KR102111886B1 - Method and apparatus for dbi detection on arm architecture - Google Patents

Method and apparatus for dbi detection on arm architecture Download PDF

Info

Publication number
KR102111886B1
KR102111886B1 KR1020190097933A KR20190097933A KR102111886B1 KR 102111886 B1 KR102111886 B1 KR 102111886B1 KR 1020190097933 A KR1020190097933 A KR 1020190097933A KR 20190097933 A KR20190097933 A KR 20190097933A KR 102111886 B1 KR102111886 B1 KR 102111886B1
Authority
KR
South Korea
Prior art keywords
code
cache
program
arm architecture
environment
Prior art date
Application number
KR1020190097933A
Other languages
Korean (ko)
Inventor
강병훈
장대희
박민준
정윤종
김기환
Original Assignee
한국과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술원 filed Critical 한국과학기술원
Priority to KR1020190097933A priority Critical patent/KR102111886B1/en
Application granted granted Critical
Publication of KR102111886B1 publication Critical patent/KR102111886B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/362Software debugging
    • G06F11/3644Software debugging by instrumenting at runtime
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/362Software debugging
    • G06F11/366Software debugging using diagnostics
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45504Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
    • G06F9/45508Runtime interpretation or emulation, e g. emulator loops, bytecode interpretation

Abstract

According to one embodiment, provided is a dynamic program correction detection technology performed by a detection device, which comprises the steps of: estimating difference information in which a modulated code is operated by inserting an arbitrary code into a program running in an ARM architecture or a dynamic binary instrumentation environment of the ARM architecture; and voluntarily discriminating an execution environment of the program using the estimated difference information.

Description

ARM 아키텍쳐 상의 동적 프로그램 수정 탐지 기술{METHOD AND APPARATUS FOR DBI DETECTION ON ARM ARCHITECTURE}Dynamic program modification detection technology on ARM architecture {METHOD AND APPARATUS FOR DBI DETECTION ON ARM ARCHITECTURE}

아래의 설명은 ARM아키텍쳐 상의 프로세스가 스스로 동적 프로그램 수정을 당하고 있는지 여부를 판별하는 기술에 관한 것으로서, 더욱 상세하게는 코드 캐시 구조를 이용한 분석법에 관한 것이다.The following description relates to a technique for determining whether a process on an ARM architecture is undergoing dynamic program modification by itself, and more particularly, an analysis method using a code cache structure.

기존의 동적 프로그램 수정을 탐지하기 위한 방법으로, 휴리스틱 방식이 일반적이었다. 구체적으로, 특정 DBI에 존재하는 버그를 확인하거나, 시그널마스크 혹은 리소스 사용량 정보 등 DBI의 구현 특성을 확인하거나, DBI가 이용하는 DBI전용 라이브러리 존재 유무를 확인하거나, 특정 명령어가 발생시키는 에러에 대한 처리방식을 확인하는 것 등이 있다.As a method for detecting an existing dynamic program modification, a heuristic method has been common. Specifically, check the bug existing in a specific DBI, check the implementation characteristics of the DBI such as signal mask or resource usage information, check the existence of a DBI-only library used by the DBI, or handle the error caused by a specific command And to confirm.

한편, 미국등록특허 제8151352호(Anti-malware emulation systems and methods)는 기술은 emulation을 하고 있는 환경에서 현재 실행되고 있는 프로그램이 스스로 emulation환경에서 실행 중인지를 아는 것이 가능한지 여부와 관련된 내용을 다루고 있다.On the other hand, U.S. Patent No. 8151352 (Anti-malware emulation systems and methods) deals with whether or not it is possible to know whether a program currently being executed in an emulation environment is running in an emulation environment.

ARM 아키텍쳐 상의 프로세스가 휴리스틱 기반의 방식이 아닌 다른 방식을 통해 스스로 DBI환경에서 실행 중인지 여부를 판단하는 방법 및 장치를 제공할 수 있다. It is possible to provide a method and apparatus for determining whether a process on an ARM architecture is running in a DBI environment by itself other than a heuristic-based method.

탐지 시스템에 의해 수행되는 동적 프로그램 수정 탐지 방법은, ARM 아키텍쳐에서 실행 중인 프로그램에 임의의 코드를 삽입함에 따라 변조된 코드가 동작되는 차이 정보를 추정하는 단계; 및 상기 추정된 차이 정보를 이용하여 프로그램의 실행 환경을 자발적으로 판별하는 단계를 포함할 수 있다. The dynamic program modification detection method performed by the detection system includes estimating difference information in which a modulated code is operated by inserting arbitrary code into a program running in the ARM architecture; And voluntarily discriminating the execution environment of the program using the estimated difference information.

상기 차이 정보를 추정하는 단계는, 상기 ARM 아키텍쳐에서 상기 실행 중인 프로그램에 임의의 코드를 삽입하여 코드를 변경하는 자체 수정 코드(Self-modifying code)의 동작 여부를 판단하는 단계를 포함할 수 있다. The estimating the difference information may include determining whether or not to operate the self-modifying code for changing the code by inserting arbitrary code in the running program in the ARM architecture.

상기 차이 정보를 추정하는 단계는, 상기 자체 수정 코드가 상기 ARM 아키텍쳐에서 동작되는지 또는 상기 자체 수정 코드가 상기 ARM 아키텍쳐의 동적 바이너리 계측(Dynamic Binary Instrumentation)에서 동작되는지 추정하는 단계를 포함할 수 있다. The estimating the difference information may include estimating whether the self-correcting code operates on the ARM architecture or whether the self-correcting code operates on dynamic binary instrumentation of the ARM architecture.

상기 ARM 아키텍쳐는, 프로세서가 명령어 실행을 위해 메모리에서 명령어를 패치(fetch)한 내용에 대한 캐시를 의미하는 I-캐시 및 연산을 위한 데이터를 메모리에서 가져온 내용에 대한 캐시를 의미하는 D-캐시로 구성되고, 상기 ARM 아키텍쳐에서 I-캐시와 상기 D-캐시의 구조는 비동기화될 수 있다. The ARM architecture includes an I-cache, which means the cache for the contents of which the processor fetches instructions from memory for execution of instructions, and a D-cache, which means the cache for contents obtained from memory. Configuration, the structure of the I-cache and the D-cache in the ARM architecture can be asynchronous.

상기 판별하는 단계는, 상기 ARM 아키텍쳐에서 메모리 주소를 업데이트함에 따라 상기 ARM 아키텍쳐에 구성된 I-캐시와 D-캐시가 동일한 메모리 주소를 포함하도록 한 뒤, rwx 메모리 영역에 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조를 시도할 경우, 상기 ARM 아키텍쳐에서 상기 변조된 코드가 비정상적으로 동작하는 것으로 판단하는 단계를 포함할 수 있다. The discriminating step includes updating the memory address in the ARM architecture so that the I-cache and the D-cache configured in the ARM architecture include the same memory address, and then writing the contents of the code by writing data to the rwx memory area. When attempting to modulate a code that modifies, it may include determining that the modulated code operates abnormally in the ARM architecture.

상기 판별하는 단계는, 상기 ARM 아키텍쳐에서 메모리 주소를 업데이트함에 따라 rwx 메모리 영역을 활용하여 코드의 내용을 수정하는 코드 변조를 시도할 경우, 아이-캐시 미스(I-cache miss)가 발생하여 상기 동적 바이너리 계측 환경에서 상기 변조된 코드가 정상적으로 동작하는 것으로 판단하는 단계를 포함할 수 있다. The discriminating step may include an I-cache miss when attempting to modulate the code to modify the contents of the code by utilizing the rwx memory area as the memory address is updated in the ARM architecture. And determining that the modulated code operates normally in a binary measurement environment.

상기 동적 프로그램 수정 탐지 방법은, ARM 아키텍쳐에서 실행 중인 프로그램에 임의의 코드가 삽입되어 변조된 코드가 동작됨에 따라 추정된 차이 정보를 이용하여 프로그램의 실행 환경을 자발적으로 판별하는 과정을 PoC 코드를 통하여 검증하는 단계를 더 포함할 수 있다. In the dynamic program modification detection method, a process of voluntarily discriminating the execution environment of a program using the estimated difference information as an arbitrary code is inserted into a program running in the ARM architecture and the modulated code is operated through PoC code It may further include the step of verifying.

탐지 시스템에 의해 수행되는 동적 프로그램 수정 탐지 방법을 실행시키기 위하여 컴퓨터 판독 가능한 저장매체에 저장된 컴퓨터 프로그램은, ARM 아키텍쳐에서 실행 중인 프로그램에 임의의 코드를 삽입함에 따라 변조된 코드가 동작되는 차이 정보를 추정하는 단계; 및 상기 추정된 차이 정보를 이용하여 프로그램의 실행 환경을 자발적으로 판별하는 단계를 포함할 수 있다. The computer program stored in the computer readable storage medium in order to execute the dynamic program modification detection method performed by the detection system estimates difference information in which the modulated code is operated by inserting arbitrary code into a program running in the ARM architecture. To do; And voluntarily discriminating the execution environment of the program using the estimated difference information.

동적 프로그램 수정을 탐지하기 위한 탐지 시스템은, ARM 아키텍쳐에서 실행 중인 프로그램에 임의의 코드를 삽입함에 따라 변조된 코드가 동작되는 차이 정보를 추정하는 추정부; 및 상기 추정된 차이 정보를 이용하여 프로그램의 실행 환경을 자발적으로 판별하는 판별부를 포함할 수 있다. The detection system for detecting a dynamic program modification includes: an estimator for estimating difference information in which a modulated code is operated by inserting arbitrary code into a program running in the ARM architecture; And a discrimination unit for voluntarily discriminating the execution environment of the program using the estimated difference information.

상기 추정부는, 상기 ARM 아키텍쳐에서 상기 실행 중인 프로그램에 임의의 코드를 삽입하여 코드를 변경하는 자체 수정 코드(Self-modifying code)의 동작 여부를 판단할 수 있다. The estimator may determine whether to operate the self-modifying code to change the code by inserting arbitrary code into the running program in the ARM architecture.

상기 추정부는, 상기 자체 수정 코드가 상기 ARM 아키텍쳐에서 동작되는지 또는 상기 자체 수정 코드가 상기 ARM 아키텍쳐의 동적 바이너리 계측(Dynamic Binary Instrumentation)에서 동작되는지 추정할 수 있다. The estimation unit may estimate whether the self-modifying code is operated in the ARM architecture or whether the self-modifying code is operated in dynamic binary instrumentation of the ARM architecture.

상기 판별부는, 상기 ARM 아키텍쳐에서 메모리 주소를 업데이트함에 따라 상기 ARM 아키텍쳐에 구성된 I-캐시와 D-캐시가 동일한 메모리 주소를 포함하도록 한 뒤, rwx 메모리 영역에 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조를 시도할 경우, 상기 ARM 아키텍쳐에서 상기 변조된 코드가 비정상적으로 동작하는 것으로 판단할 수 있다. The discrimination unit corrects the contents of the code by writing data to the rwx memory area after making the I-cache and the D-cache configured in the ARM architecture contain the same memory address as the memory address is updated in the ARM architecture. When attempting code modulation, it may be determined that the modulated code operates abnormally in the ARM architecture.

상기 판별하는 단계는, 상기 ARM 아키텍쳐에서 메모리 주소를 업데이트함에 따라 rwx 메모리 영역을 활용하여 코드의 내용을 수정하는 코드 변조를 시도할 경우, 아이-캐시 미스(I-cache miss)가 발생하여 상기 동적 바이너리 계측 환경에서 상기 변조된 코드가 정상적으로 동작하는 것으로 판단할 수 있다. The discriminating step may include an I-cache miss when attempting to modulate the code to modify the contents of the code by utilizing the rwx memory area as the memory address is updated in the ARM architecture. It can be determined that the modulated code operates normally in a binary measurement environment.

ARM 아키텍쳐 상에서 이용할 수 있는 대표적인 동적 바이너리 계측(DBI)의 대표적인 방법인 DynamicRIO와 같은 프로그램에 대한 탐지 기술이 될 수 있다. It can be a detection technology for programs such as DynamicRIO, which is a representative method of dynamic binary measurement (DBI), which can be used on the ARM architecture.

또한, 제품화된 소프트웨어의 정보 탈취를 미연에 방지하는 기술로 이용할 수 있어, 소프트웨어의 난독화 레벨을 향상시킬 수 있다. In addition, it can be used as a technology to prevent information theft of commercialized software in advance, and it is possible to improve the obfuscation level of software.

도 1은 일 실시예에 있어서, ARM 아키텍쳐에서 동적 프로그램 수정 탐지를 수행하는 동작을 설명하기 위한 도면이다.
도 2는 일 실시예에 있어서, 동적 바이너리 계측 환경에서 동적 프로그램 수정 탐지를 수행하는 동작을 설명하기 위한 도면이다.
도 3은 일 실시예에 따른 탐지 장치의 구성을 설명하기 위한 흐름도이다.
도 4는 일 실시예에 따른 탐지 장치에서 ARM 아키텍쳐 상의 동적 프로그램 수정 탐지를 수행하는 방법을 설명하기 위한 흐름도이다.
도 5는 일 실시예에 있어서, 동적 프로그램 수정 탐지를 수행하는 동작을 검증하는 것을 나타낸 예이다. 1 is a diagram for describing an operation of performing dynamic program modification detection in an ARM architecture in one embodiment.
2 is a diagram for explaining an operation of performing dynamic program modification detection in a dynamic binary measurement environment, in an embodiment.
3 is a flowchart illustrating the configuration of a detection device according to an embodiment.
4 is a flowchart illustrating a method of performing dynamic program modification detection on an ARM architecture in a detection device according to an embodiment.
5 is an example of verifying an operation for performing dynamic program modification detection in an embodiment.

이하, 실시예를 첨부한 도면을 참조하여 상세히 설명한다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings.

실시예에서는 아키텍쳐 구조를 활용하여 동적 프로그램의 수정을 탐지하는 기술에 대하여 설명하기로 한다. In an embodiment, a technique for detecting a modification of a dynamic program using an architecture structure will be described.

도 1은 일 실시예에 있어서, ARM 아키텍쳐에서 동적 프로그램 수정 탐지를 수행하는 동작을 설명하기 위한 도면이다. 1 is a diagram for describing an operation of performing dynamic program modification detection in an ARM architecture in one embodiment.

ARM 아키텍쳐는 임베디드 기기에서 많이 사용되는 RISC 프로세서이다. The ARM architecture is a RISC processor that is commonly used in embedded devices.

ARM 아키텍쳐는 내부적으로 I-캐시(I-cache)와 D-캐시(D-cache)를 포함하는 두 종류의 캐시를 사용한다. I-캐시는 프로세서가 명령어 실행을 위해 메모리에서 명령어를 패치(fetch)한 내용에 대한 캐시를 의미한다. D-캐시는 연산을 위한 데이터를 메모리에서 가져온 내용에 대한 캐시를 의미한다. 이때, I-캐시와 D-캐시의 구조는 서로 동기화되지 않는다. 이에, I-캐시 및 D-캐시가 동일한 메모리 주소에 대한 내용을 담고 있고, I-캐시 및 D-캐시 어느 하나의 캐시에 메모리 주소에 대한 내용이 변경될 경우, 변경되지 않는 나머지 하나의 캐시에서 변경된 내용을 적용받는 데 시간이 소요될 수 있다. The ARM architecture internally uses two types of cache, including I-cache and D-cache. I-cache refers to a cache for the contents of a processor fetching instructions from memory to execute instructions. D-cache refers to the cache for the contents of the operation data from memory. At this time, the structures of the I-cache and the D-cache are not synchronized with each other. Accordingly, if the I-cache and the D-cache contain the contents of the same memory address, and if the contents of the memory address are changed in either the I-cache or the D-cache, the remaining unchanged cache It may take time to receive the changes.

도 1을 참고하면, ARM 아키텍쳐에서 메모리 주소를 업데이트할 수 있다. 메모리 주소에 대한 데이터에 접근할 수 있다. rwx 메모리 영역을 활용하여 ARM 아키텍쳐에 구성된 I-캐시와 D-캐시가 동일한 메모리 주소를 포함하도록 I-캐시와 D-캐시에 메모리 주소를 업데이트한 뒤, 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조가 시도될 수 있다. 이때, ARM 아키텍쳐에서 실행 중인 프로그램에 의해 실행 중인 프로그램에서 동작하는 자체 수정 코드에 기초하여 ARM 아키텍쳐에서 변조된 코드가 정상적으로 동작할 가능성을 판단될 수 있다. ARM 아키텍쳐에서는 변조된 코드가 적용되지 않을 확률이 높다.Referring to Figure 1, it is possible to update the memory address in the ARM architecture. You can access the data for the memory address. Using rwx memory area, update memory addresses in I-cache and D-cache so that the I-cache and D-cache configured in the ARM architecture contain the same memory address, and then modify the contents of the code by writing data. Code tampering can be attempted. At this time, it is possible to determine the possibility that the code modulated in the ARM architecture operates normally based on the self-modifying code operating in the program being executed by the program running in the ARM architecture. There is a high probability that the modulated code is not applied in the ARM architecture.

이에 반해, 도 2를 참고하면, 동적 바이너리 계측(Dynamic Binary Instrumentation) 환경의 경우, 코드를 실행할 때 동적 바이너리 계측에 의한 자체적인 동적 코드 변경을 위한 코드 변조 과정이 포함되어 있다. 예를 들면, 코드 변조 과정으로 코드를 다른 위치로 복사하는 추가적인 과정이 있을 수 있다. 이에, 동적 바이너리 계측 환경에서 I-캐시 미스(I-cache miss)가 발생하여 업데이트된 캐시로 패치될 수 있다. 동적 바이너리 계측에서는 rwx 메모리 영역을 활용하여 코드 변조가 시도되었을 경우, 동적 바이너리 계측에서 추가적인 코드 변조 과정이 포함됨에 따라 동적 바이너리 계측에서 자체 수정 코드가 정상적으로 동작할 확률이 높다.On the other hand, referring to Figure 2, in the case of a dynamic binary instrumentation (Dynamic Binary Instrumentation) environment, a code modulation process for dynamic code change itself by dynamic binary instrumentation is included when executing the code. For example, there may be an additional process of copying the code to another location by the code modulation process. Accordingly, an I-cache miss occurs in a dynamic binary measurement environment and can be patched with an updated cache. In dynamic binary instrumentation, when code modulation is attempted by utilizing the rwx memory area, there is a high probability that the self-correcting code operates normally in dynamic binary instrumentation as an additional code modulation process is included in dynamic binary instrumentation.

실행 중인 프로그램이 ARM 아키텍쳐에서 직접적으로 구동되는 경우, ARM 아키텍쳐의 캐시 구조에 의하여 실행 중인 프로그램에서 동작하는 자체 수정 코드(Self-modifying code)가 정상적으로 동작하지 않을 확률이 높고, 실행 중인 프로그램이 동적 바이너리 계측에서 구동되는 경우 동적 바이너리 계측 환경에서는 자체 수정 코드가 정상적으로 동작할 확률이 높다. 이때, 자체 수정 코드(self-modifying code)는 실행 중에 자신의 명령어를 바꾸는 코드를 의미한다. If the running program runs directly on the ARM architecture, there is a high probability that the self-modifying code operating in the running program will not operate normally due to the cache structure of the ARM architecture, and the running program is a dynamic binary. When running in measurement, in a dynamic binary measurement environment, there is a high probability that the self-correcting code operates normally. In this case, the self-modifying code refers to code that changes one's instruction during execution.

정리하자면, ARM 아키텍쳐의 캐시 구조에 의하여 실행 중인 프로그램에서 동작하는 자체 수정 코드(Self-modifying code)가 정상적으로 동작할 확률 정보와 동적 바이너리 계측 환경에서 자체 수정 코드가 정상적으로 동작할 확률 정보의 차이가 추정될 수 있다. 이러한 차이 정보를 이용하여 실행되는 프로그램에서 동작되는 자체 수정 코드를 통하여 자발적으로 프로그램의 실행 환경이 판별될 수 있다. 예를 들면, ARM 아키텍쳐에서 실행 중인 프로그램에 자체 수정 코드(Self-modifying code)의 동작이 판단될 수 있다. 이때, 실행 중인 프로그램을 통하여 실행 중인 프로그램에서 동작되는 자체 수정 코드가 ARM 아키텍쳐에서 동작되는지 또는 ARM 아키텍쳐의 동적 바이너리 계측(Dynamic Binary Instrumentation)에서 동작되는지 추정될 수 있다. In summary, the difference between the probability information that the self-modifying code running in the running program and the probability information of the self-modifying code operating normally in the dynamic binary measurement environment is estimated by the cache structure of the ARM architecture. Can be. The execution environment of the program can be determined spontaneously through self-correcting code operated in the program executed using the difference information. For example, the operation of the self-modifying code may be determined in a program running in the ARM architecture. In this case, it may be estimated whether the self-modifying code operated in the running program is executed in the ARM architecture or in the dynamic binary instrumentation of the ARM architecture through the running program.

ARM 아키텍쳐에서 상기 실행 중인 프로그램에 임의의 코드를 삽입하여 코드를 변경하는 자체 수정 코드(Self-modifying code)가 정상적으로 동작할 경우, ARM 아키텍쳐의 동적 바이너리 계측(Dynamic Binary Instrumentation) 환경에서 프로그램이 실행 중인 것으로 판단될 수 있고, 자체 수정 코드가 비정상적으로 동작할 경우, ARM 아키텍쳐에서 프로그램이 실행 중인 것으로 판단될 수 있다. When self-modifying code that changes the code by inserting arbitrary code into the running program in the ARM architecture operates normally, the program is running in the dynamic binary instrumentation environment of the ARM architecture. It may be determined that, if the self-correcting code operates abnormally, it may be determined that the program is running in the ARM architecture.

도 5를 참고하면, PoC 코드를 나타낸 것으로, 동적 프로그램 수정 탐지 내용을 검증하는 코드이다. PoC 코드를 실제로 실행시킴에 따라 ARM 아키텍쳐에서 에러(error)가 발생하지만, DynamoRIO와 같은 동적 바이너리 계측 환경에서는 아무런 에러 발생 없이 프로그램이 정상 종료될 수 있다.Referring to FIG. 5, the PoC code is shown, and is a code for verifying the dynamic program modification detection. As the PoC code is actually executed, an error occurs in the ARM architecture, but in a dynamic binary measurement environment such as DynamoRIO, the program can be normally terminated without any error.

도 5의 코드 정보를 확인하면, smc라는 매크로가 자체 수정 코드를 의미한다. 자체 수정 코드는 프로그램의 뒷 부분을 0xff 라는 값으로 xor연산을 하여 자체 수정을 수행할 수 있다. 프로그램의 뒷 부분은 잘못된 명령어 이지만, 코드가 실행되는 도중 프로그램의 뒷 부분이 xor연산에 의하여 'bx lr' 이라는 함수의 종료를 알리는 명령어로 변하게 된다. 동적 바이너리 계측 환경에서는 변환된 명령어가 실행되어 함수가 무사히 종료되고, ARM아키텍쳐에서는 변환되기 전의 명령어가 실행되어 에러가 발생된다. When checking the code information of FIG. 5, a macro called smc means a self-modifying code. The self-correcting code can perform self-correcting by performing an xor operation on the back of the program with a value of 0xff. The latter part of the program is an invalid instruction, but while the code is being executed, the latter part of the program is changed to an instruction indicating the end of the function called 'bx lr' by the xor operation. In the dynamic binary measurement environment, the converted instruction is executed and the function is terminated safely. In the ARM architecture, the instruction before the transformation is executed and an error occurs.

일 실시예에 따르면, 동적 프로그램 수정을 활용하는 소프트웨어의 분석을 매우 효과적으로 차단할 수 있다. 또한, ARM에서 동작하는 동적 바이너리 수정 기술인 DynamoRIO, Valgrind 등에 대한 탐지 기술이 될 수 있다. According to an embodiment, analysis of software utilizing dynamic program modification can be very effectively blocked. In addition, it can be a detection technology for DynamoRIO, Valgrind, etc., which are dynamic binary modification technologies that operate on ARM.

도 3은 일 실시예에 따른 탐지 시스템의 구성을 설명하기 위한 흐름도이고, 도 4는 일 실시예에 따른 탐지 시스템에서 ARM 아키텍쳐 상의 동적 프로그램 수정 탐지를 수행하는 방법을 설명하기 위한 흐름도이다.3 is a flowchart illustrating the configuration of a detection system according to an embodiment, and FIG. 4 is a flowchart illustrating a method for performing dynamic program modification detection on an ARM architecture in a detection system according to an embodiment.

탐지 시스템(300)의 프로세서는 추정부(310) 및 판별부(320)를 포함할 수 있다. 이러한 프로세서의 구성요소들은 탐지 시스템(300)에 저장된 프로그램 코드가 제공하는 제어 명령에 따라 프로세서에 의해 수행되는 서로 다른 기능들(different functions)의 표현들일 수 있다. 프로세서 및 프로세서의 구성요소들은 도 4의 ARM 아키텍쳐 상의 동적 프로그램 수정 탐지를 수행하는 방법이 포함하는 단계들(410 내지 420)을 수행하도록 탐지 시스템(300)을 제어할 수 있다. 이때, 프로세서 및 프로세서의 구성요소들은 메모리가 포함하는 운영체제의 코드와 적어도 하나의 프로그램의 코드에 따른 명령(instruction)을 실행하도록 구현될 수 있다. The processor of the detection system 300 may include an estimation unit 310 and a determination unit 320. The components of the processor may be expressions of different functions performed by the processor according to a control command provided by the program code stored in the detection system 300. The processor and components of the processor may control the detection system 300 to perform steps 410-420 included in the method of performing dynamic program modification detection on the ARM architecture of FIG. 4. At this time, the processor and the components of the processor may be implemented to execute instructions according to the code of the operating system included in the memory and the code of at least one program.

프로세서는 ARM 아키텍쳐 상의 동적 프로그램 수정 탐지를 수행하는 방법을 위한 프로그램의 파일에 저장된 프로그램 코드를 메모리에 로딩할 수 있다. 예를 들면, 탐지 시스템(300)에서 프로그램이 실행되면, 프로세서는 운영체제의 제어에 따라 프로그램의 파일로부터 프로그램 코드를 메모리에 로딩하도록 탐지 시스템(300)을 제어할 수 있다. 이때, 프로세서 및 프로세서가 포함하는 추정부(310) 및 판별부(320) 각각은 메모리에 로딩된 프로그램 코드 중 대응하는 부분의 명령을 실행하여 이후 단계들(410 내지 420)을 실행하기 위한 프로세서의 서로 다른 기능적 표현들일 수 있다. The processor may load program code stored in a file of a program for a method for performing dynamic program modification detection on an ARM architecture into memory. For example, when a program is executed in the detection system 300, the processor may control the detection system 300 to load program code from a file of the program into a memory under the control of the operating system. At this time, each of the processor and the estimation unit 310 and the determination unit 320 included in the processor executes an instruction of a corresponding part of the program code loaded in the memory to execute subsequent steps 410 to 420. It can be different functional expressions.

단계(410)에서 추정부(310)는 ARM 아키텍쳐에 기초하여 실행 중인 프로그램에서 자체 수정 코드(Self-modifying code)의 동작을 추정할 수 있다. 동적 바이너리 계측은 ARM 아키텍쳐에서 동작될 수 있다. 추정부(310)는 실행 중인 프로그램에서 동작하는 자체 수정 코드에 기초하여 실행 중인 프로그램이 ARM 아키텍쳐에서 동작되는지 또는 ARM 아키텍쳐에서 동작되는 동적 바이너리 계측 환경에서 동작되는지 여부를 판단할 수 있다. 다시 말해서, 추정부(310)는 ARM 아키텍쳐의 캐시 구조에 의하여 실행 중인 프로그램에 자체 수정 코드(Self-modifying code)가 정상적으로 동작할 확률 정보와 동적 바이너리 계측 환경에서 자체 수정 코드가 정상적으로 동작할 확률 정보의 차이를 추정할 수 있다.In step 410, the estimator 310 may estimate the operation of the self-modifying code in the running program based on the ARM architecture. Dynamic binary instrumentation can be run on the ARM architecture. The estimator 310 may determine whether the running program is operating in the ARM architecture or in a dynamic binary measurement environment operating in the ARM architecture based on self-modifying code that operates in the running program. In other words, the estimator 310 has probability information for self-modifying code to operate normally in a program running by the cache structure of the ARM architecture and probability information for self-modifying code to operate normally in a dynamic binary measurement environment. You can estimate the difference.

단계(420)에서 판별부(320)는 실행 중이 프로그램에서 자체 수정 코드의 동작을 추정함에 따라 실행 중인 프로그램의 실행 환경을 판별할 수 있다. 판별부(320)는 자체 수정 코드(Self-modifying code)가 정상적으로 동작할 경우, ARM 아키텍쳐의 동적 바이너리 계측(Dynamic Binary Instrumentation) 환경에서 프로그램이 실행 중인 것으로 판단하고, 자체 수정 코드가 비정상적으로 동작할 경우, ARM 아키텍쳐에서 프로그램이 실행 중인 것으로 판단할 수 있다. 판별부(320)는 rwx 메모리 영역을 활용하여 활용하여 ARM 아키텍쳐에 구성된 I-캐시와 D-캐시가 동일한 메모리 주소를 포함하도록 I-캐시와 D-캐시에 메모리 주소를 업데이트한 뒤, 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조를 시도할 경우, 실행 중인 프로그램이 ARM 아키텍쳐에서 자체 수정 코드가 비정상적으로 동작하는 것으로 판단할 수 있다. 판별부(320)는 rwx 메모리 영역을 활용하여 ARM 아키텍쳐에 구성된 I-캐시와 D-캐시가 동일한 메모리 주소를 포함하도록 I-캐시와 D-캐시에 메모리 주소를 업데이트한 뒤, 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조를 시도할 경우, 아이-캐시 미스(I-cache miss)가 발생하여 동적 바이너리 계측 환경에서 자체 수정 코드가 정상적으로 동작하는 것으로 판단할 수 있다. In step 420, the determination unit 320 may determine the execution environment of the running program as it estimates the operation of the self-correcting code in the running program. When the self-modifying code operates normally, the determination unit 320 determines that the program is running in the dynamic binary instrumentation environment of the ARM architecture, and the self-modifying code operates abnormally. In this case, it can be determined that the program is running in the ARM architecture. The determining unit 320 utilizes the rwx memory area to update the memory addresses in the I-cache and D-cache so that the I-cache and D-cache configured in the ARM architecture include the same memory address, and then write data. When attempting to tamper with the code by modifying the contents of the code, the running program can determine that the self-correcting code operates abnormally in the ARM architecture. The determining unit 320 updates the memory addresses in the I-cache and the D-cache so that the I-cache and the D-cache configured in the ARM architecture include the same memory address by utilizing the rwx memory area, and then uses data writing. When attempting to tamper with the code to modify the contents of the code, an I-cache miss occurs and it can be determined that the self-correcting code operates normally in a dynamic binary measurement environment.

삭제delete

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The device described above may be implemented with hardware components, software components, and / or combinations of hardware components and software components. For example, the devices and components described in the embodiments include, for example, processors, controllers, arithmetic logic units (ALUs), digital signal processors (micro signal processors), microcomputers, field programmable gate arrays (FPGAs). , A programmable logic unit (PLU), microprocessor, or any other device capable of executing and responding to instructions, may be implemented using one or more general purpose computers or special purpose computers. The processing device may run an operating system (OS) and one or more software applications running on the operating system. In addition, the processing device may access, store, manipulate, process, and generate data in response to execution of the software. For convenience of understanding, a processing device may be described as one being used, but a person having ordinary skill in the art, the processing device may include a plurality of processing elements and / or a plurality of types of processing elements. It can be seen that may include. For example, the processing device may include a plurality of processors or a processor and a controller. In addition, other processing configurations, such as parallel processors, are possible.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instruction, or a combination of one or more of these, and configure the processing device to operate as desired, or process independently or collectively You can command the device. Software and / or data may be interpreted by a processing device, or to provide instructions or data to a processing device, of any type of machine, component, physical device, virtual equipment, computer storage medium or device. Can be embodied in The software may be distributed over networked computer systems, and stored or executed in a distributed manner. Software and data may be stored in one or more computer-readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, or the like alone or in combination. The program instructions recorded in the medium may be specially designed and configured for the embodiments or may be known and usable by those skilled in computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs, DVDs, and magnetic media such as floptical disks. -Hardware devices specifically configured to store and execute program instructions such as magneto-optical media, and ROM, RAM, flash memory, and the like. Examples of program instructions include high-level language codes that can be executed by a computer using an interpreter, etc., as well as machine language codes produced by a compiler.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described by a limited embodiment and drawings, those skilled in the art can make various modifications and variations from the above description. For example, the described techniques are performed in a different order than the described method, and / or the components of the described system, structure, device, circuit, etc. are combined or combined in a different form from the described method, or other components Alternatively, even if replaced or substituted by equivalents, appropriate results can be achieved.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.

Claims (13)

탐지 시스템에 의해 수행되는 동적 프로그램 수정 탐지 방법에 있어서,
ARM 아키텍쳐에 기초하여 실행 중인 특정 프로그램에서 동작하는 자체 수정 코드(Self-modifying code)를 이용하여 상기 실행 중인 특정 프로그램의 ARM 아키텍쳐 환경 또는 동적 바이너리 계측 환경을 포함하는 실행 환경을 판별하는 단계
를 포함하는 동적 프로그램 수정 탐지 방법. In the dynamic program modification detection method performed by the detection system,
Determining an ARM architecture environment of the specific program being executed or an execution environment including a dynamic binary measurement environment by using a self-modifying code that operates in a specific program that is running based on the ARM architecture.
Dynamic program modification detection method comprising a. 제1항에 있어서,
상기 판별하는 단계는,
상기 실행 중인 특정 프로그램에서 동작하는 자체 수정 코드에 의하여 메모리 주소에 대한 데이터가 변경될 경우, 상기 ARM 아키텍쳐에 구성된 캐시 구조에 기초하여 각각의 캐시의 데이터 비동기화 여부에 따라 상기 실행 중인 특정 프로그램의 실행 환경이 ARM 아키텍쳐 환경인지 또는 동적 바이너리 계측 환경인지 판별하는 단계
를 포함하는 동적 프로그램 수정 탐지 방법. According to claim 1,
The determining step,
When the data for the memory address is changed by the self-modifying code operating in the specific program being executed, execution of the specific program being executed according to whether the data of each cache is asynchronous or not based on the cache structure configured in the ARM architecture Determining whether the environment is an ARM architecture environment or a dynamic binary instrumentation environment
Dynamic program modification detection method comprising a. 삭제delete 제2항에 있어서,
상기 ARM 아키텍쳐는,
프로세서가 명령어 실행을 위해 메모리에서 명령어를 패치(fetch)한 내용에 대한 캐시를 의미하는 I-캐시 및 연산을 위한 데이터를 메모리에서 가져온 내용에 대한 캐시를 의미하는 D-캐시로 구성되고, 상기 ARM 아키텍쳐에서 I-캐시와 D-캐시 각각의 캐시 데이터가 비동기화되는
동적 프로그램 수정 탐지 방법.According to claim 2,
The ARM architecture,
The processor consists of I-cache, which means the cache for the contents of instructions fetched from the memory for execution of instructions, and D-cache, which means the cache for the contents of data obtained from memory, and the ARM. In the architecture, the cache data of the I-cache and D-cache is asynchronous.
How to detect dynamic program modifications. 제1항에 있어서,
상기 판별하는 단계는,
상기 실행 중인 특정 프로그램에서 rwx 메모리 영역을 활용하여 상기 ARM 아키텍쳐에 구성된 I-캐시와 D-캐시가 동일한 메모리 주소를 포함하도록 I-캐시와 D-캐시에 메모리 주소를 업데이트한 뒤, 상기 자체 수정 코드에서 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조가 시도될 경우, 상기 ARM 아키텍쳐 환경에서 상기 자체 수정 코드가 비정상적으로 동작하는 것으로 판단하는 단계
를 포함하는 동적 프로그램 수정 탐지 방법.According to claim 1,
The determining step,
The self-modifying code after updating the memory addresses in the I-cache and D-cache so that the I-cache and D-cache configured in the ARM architecture include the same memory address by utilizing the rwx memory area in the specific program being executed. Determining that the self-correcting code operates abnormally in the ARM architecture environment when a code tampering attempting to modify the content of the code is attempted using data writing in the
Dynamic program modification detection method comprising a. 제1항에 있어서,
상기 판별하는 단계는,
상기 자체 수정 코드에서 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조가 시도될 경우, 동적 바이너리 계측 환경에서 추가적인 변조 과정이 포함됨에 따라 동적 바이너리 계측 환경에서 상기 자체 수정 코드가 정상적으로 동작하는 것으로 판단하는 단계
를 포함하는 동적 프로그램 수정 탐지 방법.According to claim 1,
The determining step,
When code modulation is attempted to modify the contents of the code by writing data in the self-correcting code, it is determined that the self-correcting code operates normally in the dynamic binary measurement environment as an additional modulation process is included in the dynamic binary measurement environment. Steps to
Dynamic program modification detection method comprising a. 삭제delete 탐지 시스템에 의해 수행되는 동적 프로그램 수정 탐지 방법을 실행시키기 위하여 컴퓨터 판독 가능한 저장매체에 저장된 컴퓨터 프로그램에 있어서,
ARM 아키텍쳐에 기초하여 실행 중인 특정 프로그램에서 동작하는 자체 수정 코드(Self-modifying code)를 이용하여 상기 실행 중인 특정 프로그램의 ARM 아키텍쳐 환경 또는 동적 바이너리 계측 환경을 포함하는 실행 환경을 판별하는 단계
를 포함하는 컴퓨터 판독 가능한 저장매체에 저장된 컴퓨터 프로그램. A computer program stored in a computer-readable storage medium for executing a dynamic program modification detection method performed by the detection system,
Determining an ARM architecture environment of the specific program being executed or an execution environment including a dynamic binary measurement environment by using a self-modifying code that operates in a specific program that is running based on the ARM architecture.
Computer program stored in a computer-readable storage medium comprising a. 동적 프로그램 수정을 탐지하기 위한 탐지 시스템에 있어서,
ARM 아키텍쳐에 기초하여 실행 중인 특정 프로그램에서 동작하는 자체 수정 코드(Self-modifying code)를 이용하여 상기 실행 중인 특정 프로그램의 ARM 아키텍쳐 환경 또는 동적 바이너리 계측 환경을 포함하는 실행 환경을 판별하는 판별부
를 포함하는 탐지 시스템. A detection system for detecting dynamic program modifications,
Based on the ARM architecture, a determination unit for determining an execution environment including an ARM architecture environment or a dynamic binary measurement environment of the specific program being executed by using a self-modifying code operating in a specific program being executed.
Detection system comprising a. 제9항에 있어서,
상기 판별부는,
상기 실행 중인 특정 프로그램에서 동작하는 자체 수정 코드에 의하여 메모리 주소에 대한 데이터가 변경될 경우, 상기 ARM 아키텍쳐에 구성된 캐시 구조에 기초하여 각각의 캐시의 데이터 비동기화 여부에 따라 상기 실행 중인 특정 프로그램의 실행 환경이 ARM 아키텍쳐 환경인지 또는 동적 바이너리 계측 환경인지 판별하는
것을 특징으로 하는 탐지 시스템. The method of claim 9,
The discrimination unit,
When the data for the memory address is changed by the self-modifying code operating in the specific program being executed, execution of the specific program being executed according to whether the data of each cache is asynchronous or not based on the cache structure configured in the ARM architecture Determine whether the environment is an ARM architecture environment or a dynamic binary instrumentation environment
Detection system characterized in that. 삭제delete 제9항에 있어서,
상기 판별부는,
상기 실행 중인 특정 프로그램에서 rwx 메모리 영역을 활용하여 상기 ARM 아키텍쳐에 구성된 I-캐시와 D-캐시가 동일한 메모리 주소를 포함하도록 I-캐시와 D-캐시에 메모리 주소를 업데이트한 뒤, 상기 자체 수정 코드에서 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조가 시도될 경우, 상기 실행 중인 프로그램이 상기 ARM 아키텍쳐 환경에서 상기 자체 수정 코드가 비정상적으로 동작하는 것으로 판단하는
것을 특징으로 하는 탐지 시스템. The method of claim 9,
The discrimination unit,
The self-modifying code after updating the memory addresses in the I-cache and D-cache so that the I-cache and D-cache configured in the ARM architecture include the same memory address by utilizing the rwx memory area in the specific program being executed. If code modification is attempted to modify the contents of the code by writing data, the running program determines that the self-correcting code operates abnormally in the ARM architecture environment.
Detection system characterized in that. 제9항에 있어서,
상기 판별부는,
상기 자체 수정 코드에서 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조가 시도될 경우, 동적 바이너리 계측 환경에서 추가적인 변조 과정이 포함됨에 따라 동적 바이너리 계측 환경에서 상기 자체 수정 코드가 정상적으로 동작하는 것으로 판단하는
것을 특징으로 하는 탐지 시스템. The method of claim 9,
The discrimination unit,
When code modulation is attempted to modify the contents of the code by writing data in the self-correcting code, it is determined that the self-correcting code operates normally in the dynamic binary measurement environment as an additional modulation process is included in the dynamic binary measurement environment. doing
Detection system characterized in that.
KR1020190097933A 2019-08-12 2019-08-12 Method and apparatus for dbi detection on arm architecture KR102111886B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190097933A KR102111886B1 (en) 2019-08-12 2019-08-12 Method and apparatus for dbi detection on arm architecture

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190097933A KR102111886B1 (en) 2019-08-12 2019-08-12 Method and apparatus for dbi detection on arm architecture

Publications (1)

Publication Number Publication Date
KR102111886B1 true KR102111886B1 (en) 2020-05-15

Family

ID=70678819

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190097933A KR102111886B1 (en) 2019-08-12 2019-08-12 Method and apparatus for dbi detection on arm architecture

Country Status (1)

Country Link
KR (1) KR102111886B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113434385A (en) * 2021-05-26 2021-09-24 华东师范大学 Method and system for automatically generating test case for software model inspection tool

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002536712A (en) * 1999-01-28 2002-10-29 エーティーアイ インターナショナル エスアールエル Execution of a program for a first computer architecture on a computer of a second architecture
JP2012110026A (en) * 2001-03-28 2012-06-07 Rovi Solutions Corp Content security method providing long-term renewable security, apparatus thereof, and machine readable medium
JP2012108938A (en) * 1999-01-28 2012-06-07 Ati Technologies Ulc Method of referring to memory of computer, and computer
KR20170066681A (en) * 2012-12-27 2017-06-14 인텔 코포레이션 Handling of binary translated self modifying code and cross modifying code

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002536712A (en) * 1999-01-28 2002-10-29 エーティーアイ インターナショナル エスアールエル Execution of a program for a first computer architecture on a computer of a second architecture
JP2012108938A (en) * 1999-01-28 2012-06-07 Ati Technologies Ulc Method of referring to memory of computer, and computer
JP2012110026A (en) * 2001-03-28 2012-06-07 Rovi Solutions Corp Content security method providing long-term renewable security, apparatus thereof, and machine readable medium
KR20170066681A (en) * 2012-12-27 2017-06-14 인텔 코포레이션 Handling of binary translated self modifying code and cross modifying code

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113434385A (en) * 2021-05-26 2021-09-24 华东师范大学 Method and system for automatically generating test case for software model inspection tool

Similar Documents

Publication Publication Date Title
US10698668B1 (en) Custom code transformations during compilation process
JP5699213B2 (en) Incorrect mode change operation
US8359496B1 (en) Fault-resistant just-in-time compiler
US8826269B2 (en) Annotating virtual application processes
US6247171B1 (en) Bytecode program interpreter apparatus and method with pre-verification of a data type restrictions and object initialization
US8904537B2 (en) Malware detection
EP2962240B1 (en) Performing security operations using binary translation
US20050108562A1 (en) Technique for detecting executable malicious code using a combination of static and dynamic analyses
US20120159630A1 (en) Program execution integrity verification for a computer system
US8561067B2 (en) Test suites for virtualized computing environments
US9900324B1 (en) System to discover and analyze evasive malware
US20220035905A1 (en) Malware analysis through virtual machine forking
US20190266063A1 (en) Method And System For Automated Injection Of Process Type Specific In Process Agents On Process Startup
Otsuki et al. Building stack traces from memory dump of Windows x64
CN112805710A (en) Verifying stack pointers
KR102111886B1 (en) Method and apparatus for dbi detection on arm architecture
KR101769714B1 (en) System and method for prventing the activation of bad usb
TWI656453B (en) Detection system and detection method
Chen et al. ARMORY: An automatic security testing tool for buffer overflow defect detection
US6643769B1 (en) System and method for enabling selective execution of computer code
EP4160455A1 (en) Behavior analysis based on finite-state machine for malware detection
US20160188485A1 (en) Processing page fault exceptions in supervisory software when accessing strings and similar data structures using normal load instructions
KR101416762B1 (en) System and method for detecting bot of online game
Mambretti et al. GhostBuster: Understanding and overcoming the pitfalls of transient execution vulnerability checkers
KR102225838B1 (en) Anti-emulation method and apparatus for protecting android applications

Legal Events

Date Code Title Description
GRNT Written decision to grant