KR102111886B1 - Method and apparatus for dbi detection on arm architecture - Google Patents
Method and apparatus for dbi detection on arm architecture Download PDFInfo
- Publication number
- KR102111886B1 KR102111886B1 KR1020190097933A KR20190097933A KR102111886B1 KR 102111886 B1 KR102111886 B1 KR 102111886B1 KR 1020190097933 A KR1020190097933 A KR 1020190097933A KR 20190097933 A KR20190097933 A KR 20190097933A KR 102111886 B1 KR102111886 B1 KR 102111886B1
- Authority
- KR
- South Korea
- Prior art keywords
- code
- cache
- program
- arm architecture
- environment
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/362—Software debugging
- G06F11/3644—Software debugging by instrumenting at runtime
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/362—Software debugging
- G06F11/366—Software debugging using diagnostics
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45504—Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
- G06F9/45508—Runtime interpretation or emulation, e g. emulator loops, bytecode interpretation
Abstract
Description
아래의 설명은 ARM아키텍쳐 상의 프로세스가 스스로 동적 프로그램 수정을 당하고 있는지 여부를 판별하는 기술에 관한 것으로서, 더욱 상세하게는 코드 캐시 구조를 이용한 분석법에 관한 것이다.The following description relates to a technique for determining whether a process on an ARM architecture is undergoing dynamic program modification by itself, and more particularly, an analysis method using a code cache structure.
기존의 동적 프로그램 수정을 탐지하기 위한 방법으로, 휴리스틱 방식이 일반적이었다. 구체적으로, 특정 DBI에 존재하는 버그를 확인하거나, 시그널마스크 혹은 리소스 사용량 정보 등 DBI의 구현 특성을 확인하거나, DBI가 이용하는 DBI전용 라이브러리 존재 유무를 확인하거나, 특정 명령어가 발생시키는 에러에 대한 처리방식을 확인하는 것 등이 있다.As a method for detecting an existing dynamic program modification, a heuristic method has been common. Specifically, check the bug existing in a specific DBI, check the implementation characteristics of the DBI such as signal mask or resource usage information, check the existence of a DBI-only library used by the DBI, or handle the error caused by a specific command And to confirm.
한편, 미국등록특허 제8151352호(Anti-malware emulation systems and methods)는 기술은 emulation을 하고 있는 환경에서 현재 실행되고 있는 프로그램이 스스로 emulation환경에서 실행 중인지를 아는 것이 가능한지 여부와 관련된 내용을 다루고 있다.On the other hand, U.S. Patent No. 8151352 (Anti-malware emulation systems and methods) deals with whether or not it is possible to know whether a program currently being executed in an emulation environment is running in an emulation environment.
ARM 아키텍쳐 상의 프로세스가 휴리스틱 기반의 방식이 아닌 다른 방식을 통해 스스로 DBI환경에서 실행 중인지 여부를 판단하는 방법 및 장치를 제공할 수 있다. It is possible to provide a method and apparatus for determining whether a process on an ARM architecture is running in a DBI environment by itself other than a heuristic-based method.
탐지 시스템에 의해 수행되는 동적 프로그램 수정 탐지 방법은, ARM 아키텍쳐에서 실행 중인 프로그램에 임의의 코드를 삽입함에 따라 변조된 코드가 동작되는 차이 정보를 추정하는 단계; 및 상기 추정된 차이 정보를 이용하여 프로그램의 실행 환경을 자발적으로 판별하는 단계를 포함할 수 있다. The dynamic program modification detection method performed by the detection system includes estimating difference information in which a modulated code is operated by inserting arbitrary code into a program running in the ARM architecture; And voluntarily discriminating the execution environment of the program using the estimated difference information.
상기 차이 정보를 추정하는 단계는, 상기 ARM 아키텍쳐에서 상기 실행 중인 프로그램에 임의의 코드를 삽입하여 코드를 변경하는 자체 수정 코드(Self-modifying code)의 동작 여부를 판단하는 단계를 포함할 수 있다. The estimating the difference information may include determining whether or not to operate the self-modifying code for changing the code by inserting arbitrary code in the running program in the ARM architecture.
상기 차이 정보를 추정하는 단계는, 상기 자체 수정 코드가 상기 ARM 아키텍쳐에서 동작되는지 또는 상기 자체 수정 코드가 상기 ARM 아키텍쳐의 동적 바이너리 계측(Dynamic Binary Instrumentation)에서 동작되는지 추정하는 단계를 포함할 수 있다. The estimating the difference information may include estimating whether the self-correcting code operates on the ARM architecture or whether the self-correcting code operates on dynamic binary instrumentation of the ARM architecture.
상기 ARM 아키텍쳐는, 프로세서가 명령어 실행을 위해 메모리에서 명령어를 패치(fetch)한 내용에 대한 캐시를 의미하는 I-캐시 및 연산을 위한 데이터를 메모리에서 가져온 내용에 대한 캐시를 의미하는 D-캐시로 구성되고, 상기 ARM 아키텍쳐에서 I-캐시와 상기 D-캐시의 구조는 비동기화될 수 있다. The ARM architecture includes an I-cache, which means the cache for the contents of which the processor fetches instructions from memory for execution of instructions, and a D-cache, which means the cache for contents obtained from memory. Configuration, the structure of the I-cache and the D-cache in the ARM architecture can be asynchronous.
상기 판별하는 단계는, 상기 ARM 아키텍쳐에서 메모리 주소를 업데이트함에 따라 상기 ARM 아키텍쳐에 구성된 I-캐시와 D-캐시가 동일한 메모리 주소를 포함하도록 한 뒤, rwx 메모리 영역에 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조를 시도할 경우, 상기 ARM 아키텍쳐에서 상기 변조된 코드가 비정상적으로 동작하는 것으로 판단하는 단계를 포함할 수 있다. The discriminating step includes updating the memory address in the ARM architecture so that the I-cache and the D-cache configured in the ARM architecture include the same memory address, and then writing the contents of the code by writing data to the rwx memory area. When attempting to modulate a code that modifies, it may include determining that the modulated code operates abnormally in the ARM architecture.
상기 판별하는 단계는, 상기 ARM 아키텍쳐에서 메모리 주소를 업데이트함에 따라 rwx 메모리 영역을 활용하여 코드의 내용을 수정하는 코드 변조를 시도할 경우, 아이-캐시 미스(I-cache miss)가 발생하여 상기 동적 바이너리 계측 환경에서 상기 변조된 코드가 정상적으로 동작하는 것으로 판단하는 단계를 포함할 수 있다. The discriminating step may include an I-cache miss when attempting to modulate the code to modify the contents of the code by utilizing the rwx memory area as the memory address is updated in the ARM architecture. And determining that the modulated code operates normally in a binary measurement environment.
상기 동적 프로그램 수정 탐지 방법은, ARM 아키텍쳐에서 실행 중인 프로그램에 임의의 코드가 삽입되어 변조된 코드가 동작됨에 따라 추정된 차이 정보를 이용하여 프로그램의 실행 환경을 자발적으로 판별하는 과정을 PoC 코드를 통하여 검증하는 단계를 더 포함할 수 있다. In the dynamic program modification detection method, a process of voluntarily discriminating the execution environment of a program using the estimated difference information as an arbitrary code is inserted into a program running in the ARM architecture and the modulated code is operated through PoC code It may further include the step of verifying.
탐지 시스템에 의해 수행되는 동적 프로그램 수정 탐지 방법을 실행시키기 위하여 컴퓨터 판독 가능한 저장매체에 저장된 컴퓨터 프로그램은, ARM 아키텍쳐에서 실행 중인 프로그램에 임의의 코드를 삽입함에 따라 변조된 코드가 동작되는 차이 정보를 추정하는 단계; 및 상기 추정된 차이 정보를 이용하여 프로그램의 실행 환경을 자발적으로 판별하는 단계를 포함할 수 있다. The computer program stored in the computer readable storage medium in order to execute the dynamic program modification detection method performed by the detection system estimates difference information in which the modulated code is operated by inserting arbitrary code into a program running in the ARM architecture. To do; And voluntarily discriminating the execution environment of the program using the estimated difference information.
동적 프로그램 수정을 탐지하기 위한 탐지 시스템은, ARM 아키텍쳐에서 실행 중인 프로그램에 임의의 코드를 삽입함에 따라 변조된 코드가 동작되는 차이 정보를 추정하는 추정부; 및 상기 추정된 차이 정보를 이용하여 프로그램의 실행 환경을 자발적으로 판별하는 판별부를 포함할 수 있다. The detection system for detecting a dynamic program modification includes: an estimator for estimating difference information in which a modulated code is operated by inserting arbitrary code into a program running in the ARM architecture; And a discrimination unit for voluntarily discriminating the execution environment of the program using the estimated difference information.
상기 추정부는, 상기 ARM 아키텍쳐에서 상기 실행 중인 프로그램에 임의의 코드를 삽입하여 코드를 변경하는 자체 수정 코드(Self-modifying code)의 동작 여부를 판단할 수 있다. The estimator may determine whether to operate the self-modifying code to change the code by inserting arbitrary code into the running program in the ARM architecture.
상기 추정부는, 상기 자체 수정 코드가 상기 ARM 아키텍쳐에서 동작되는지 또는 상기 자체 수정 코드가 상기 ARM 아키텍쳐의 동적 바이너리 계측(Dynamic Binary Instrumentation)에서 동작되는지 추정할 수 있다. The estimation unit may estimate whether the self-modifying code is operated in the ARM architecture or whether the self-modifying code is operated in dynamic binary instrumentation of the ARM architecture.
상기 판별부는, 상기 ARM 아키텍쳐에서 메모리 주소를 업데이트함에 따라 상기 ARM 아키텍쳐에 구성된 I-캐시와 D-캐시가 동일한 메모리 주소를 포함하도록 한 뒤, rwx 메모리 영역에 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조를 시도할 경우, 상기 ARM 아키텍쳐에서 상기 변조된 코드가 비정상적으로 동작하는 것으로 판단할 수 있다. The discrimination unit corrects the contents of the code by writing data to the rwx memory area after making the I-cache and the D-cache configured in the ARM architecture contain the same memory address as the memory address is updated in the ARM architecture. When attempting code modulation, it may be determined that the modulated code operates abnormally in the ARM architecture.
상기 판별하는 단계는, 상기 ARM 아키텍쳐에서 메모리 주소를 업데이트함에 따라 rwx 메모리 영역을 활용하여 코드의 내용을 수정하는 코드 변조를 시도할 경우, 아이-캐시 미스(I-cache miss)가 발생하여 상기 동적 바이너리 계측 환경에서 상기 변조된 코드가 정상적으로 동작하는 것으로 판단할 수 있다. The discriminating step may include an I-cache miss when attempting to modulate the code to modify the contents of the code by utilizing the rwx memory area as the memory address is updated in the ARM architecture. It can be determined that the modulated code operates normally in a binary measurement environment.
ARM 아키텍쳐 상에서 이용할 수 있는 대표적인 동적 바이너리 계측(DBI)의 대표적인 방법인 DynamicRIO와 같은 프로그램에 대한 탐지 기술이 될 수 있다. It can be a detection technology for programs such as DynamicRIO, which is a representative method of dynamic binary measurement (DBI), which can be used on the ARM architecture.
또한, 제품화된 소프트웨어의 정보 탈취를 미연에 방지하는 기술로 이용할 수 있어, 소프트웨어의 난독화 레벨을 향상시킬 수 있다. In addition, it can be used as a technology to prevent information theft of commercialized software in advance, and it is possible to improve the obfuscation level of software.
도 1은 일 실시예에 있어서, ARM 아키텍쳐에서 동적 프로그램 수정 탐지를 수행하는 동작을 설명하기 위한 도면이다.
도 2는 일 실시예에 있어서, 동적 바이너리 계측 환경에서 동적 프로그램 수정 탐지를 수행하는 동작을 설명하기 위한 도면이다.
도 3은 일 실시예에 따른 탐지 장치의 구성을 설명하기 위한 흐름도이다.
도 4는 일 실시예에 따른 탐지 장치에서 ARM 아키텍쳐 상의 동적 프로그램 수정 탐지를 수행하는 방법을 설명하기 위한 흐름도이다.
도 5는 일 실시예에 있어서, 동적 프로그램 수정 탐지를 수행하는 동작을 검증하는 것을 나타낸 예이다. 1 is a diagram for describing an operation of performing dynamic program modification detection in an ARM architecture in one embodiment.
2 is a diagram for explaining an operation of performing dynamic program modification detection in a dynamic binary measurement environment, in an embodiment.
3 is a flowchart illustrating the configuration of a detection device according to an embodiment.
4 is a flowchart illustrating a method of performing dynamic program modification detection on an ARM architecture in a detection device according to an embodiment.
5 is an example of verifying an operation for performing dynamic program modification detection in an embodiment.
이하, 실시예를 첨부한 도면을 참조하여 상세히 설명한다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings.
실시예에서는 아키텍쳐 구조를 활용하여 동적 프로그램의 수정을 탐지하는 기술에 대하여 설명하기로 한다. In an embodiment, a technique for detecting a modification of a dynamic program using an architecture structure will be described.
도 1은 일 실시예에 있어서, ARM 아키텍쳐에서 동적 프로그램 수정 탐지를 수행하는 동작을 설명하기 위한 도면이다. 1 is a diagram for describing an operation of performing dynamic program modification detection in an ARM architecture in one embodiment.
ARM 아키텍쳐는 임베디드 기기에서 많이 사용되는 RISC 프로세서이다. The ARM architecture is a RISC processor that is commonly used in embedded devices.
ARM 아키텍쳐는 내부적으로 I-캐시(I-cache)와 D-캐시(D-cache)를 포함하는 두 종류의 캐시를 사용한다. I-캐시는 프로세서가 명령어 실행을 위해 메모리에서 명령어를 패치(fetch)한 내용에 대한 캐시를 의미한다. D-캐시는 연산을 위한 데이터를 메모리에서 가져온 내용에 대한 캐시를 의미한다. 이때, I-캐시와 D-캐시의 구조는 서로 동기화되지 않는다. 이에, I-캐시 및 D-캐시가 동일한 메모리 주소에 대한 내용을 담고 있고, I-캐시 및 D-캐시 어느 하나의 캐시에 메모리 주소에 대한 내용이 변경될 경우, 변경되지 않는 나머지 하나의 캐시에서 변경된 내용을 적용받는 데 시간이 소요될 수 있다. The ARM architecture internally uses two types of cache, including I-cache and D-cache. I-cache refers to a cache for the contents of a processor fetching instructions from memory to execute instructions. D-cache refers to the cache for the contents of the operation data from memory. At this time, the structures of the I-cache and the D-cache are not synchronized with each other. Accordingly, if the I-cache and the D-cache contain the contents of the same memory address, and if the contents of the memory address are changed in either the I-cache or the D-cache, the remaining unchanged cache It may take time to receive the changes.
도 1을 참고하면, ARM 아키텍쳐에서 메모리 주소를 업데이트할 수 있다. 메모리 주소에 대한 데이터에 접근할 수 있다. rwx 메모리 영역을 활용하여 ARM 아키텍쳐에 구성된 I-캐시와 D-캐시가 동일한 메모리 주소를 포함하도록 I-캐시와 D-캐시에 메모리 주소를 업데이트한 뒤, 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조가 시도될 수 있다. 이때, ARM 아키텍쳐에서 실행 중인 프로그램에 의해 실행 중인 프로그램에서 동작하는 자체 수정 코드에 기초하여 ARM 아키텍쳐에서 변조된 코드가 정상적으로 동작할 가능성을 판단될 수 있다. ARM 아키텍쳐에서는 변조된 코드가 적용되지 않을 확률이 높다.Referring to Figure 1, it is possible to update the memory address in the ARM architecture. You can access the data for the memory address. Using rwx memory area, update memory addresses in I-cache and D-cache so that the I-cache and D-cache configured in the ARM architecture contain the same memory address, and then modify the contents of the code by writing data. Code tampering can be attempted. At this time, it is possible to determine the possibility that the code modulated in the ARM architecture operates normally based on the self-modifying code operating in the program being executed by the program running in the ARM architecture. There is a high probability that the modulated code is not applied in the ARM architecture.
이에 반해, 도 2를 참고하면, 동적 바이너리 계측(Dynamic Binary Instrumentation) 환경의 경우, 코드를 실행할 때 동적 바이너리 계측에 의한 자체적인 동적 코드 변경을 위한 코드 변조 과정이 포함되어 있다. 예를 들면, 코드 변조 과정으로 코드를 다른 위치로 복사하는 추가적인 과정이 있을 수 있다. 이에, 동적 바이너리 계측 환경에서 I-캐시 미스(I-cache miss)가 발생하여 업데이트된 캐시로 패치될 수 있다. 동적 바이너리 계측에서는 rwx 메모리 영역을 활용하여 코드 변조가 시도되었을 경우, 동적 바이너리 계측에서 추가적인 코드 변조 과정이 포함됨에 따라 동적 바이너리 계측에서 자체 수정 코드가 정상적으로 동작할 확률이 높다.On the other hand, referring to Figure 2, in the case of a dynamic binary instrumentation (Dynamic Binary Instrumentation) environment, a code modulation process for dynamic code change itself by dynamic binary instrumentation is included when executing the code. For example, there may be an additional process of copying the code to another location by the code modulation process. Accordingly, an I-cache miss occurs in a dynamic binary measurement environment and can be patched with an updated cache. In dynamic binary instrumentation, when code modulation is attempted by utilizing the rwx memory area, there is a high probability that the self-correcting code operates normally in dynamic binary instrumentation as an additional code modulation process is included in dynamic binary instrumentation.
실행 중인 프로그램이 ARM 아키텍쳐에서 직접적으로 구동되는 경우, ARM 아키텍쳐의 캐시 구조에 의하여 실행 중인 프로그램에서 동작하는 자체 수정 코드(Self-modifying code)가 정상적으로 동작하지 않을 확률이 높고, 실행 중인 프로그램이 동적 바이너리 계측에서 구동되는 경우 동적 바이너리 계측 환경에서는 자체 수정 코드가 정상적으로 동작할 확률이 높다. 이때, 자체 수정 코드(self-modifying code)는 실행 중에 자신의 명령어를 바꾸는 코드를 의미한다. If the running program runs directly on the ARM architecture, there is a high probability that the self-modifying code operating in the running program will not operate normally due to the cache structure of the ARM architecture, and the running program is a dynamic binary. When running in measurement, in a dynamic binary measurement environment, there is a high probability that the self-correcting code operates normally. In this case, the self-modifying code refers to code that changes one's instruction during execution.
정리하자면, ARM 아키텍쳐의 캐시 구조에 의하여 실행 중인 프로그램에서 동작하는 자체 수정 코드(Self-modifying code)가 정상적으로 동작할 확률 정보와 동적 바이너리 계측 환경에서 자체 수정 코드가 정상적으로 동작할 확률 정보의 차이가 추정될 수 있다. 이러한 차이 정보를 이용하여 실행되는 프로그램에서 동작되는 자체 수정 코드를 통하여 자발적으로 프로그램의 실행 환경이 판별될 수 있다. 예를 들면, ARM 아키텍쳐에서 실행 중인 프로그램에 자체 수정 코드(Self-modifying code)의 동작이 판단될 수 있다. 이때, 실행 중인 프로그램을 통하여 실행 중인 프로그램에서 동작되는 자체 수정 코드가 ARM 아키텍쳐에서 동작되는지 또는 ARM 아키텍쳐의 동적 바이너리 계측(Dynamic Binary Instrumentation)에서 동작되는지 추정될 수 있다. In summary, the difference between the probability information that the self-modifying code running in the running program and the probability information of the self-modifying code operating normally in the dynamic binary measurement environment is estimated by the cache structure of the ARM architecture. Can be. The execution environment of the program can be determined spontaneously through self-correcting code operated in the program executed using the difference information. For example, the operation of the self-modifying code may be determined in a program running in the ARM architecture. In this case, it may be estimated whether the self-modifying code operated in the running program is executed in the ARM architecture or in the dynamic binary instrumentation of the ARM architecture through the running program.
ARM 아키텍쳐에서 상기 실행 중인 프로그램에 임의의 코드를 삽입하여 코드를 변경하는 자체 수정 코드(Self-modifying code)가 정상적으로 동작할 경우, ARM 아키텍쳐의 동적 바이너리 계측(Dynamic Binary Instrumentation) 환경에서 프로그램이 실행 중인 것으로 판단될 수 있고, 자체 수정 코드가 비정상적으로 동작할 경우, ARM 아키텍쳐에서 프로그램이 실행 중인 것으로 판단될 수 있다. When self-modifying code that changes the code by inserting arbitrary code into the running program in the ARM architecture operates normally, the program is running in the dynamic binary instrumentation environment of the ARM architecture. It may be determined that, if the self-correcting code operates abnormally, it may be determined that the program is running in the ARM architecture.
도 5를 참고하면, PoC 코드를 나타낸 것으로, 동적 프로그램 수정 탐지 내용을 검증하는 코드이다. PoC 코드를 실제로 실행시킴에 따라 ARM 아키텍쳐에서 에러(error)가 발생하지만, DynamoRIO와 같은 동적 바이너리 계측 환경에서는 아무런 에러 발생 없이 프로그램이 정상 종료될 수 있다.Referring to FIG. 5, the PoC code is shown, and is a code for verifying the dynamic program modification detection. As the PoC code is actually executed, an error occurs in the ARM architecture, but in a dynamic binary measurement environment such as DynamoRIO, the program can be normally terminated without any error.
도 5의 코드 정보를 확인하면, smc라는 매크로가 자체 수정 코드를 의미한다. 자체 수정 코드는 프로그램의 뒷 부분을 0xff 라는 값으로 xor연산을 하여 자체 수정을 수행할 수 있다. 프로그램의 뒷 부분은 잘못된 명령어 이지만, 코드가 실행되는 도중 프로그램의 뒷 부분이 xor연산에 의하여 'bx lr' 이라는 함수의 종료를 알리는 명령어로 변하게 된다. 동적 바이너리 계측 환경에서는 변환된 명령어가 실행되어 함수가 무사히 종료되고, ARM아키텍쳐에서는 변환되기 전의 명령어가 실행되어 에러가 발생된다. When checking the code information of FIG. 5, a macro called smc means a self-modifying code. The self-correcting code can perform self-correcting by performing an xor operation on the back of the program with a value of 0xff. The latter part of the program is an invalid instruction, but while the code is being executed, the latter part of the program is changed to an instruction indicating the end of the function called 'bx lr' by the xor operation. In the dynamic binary measurement environment, the converted instruction is executed and the function is terminated safely. In the ARM architecture, the instruction before the transformation is executed and an error occurs.
일 실시예에 따르면, 동적 프로그램 수정을 활용하는 소프트웨어의 분석을 매우 효과적으로 차단할 수 있다. 또한, ARM에서 동작하는 동적 바이너리 수정 기술인 DynamoRIO, Valgrind 등에 대한 탐지 기술이 될 수 있다. According to an embodiment, analysis of software utilizing dynamic program modification can be very effectively blocked. In addition, it can be a detection technology for DynamoRIO, Valgrind, etc., which are dynamic binary modification technologies that operate on ARM.
도 3은 일 실시예에 따른 탐지 시스템의 구성을 설명하기 위한 흐름도이고, 도 4는 일 실시예에 따른 탐지 시스템에서 ARM 아키텍쳐 상의 동적 프로그램 수정 탐지를 수행하는 방법을 설명하기 위한 흐름도이다.3 is a flowchart illustrating the configuration of a detection system according to an embodiment, and FIG. 4 is a flowchart illustrating a method for performing dynamic program modification detection on an ARM architecture in a detection system according to an embodiment.
탐지 시스템(300)의 프로세서는 추정부(310) 및 판별부(320)를 포함할 수 있다. 이러한 프로세서의 구성요소들은 탐지 시스템(300)에 저장된 프로그램 코드가 제공하는 제어 명령에 따라 프로세서에 의해 수행되는 서로 다른 기능들(different functions)의 표현들일 수 있다. 프로세서 및 프로세서의 구성요소들은 도 4의 ARM 아키텍쳐 상의 동적 프로그램 수정 탐지를 수행하는 방법이 포함하는 단계들(410 내지 420)을 수행하도록 탐지 시스템(300)을 제어할 수 있다. 이때, 프로세서 및 프로세서의 구성요소들은 메모리가 포함하는 운영체제의 코드와 적어도 하나의 프로그램의 코드에 따른 명령(instruction)을 실행하도록 구현될 수 있다. The processor of the
프로세서는 ARM 아키텍쳐 상의 동적 프로그램 수정 탐지를 수행하는 방법을 위한 프로그램의 파일에 저장된 프로그램 코드를 메모리에 로딩할 수 있다. 예를 들면, 탐지 시스템(300)에서 프로그램이 실행되면, 프로세서는 운영체제의 제어에 따라 프로그램의 파일로부터 프로그램 코드를 메모리에 로딩하도록 탐지 시스템(300)을 제어할 수 있다. 이때, 프로세서 및 프로세서가 포함하는 추정부(310) 및 판별부(320) 각각은 메모리에 로딩된 프로그램 코드 중 대응하는 부분의 명령을 실행하여 이후 단계들(410 내지 420)을 실행하기 위한 프로세서의 서로 다른 기능적 표현들일 수 있다. The processor may load program code stored in a file of a program for a method for performing dynamic program modification detection on an ARM architecture into memory. For example, when a program is executed in the
단계(410)에서 추정부(310)는 ARM 아키텍쳐에 기초하여 실행 중인 프로그램에서 자체 수정 코드(Self-modifying code)의 동작을 추정할 수 있다. 동적 바이너리 계측은 ARM 아키텍쳐에서 동작될 수 있다. 추정부(310)는 실행 중인 프로그램에서 동작하는 자체 수정 코드에 기초하여 실행 중인 프로그램이 ARM 아키텍쳐에서 동작되는지 또는 ARM 아키텍쳐에서 동작되는 동적 바이너리 계측 환경에서 동작되는지 여부를 판단할 수 있다. 다시 말해서, 추정부(310)는 ARM 아키텍쳐의 캐시 구조에 의하여 실행 중인 프로그램에 자체 수정 코드(Self-modifying code)가 정상적으로 동작할 확률 정보와 동적 바이너리 계측 환경에서 자체 수정 코드가 정상적으로 동작할 확률 정보의 차이를 추정할 수 있다.In
단계(420)에서 판별부(320)는 실행 중이 프로그램에서 자체 수정 코드의 동작을 추정함에 따라 실행 중인 프로그램의 실행 환경을 판별할 수 있다. 판별부(320)는 자체 수정 코드(Self-modifying code)가 정상적으로 동작할 경우, ARM 아키텍쳐의 동적 바이너리 계측(Dynamic Binary Instrumentation) 환경에서 프로그램이 실행 중인 것으로 판단하고, 자체 수정 코드가 비정상적으로 동작할 경우, ARM 아키텍쳐에서 프로그램이 실행 중인 것으로 판단할 수 있다. 판별부(320)는 rwx 메모리 영역을 활용하여 활용하여 ARM 아키텍쳐에 구성된 I-캐시와 D-캐시가 동일한 메모리 주소를 포함하도록 I-캐시와 D-캐시에 메모리 주소를 업데이트한 뒤, 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조를 시도할 경우, 실행 중인 프로그램이 ARM 아키텍쳐에서 자체 수정 코드가 비정상적으로 동작하는 것으로 판단할 수 있다. 판별부(320)는 rwx 메모리 영역을 활용하여 ARM 아키텍쳐에 구성된 I-캐시와 D-캐시가 동일한 메모리 주소를 포함하도록 I-캐시와 D-캐시에 메모리 주소를 업데이트한 뒤, 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조를 시도할 경우, 아이-캐시 미스(I-cache miss)가 발생하여 동적 바이너리 계측 환경에서 자체 수정 코드가 정상적으로 동작하는 것으로 판단할 수 있다. In
삭제delete
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The device described above may be implemented with hardware components, software components, and / or combinations of hardware components and software components. For example, the devices and components described in the embodiments include, for example, processors, controllers, arithmetic logic units (ALUs), digital signal processors (micro signal processors), microcomputers, field programmable gate arrays (FPGAs). , A programmable logic unit (PLU), microprocessor, or any other device capable of executing and responding to instructions, may be implemented using one or more general purpose computers or special purpose computers. The processing device may run an operating system (OS) and one or more software applications running on the operating system. In addition, the processing device may access, store, manipulate, process, and generate data in response to execution of the software. For convenience of understanding, a processing device may be described as one being used, but a person having ordinary skill in the art, the processing device may include a plurality of processing elements and / or a plurality of types of processing elements. It can be seen that may include. For example, the processing device may include a plurality of processors or a processor and a controller. In addition, other processing configurations, such as parallel processors, are possible.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instruction, or a combination of one or more of these, and configure the processing device to operate as desired, or process independently or collectively You can command the device. Software and / or data may be interpreted by a processing device, or to provide instructions or data to a processing device, of any type of machine, component, physical device, virtual equipment, computer storage medium or device. Can be embodied in The software may be distributed over networked computer systems, and stored or executed in a distributed manner. Software and data may be stored in one or more computer-readable recording media.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, or the like alone or in combination. The program instructions recorded in the medium may be specially designed and configured for the embodiments or may be known and usable by those skilled in computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs, DVDs, and magnetic media such as floptical disks. -Hardware devices specifically configured to store and execute program instructions such as magneto-optical media, and ROM, RAM, flash memory, and the like. Examples of program instructions include high-level language codes that can be executed by a computer using an interpreter, etc., as well as machine language codes produced by a compiler.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described by a limited embodiment and drawings, those skilled in the art can make various modifications and variations from the above description. For example, the described techniques are performed in a different order than the described method, and / or the components of the described system, structure, device, circuit, etc. are combined or combined in a different form from the described method, or other components Alternatively, even if replaced or substituted by equivalents, appropriate results can be achieved.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.
Claims (13)
ARM 아키텍쳐에 기초하여 실행 중인 특정 프로그램에서 동작하는 자체 수정 코드(Self-modifying code)를 이용하여 상기 실행 중인 특정 프로그램의 ARM 아키텍쳐 환경 또는 동적 바이너리 계측 환경을 포함하는 실행 환경을 판별하는 단계
를 포함하는 동적 프로그램 수정 탐지 방법. In the dynamic program modification detection method performed by the detection system,
Determining an ARM architecture environment of the specific program being executed or an execution environment including a dynamic binary measurement environment by using a self-modifying code that operates in a specific program that is running based on the ARM architecture.
Dynamic program modification detection method comprising a.
상기 판별하는 단계는,
상기 실행 중인 특정 프로그램에서 동작하는 자체 수정 코드에 의하여 메모리 주소에 대한 데이터가 변경될 경우, 상기 ARM 아키텍쳐에 구성된 캐시 구조에 기초하여 각각의 캐시의 데이터 비동기화 여부에 따라 상기 실행 중인 특정 프로그램의 실행 환경이 ARM 아키텍쳐 환경인지 또는 동적 바이너리 계측 환경인지 판별하는 단계
를 포함하는 동적 프로그램 수정 탐지 방법. According to claim 1,
The determining step,
When the data for the memory address is changed by the self-modifying code operating in the specific program being executed, execution of the specific program being executed according to whether the data of each cache is asynchronous or not based on the cache structure configured in the ARM architecture Determining whether the environment is an ARM architecture environment or a dynamic binary instrumentation environment
Dynamic program modification detection method comprising a.
상기 ARM 아키텍쳐는,
프로세서가 명령어 실행을 위해 메모리에서 명령어를 패치(fetch)한 내용에 대한 캐시를 의미하는 I-캐시 및 연산을 위한 데이터를 메모리에서 가져온 내용에 대한 캐시를 의미하는 D-캐시로 구성되고, 상기 ARM 아키텍쳐에서 I-캐시와 D-캐시 각각의 캐시 데이터가 비동기화되는
동적 프로그램 수정 탐지 방법.According to claim 2,
The ARM architecture,
The processor consists of I-cache, which means the cache for the contents of instructions fetched from the memory for execution of instructions, and D-cache, which means the cache for the contents of data obtained from memory, and the ARM. In the architecture, the cache data of the I-cache and D-cache is asynchronous.
How to detect dynamic program modifications.
상기 판별하는 단계는,
상기 실행 중인 특정 프로그램에서 rwx 메모리 영역을 활용하여 상기 ARM 아키텍쳐에 구성된 I-캐시와 D-캐시가 동일한 메모리 주소를 포함하도록 I-캐시와 D-캐시에 메모리 주소를 업데이트한 뒤, 상기 자체 수정 코드에서 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조가 시도될 경우, 상기 ARM 아키텍쳐 환경에서 상기 자체 수정 코드가 비정상적으로 동작하는 것으로 판단하는 단계
를 포함하는 동적 프로그램 수정 탐지 방법.According to claim 1,
The determining step,
The self-modifying code after updating the memory addresses in the I-cache and D-cache so that the I-cache and D-cache configured in the ARM architecture include the same memory address by utilizing the rwx memory area in the specific program being executed. Determining that the self-correcting code operates abnormally in the ARM architecture environment when a code tampering attempting to modify the content of the code is attempted using data writing in the
Dynamic program modification detection method comprising a.
상기 판별하는 단계는,
상기 자체 수정 코드에서 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조가 시도될 경우, 동적 바이너리 계측 환경에서 추가적인 변조 과정이 포함됨에 따라 동적 바이너리 계측 환경에서 상기 자체 수정 코드가 정상적으로 동작하는 것으로 판단하는 단계
를 포함하는 동적 프로그램 수정 탐지 방법.According to claim 1,
The determining step,
When code modulation is attempted to modify the contents of the code by writing data in the self-correcting code, it is determined that the self-correcting code operates normally in the dynamic binary measurement environment as an additional modulation process is included in the dynamic binary measurement environment. Steps to
Dynamic program modification detection method comprising a.
ARM 아키텍쳐에 기초하여 실행 중인 특정 프로그램에서 동작하는 자체 수정 코드(Self-modifying code)를 이용하여 상기 실행 중인 특정 프로그램의 ARM 아키텍쳐 환경 또는 동적 바이너리 계측 환경을 포함하는 실행 환경을 판별하는 단계
를 포함하는 컴퓨터 판독 가능한 저장매체에 저장된 컴퓨터 프로그램. A computer program stored in a computer-readable storage medium for executing a dynamic program modification detection method performed by the detection system,
Determining an ARM architecture environment of the specific program being executed or an execution environment including a dynamic binary measurement environment by using a self-modifying code that operates in a specific program that is running based on the ARM architecture.
Computer program stored in a computer-readable storage medium comprising a.
ARM 아키텍쳐에 기초하여 실행 중인 특정 프로그램에서 동작하는 자체 수정 코드(Self-modifying code)를 이용하여 상기 실행 중인 특정 프로그램의 ARM 아키텍쳐 환경 또는 동적 바이너리 계측 환경을 포함하는 실행 환경을 판별하는 판별부
를 포함하는 탐지 시스템. A detection system for detecting dynamic program modifications,
Based on the ARM architecture, a determination unit for determining an execution environment including an ARM architecture environment or a dynamic binary measurement environment of the specific program being executed by using a self-modifying code operating in a specific program being executed.
Detection system comprising a.
상기 판별부는,
상기 실행 중인 특정 프로그램에서 동작하는 자체 수정 코드에 의하여 메모리 주소에 대한 데이터가 변경될 경우, 상기 ARM 아키텍쳐에 구성된 캐시 구조에 기초하여 각각의 캐시의 데이터 비동기화 여부에 따라 상기 실행 중인 특정 프로그램의 실행 환경이 ARM 아키텍쳐 환경인지 또는 동적 바이너리 계측 환경인지 판별하는
것을 특징으로 하는 탐지 시스템. The method of claim 9,
The discrimination unit,
When the data for the memory address is changed by the self-modifying code operating in the specific program being executed, execution of the specific program being executed according to whether the data of each cache is asynchronous or not based on the cache structure configured in the ARM architecture Determine whether the environment is an ARM architecture environment or a dynamic binary instrumentation environment
Detection system characterized in that.
상기 판별부는,
상기 실행 중인 특정 프로그램에서 rwx 메모리 영역을 활용하여 상기 ARM 아키텍쳐에 구성된 I-캐시와 D-캐시가 동일한 메모리 주소를 포함하도록 I-캐시와 D-캐시에 메모리 주소를 업데이트한 뒤, 상기 자체 수정 코드에서 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조가 시도될 경우, 상기 실행 중인 프로그램이 상기 ARM 아키텍쳐 환경에서 상기 자체 수정 코드가 비정상적으로 동작하는 것으로 판단하는
것을 특징으로 하는 탐지 시스템. The method of claim 9,
The discrimination unit,
The self-modifying code after updating the memory addresses in the I-cache and D-cache so that the I-cache and D-cache configured in the ARM architecture include the same memory address by utilizing the rwx memory area in the specific program being executed. If code modification is attempted to modify the contents of the code by writing data, the running program determines that the self-correcting code operates abnormally in the ARM architecture environment.
Detection system characterized in that.
상기 판별부는,
상기 자체 수정 코드에서 데이터 쓰기를 이용하여 코드의 내용을 수정하는 코드 변조가 시도될 경우, 동적 바이너리 계측 환경에서 추가적인 변조 과정이 포함됨에 따라 동적 바이너리 계측 환경에서 상기 자체 수정 코드가 정상적으로 동작하는 것으로 판단하는
것을 특징으로 하는 탐지 시스템. The method of claim 9,
The discrimination unit,
When code modulation is attempted to modify the contents of the code by writing data in the self-correcting code, it is determined that the self-correcting code operates normally in the dynamic binary measurement environment as an additional modulation process is included in the dynamic binary measurement environment. doing
Detection system characterized in that.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190097933A KR102111886B1 (en) | 2019-08-12 | 2019-08-12 | Method and apparatus for dbi detection on arm architecture |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190097933A KR102111886B1 (en) | 2019-08-12 | 2019-08-12 | Method and apparatus for dbi detection on arm architecture |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102111886B1 true KR102111886B1 (en) | 2020-05-15 |
Family
ID=70678819
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190097933A KR102111886B1 (en) | 2019-08-12 | 2019-08-12 | Method and apparatus for dbi detection on arm architecture |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102111886B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113434385A (en) * | 2021-05-26 | 2021-09-24 | 华东师范大学 | Method and system for automatically generating test case for software model inspection tool |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002536712A (en) * | 1999-01-28 | 2002-10-29 | エーティーアイ インターナショナル エスアールエル | Execution of a program for a first computer architecture on a computer of a second architecture |
JP2012110026A (en) * | 2001-03-28 | 2012-06-07 | Rovi Solutions Corp | Content security method providing long-term renewable security, apparatus thereof, and machine readable medium |
JP2012108938A (en) * | 1999-01-28 | 2012-06-07 | Ati Technologies Ulc | Method of referring to memory of computer, and computer |
KR20170066681A (en) * | 2012-12-27 | 2017-06-14 | 인텔 코포레이션 | Handling of binary translated self modifying code and cross modifying code |
-
2019
- 2019-08-12 KR KR1020190097933A patent/KR102111886B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002536712A (en) * | 1999-01-28 | 2002-10-29 | エーティーアイ インターナショナル エスアールエル | Execution of a program for a first computer architecture on a computer of a second architecture |
JP2012108938A (en) * | 1999-01-28 | 2012-06-07 | Ati Technologies Ulc | Method of referring to memory of computer, and computer |
JP2012110026A (en) * | 2001-03-28 | 2012-06-07 | Rovi Solutions Corp | Content security method providing long-term renewable security, apparatus thereof, and machine readable medium |
KR20170066681A (en) * | 2012-12-27 | 2017-06-14 | 인텔 코포레이션 | Handling of binary translated self modifying code and cross modifying code |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113434385A (en) * | 2021-05-26 | 2021-09-24 | 华东师范大学 | Method and system for automatically generating test case for software model inspection tool |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10698668B1 (en) | Custom code transformations during compilation process | |
JP5699213B2 (en) | Incorrect mode change operation | |
US8359496B1 (en) | Fault-resistant just-in-time compiler | |
US8826269B2 (en) | Annotating virtual application processes | |
US6247171B1 (en) | Bytecode program interpreter apparatus and method with pre-verification of a data type restrictions and object initialization | |
US8904537B2 (en) | Malware detection | |
EP2962240B1 (en) | Performing security operations using binary translation | |
US20050108562A1 (en) | Technique for detecting executable malicious code using a combination of static and dynamic analyses | |
US20120159630A1 (en) | Program execution integrity verification for a computer system | |
US8561067B2 (en) | Test suites for virtualized computing environments | |
US9900324B1 (en) | System to discover and analyze evasive malware | |
US20220035905A1 (en) | Malware analysis through virtual machine forking | |
US20190266063A1 (en) | Method And System For Automated Injection Of Process Type Specific In Process Agents On Process Startup | |
Otsuki et al. | Building stack traces from memory dump of Windows x64 | |
CN112805710A (en) | Verifying stack pointers | |
KR102111886B1 (en) | Method and apparatus for dbi detection on arm architecture | |
KR101769714B1 (en) | System and method for prventing the activation of bad usb | |
TWI656453B (en) | Detection system and detection method | |
Chen et al. | ARMORY: An automatic security testing tool for buffer overflow defect detection | |
US6643769B1 (en) | System and method for enabling selective execution of computer code | |
EP4160455A1 (en) | Behavior analysis based on finite-state machine for malware detection | |
US20160188485A1 (en) | Processing page fault exceptions in supervisory software when accessing strings and similar data structures using normal load instructions | |
KR101416762B1 (en) | System and method for detecting bot of online game | |
Mambretti et al. | GhostBuster: Understanding and overcoming the pitfalls of transient execution vulnerability checkers | |
KR102225838B1 (en) | Anti-emulation method and apparatus for protecting android applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GRNT | Written decision to grant |