170088074A (ko) * | 2016-01-22 | 2017-08-01 | 김동완 | 소프트웨어 분석을 위한 리버스 엔지니어링 협업 장치, 방법 및 시스템 |
| KR20170089859A (ko) * | 2014-11-28 | 2017-08-04 | 톰슨 라이센싱 | 애플리케이션 무결성의 검증을 제공하기 위한 방법 및 디바이스 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101093410B1 (ko) | 2010-03-22 | 2011-12-14 | 주식회사 엔씨소프트 | 코드실행 알림기능을 이용한 악성 프로그램 탐지 방법 |
| WO2012071989A1 (zh) * | 2010-11-29 | 2012-06-07 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
| ES2755780T3 (es) * | 2011-09-16 | 2020-04-23 | Veracode Inc | Análisis estático y de comportamiento automatizado mediante la utilización de un espacio aislado instrumentado y clasificación de aprendizaje automático para seguridad móvil |
| WO2014142430A1 (ko) * | 2013-03-15 | 2014-09-18 | 주식회사 에스이웍스 | 안드로이드에서의 dex파일 바이너리 난독화 방법 |
| KR101558652B1 (ko) | 2013-06-04 | 2015-10-08 | 한양대학교 산학협력단 | 바이너리 정보의 시각화를 이용한 악성 코드 분석 및 변종 탐지 방법, 그 방법을 수행하는 장치 |
| US10079841B2 (en) | 2013-09-12 | 2018-09-18 | Virsec Systems, Inc. | Automated runtime detection of malware |
| KR101518420B1 (ko) | 2014-11-11 | 2015-05-07 | 주식회사 에스이웍스 | 안드로이드 플랫폼에서의 apk 파일 관리 장치 및 방법 |
| US10372905B1 (en) * | 2014-12-12 | 2019-08-06 | Amazon Technologies, Inc. | Preventing unauthorized software execution |
| KR101574652B1 (ko) * | 2015-01-14 | 2015-12-11 | 한국인터넷진흥원 | 모바일 침해사고 분석시스템 및 방법 |
| KR101623096B1 (ko) | 2015-05-13 | 2016-05-23 | 주식회사 에스이웍스 | 안드로이드 플랫폼에서의 apk 파일 관리 장치 및 방법 |
| KR101724412B1 (ko) | 2015-09-23 | 2017-04-10 | 한국전자통신연구원 | 확장 코드를 이용한 어플리케이션 분석 장치 및 방법 |
| US10121004B2 (en) * | 2015-10-07 | 2018-11-06 | Electronics And Telecommunications Research Institute | Apparatus and method for monitoring virtual machine based on hypervisor |
| KR20170060280A (ko) * | 2015-11-24 | 2017-06-01 | 한국전자통신연구원 | 탐지 규칙 자동 생성 장치 및 방법 |
| KR102582580B1 (ko) * | 2016-01-19 | 2023-09-26 | 삼성전자주식회사 | 악성 코드 분석을 위한 전자 장치 및 이의 방법 |
| US10785255B1 (en) * | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
| RU2637997C1 (ru) * | 2016-09-08 | 2017-12-08 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносного кода в файле |
-
2018
- 2018-09-05 KR KR1020180105835A patent/KR101976992B1/ko active IP Right Grant
- 2018-11-26 US US17/262,745 patent/US11934495B2/en active Active
- 2018-11-26 WO PCT/KR2018/014602 patent/WO2020050455A1/ko active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20150047940A (ko) * | 2013-10-25 | 2015-05-06 | 삼성전자주식회사 | 어플리케이션 분석 방법 및 장치 |
| KR20170089859A (ko) * | 2014-11-28 | 2017-08-04 | 톰슨 라이센싱 | 애플리케이션 무결성의 검증을 제공하기 위한 방법 및 디바이스 |
| KR20170068814A (ko) * | 2015-12-10 | 2017-06-20 | 한국전자통신연구원 | 악성 모바일 앱 감지 장치 및 방법 |
| KR20170088074A (ko) * | 2016-01-22 | 2017-08-01 | 김동완 | 소프트웨어 분석을 위한 리버스 엔지니어링 협업 장치, 방법 및 시스템 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102271273B1 (ko) | 2020-11-26 | 2021-06-29 | 숭실대학교산학협력단 | 네이티브 코드 분석방지 우회를 위한 프로세스 래핑 방법, 이를 수행하기 위한 기록 매체 및 장치 |
| US11886589B2 (en) | 2020-11-26 | 2024-01-30 | Foundation Of Soongsil University-Industry Cooperation | Process wrapping method for evading anti-analysis of native codes, recording medium and device for performing the method |
| CN112699398A (zh) * | 2021-01-28 | 2021-04-23 | 厦门立林科技有限公司 | 一种安卓应用关键数据的保护装置、方法、设备及可存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11934495B2 (en) | 2024-03-19 |
| WO2020050455A1 (ko) | 2020-03-12 |
| US20210141875A1 (en) | 2021-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108763928B (zh) | 一种开源软件漏洞分析方法、装置和存储介质 | |
| US7493596B2 (en) | Method, system and program product for determining java software code plagiarism and infringement | |
| KR101976992B1 (ko) | 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법 | |
| US8051410B2 (en) | Apparatus for migration and conversion of software code from any source platform to any target platform | |
| KR20170068814A (ko) | 악성 모바일 앱 감지 장치 및 방법 | |
| KR102006242B1 (ko) | 바이너리 파일에 기초하여 오픈소스 소프트웨어 패키지를 식별하는 방법 및 시스템 | |
| CN114462044B (zh) | 一种基于污点分析的uefi固件漏洞静态检测方法及装置 | |
| US20180012142A1 (en) | Cross-platform program analysis using machines learning based on universal features | |
| CN110619213A (zh) | 基于多模型特征的恶意软件识别方法、系统及相关装置 | |
| KR101926142B1 (ko) | 프로그램 분석 장치 및 방법 | |
| CN112632529A (zh) | 漏洞识别方法、设备、存储介质及装置 | |
| CN112688966A (zh) | webshell检测方法、装置、介质和设备 | |
| KR102418212B1 (ko) | 아키텍처에 무관한 프로그램 함수 유사도 측정 방법 | |
| CN112817877B (zh) | 异常脚本检测方法、装置、计算机设备和存储介质 | |
| US20060004810A1 (en) | Method, system and product for determining standard java objects | |
| US20090259673A1 (en) | Method and apparatus for extracting text from internet mail attachment file | |
| KR20140087236A (ko) | Multi N―gram을 이용한 악성코드 분류 방법 | |
| CN114547628B (zh) | 漏洞检测方法及装置 | |
| KR101824699B1 (ko) | 안드로이드 앱 분석 장치 및 그 방법과, 이를 실행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 | |
| KR102286451B1 (ko) | 자연어 처리 기반 난독화된 식별자 인식 방법, 이를 수행하기 위한 기록 매체 및 장치 | |
| CN112163217A (zh) | 恶意软件变种识别方法、装置、设备及计算机存储介质 | |
| CN110764783A (zh) | 一种生成信息采集工具的方法及装置、设备、存储介质 | |
| CN115795058B (zh) | 一种威胁建模方法、系统、电子设备及存储介质 | |
| CN117235727B (zh) | 基于大型语言模型的WebShell识别方法和系统 | |
| CN116578979B (zh) | 一种基于代码特征的跨平台二进制代码匹配方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |