KR20210008469A - 네이티브 라이브러리를 보호하는 방법 및 시스템 - Google Patents

네이티브 라이브러리를 보호하는 방법 및 시스템 Download PDF

Info

Publication number
KR20210008469A
KR20210008469A KR1020207028368A KR20207028368A KR20210008469A KR 20210008469 A KR20210008469 A KR 20210008469A KR 1020207028368 A KR1020207028368 A KR 1020207028368A KR 20207028368 A KR20207028368 A KR 20207028368A KR 20210008469 A KR20210008469 A KR 20210008469A
Authority
KR
South Korea
Prior art keywords
library
restoration
memory
restored
file
Prior art date
Application number
KR1020207028368A
Other languages
English (en)
Other versions
KR102677540B1 (ko
Inventor
정상민
심민영
전상훈
Original Assignee
라인플러스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 라인플러스 주식회사 filed Critical 라인플러스 주식회사
Publication of KR20210008469A publication Critical patent/KR20210008469A/ko
Application granted granted Critical
Publication of KR102677540B1 publication Critical patent/KR102677540B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2125Just-in-time application of countermeasures, e.g., on-the-fly decryption, just-in-time obfuscation or de-obfuscation

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

네이티브 라이브러리를 보호하는 방법 및 시스템을 제공한다. 일실시예에 따른 라이브러리 보호 방법은, 네이티브 라이브러리의 사용을 위해 라이브러리 호출의 과정이 선행되어야 하는 특성을 이용하여 네이티브 라이브러리의 호출시점에 동적으로 해당 라이브러리를 복원하고 복원된 주소를 넘겨주는 방식을 통해 네이티브 라이브러리를 보호할 수 있다.

Description

네이티브 라이브러리를 보호하는 방법 및 시스템
아래의 설명은 네이티브 라이브러리를 보호하는 방법 및 시스템에 관한 것으로, 네이티브 라이브러리의 사용을 위해 라이브러리 호출의 과정이 선행되어야 하는 특성을 이용하여 네이티브 라이브러리의 호출시점에 동적으로 해당 라이브러리를 복원하고 복원된 주소를 넘겨주는 방식을 통해 네이티브 라이브러리를 보호할 수 있는 라이브러리 보호 방법, 상기 라이브러리 보호 방법을 수행하는 라이브러리 보호 시스템, 컴퓨터와 결합되어 상기 라이브러리 보호 방법을 컴퓨터에 실행시키기 위해 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램 및 그 기록매체에 관한 것이다.
안드로이드 응용 프로그램 패키지(Android application package, APK)는 안드로이드 운영체제에서 활용되는 소프트웨어와 미들웨어의 배포에 사용되는 파일 패키지이며, '.apk' 확장자를 가진다. APK 파일을 만들려면, 안드로이드용 프로그램을 먼저 컴파일한 후, 모든 파일들을 하나의 파일 패키지로 모아야 한다.
안드로이드와 같은 자바 개발 환경 이외에 빠른 연산 또는 기존 라이브러리의 재사용을 위해 네이티브 공유 라이브러리 호출 인터페이스가 제공되고 있다. 특히 게임과 같이 성능이 중요한 컴퓨터 프로그램은 네이티브 라이브러리를 사용하여 구현되는 것이 일반적이다. 이처럼 네이티브 라이브러리가 많이 사용되고 있는 만큼, 네이티브 라이브러리의 변조와 내부 구현 방식의 도용의 문제도 많이 발생하고 있다. 이러한 네이티브 라이브러리를 사용하기 위해서는 반드시 라이브러리를 호출(일례로, loadLibrary 함수를 이용한 호출)하는 과정이 필수적으로 선행되어야 한다.
이러한 네이티브 라이브러리를 보호하기 위한 종래기술로는 난독화 방식이 있다. 예를 들어, 한국등록특허 제10-1328012호는 애플리케이션 코드 난독화 장치 및 그 방법에 관한 것으로, 애플리케이션에 사용되는 코드 중 중요 코드 및 중요 코드를 호출하기 위한 호출 코드를 네이티브 코드 형태로 변환하는 기술을 개시하고 있다. 이러한 종래기술의 난독화 방식은 네이티브 라이브러리가 포함하는 코드의 전체나 일부를 변경하거나 또는 암호화하는 방식으로 원래의 코드를 알아볼 수 없도록 만들어 놓고, 컴퓨터 프로그램의 실행시점에 스스로 코드를 복원하여 메모리상에 적재시키는 방식이다.
이때, 종래의 난독화 방식은 어플리케이션과 같은 컴퓨터 프로그램의 실행 시점에 스스로 난독화된 코드를 복원하는 방식이기 때문에 난독화된 네이티브 라이브러리를 그대로 옮겨와 다른 프로그램의 내부에서 호출해도 복원이 이루어진다는 문제점을 갖고 있는 구조이다. 또한, 필요에 따라 복원을 위해 추가적인 코드를 실행시키기 위해 각 아키텍쳐별로 해당하는 어셈블리 코드를 동적으로 처리해주여야 하는 번거로움이 있다.
네이티브 라이브러리의 사용을 위해 라이브러리 호출의 과정이 선행되어야 하는 특성을 이용하여 네이티브 라이브러리의 호출시점에 동적으로 해당 라이브러리를 복원하고 복원된 주소를 넘겨주는 방식을 통해 네이티브 라이브러리를 보호할 수 있는 라이브러리 보호 방법, 상기 라이브러리 보호 방법을 수행하는 라이브러리 보호 시스템, 컴퓨터와 결합되어 상기 라이브러리 보호 방법을 컴퓨터에 실행시키기 위해 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램 및 그 기록매체를 제공한다.
컴퓨터 프로그램을 위한 파일 패키지에 포함된 라이브러리를 추출하는 단계; 상기 추출된 라이브러리를 난독화하는 단계; 상기 난독화의 방식을 상기 파일 패키지 내에 기록하는 단계; 상기 컴퓨터 프로그램이 실행되어 상기 난독화된 라이브러리가 호출되는 시점에 동적으로 상기 난독화된 라이브러리를 복원하고, 상기 복원된 라이브러리의 메모리상의 주소를 반환하도록 구현된 복원 라이브러리를 상기 파일 패키지에 추가하는 단계; 및 상기 컴퓨터 프로그램의 실행시점에 상기 파일 패키지가 포함하는 라이브러리 중 상기 복원 라이브러리가 가장 먼저 호출되도록 상기 파일 패키지를 변경하는 단계를 포함하는, 라이브러리 보호 방법을 제공한다.
파일 패키지를 통해 설치된 컴퓨터 프로그램이 실행되는 경우, 상기 파일 패키지가 포함하는 라이브러리들 중 가장 먼저 호출되도록 설정된 복원 라이브러리를 호출하는 단계; 상기 파일 패키지가 포함하는 난독화된 라이브러리에 대한 가상 머신으로의 적재 시도를 확인하기 위해, 상기 호출된 복원 라이브러리를 통해 가상 머신의 적재 함수를 후킹하는 단계; 상기 난독화된 라이브러리에 대한 상기 가상 머신으로의 적재 시도가 확인되는 경우, 상기 복원 라이브러리를 통해 상기 난독화된 라이브러리를 복원하여 복원된 라이브러리를 메모리상에 적재하는 단계; 및 상기 복원된 라이브러리의 메모리상에서의 주소 정보를 상기 후킹된 적재 함수로 반환하는 단계를 포함하는, 라이브러리 보호 방법을 제공한다.
컴퓨터와 결합되어 상기 라이브러리 보호 방법을 컴퓨터 실행시키기 위해 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램을 제공한다.
상기 라이브러리 보호 방법을 컴퓨터에 실행시키기 위한 컴퓨터 프로그램이 기록되어 있는 컴퓨터 판독 가능한 기록매체를 제공한다.
컴퓨터에서 판독 가능한 명령을 실행하도록 구현되는 적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서에 의해, 컴퓨터 프로그램을 위한 파일 패키지에 포함된 라이브러리를 추출하고, 상기 추출된 라이브러리를 난독화하고, 상기 난독화의 방식을 상기 파일 패키지 내에 기록하고, 상기 컴퓨터 프로그램이 실행되어 상기 난독화된 라이브러리가 호출되는 시점에 동적으로 상기 난독화된 라이브러리를 복원하고, 상기 복원된 라이브러리의 메모리상의 주소를 반환하도록 구현된 복원 라이브러리를 상기 파일 패키지에 추가하고, 상기 컴퓨터 프로그램의 실행시점에 상기 파일 패키지가 포함하는 라이브러리 중 상기 복원 라이브러리가 가장 먼저 호출되도록 상기 파일 패키지를 변경하는, 컴퓨터 장치를 제공한다.
컴퓨터에서 판독 가능한 명령을 실행하도록 구현되는 적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서에 의해, 파일 패키지를 통해 설치된 컴퓨터 프로그램이 실행되는 경우, 상기 파일 패키지가 포함하는 라이브러리들 중 가장 먼저 호출되도록 설정된 복원 라이브러리를 호출하고, 상기 파일 패키지가 포함하는 난독화된 라이브러리에 대한 가상 머신으로의 적재 시도를 확인하기 위해, 상기 호출된 복원 라이브러리를 통해 가상 머신의 적재 함수를 후킹하고, 상기 난독화된 라이브러리에 대한 상기 가상 머신으로의 적재 시도가 확인되는 경우, 상기 복원 라이브러리를 통해 상기 난독화된 라이브러리를 복원하여 복원된 라이브러리를 메모리상에 적재하고, 상기 복원된 라이브러리의 메모리상에서의 주소 정보를 상기 후킹된 적재 함수로 반환하는 컴퓨터 장치를 제공한다.
네이티브 라이브러리의 사용을 위해 라이브러리 호출의 과정이 선행되어야 하는 특성을 이용하여 네이티브 라이브러리의 호출시점에 동적으로 해당 라이브러리를 복원하고 복원된 주소를 넘겨주는 방식을 통해 네이티브 라이브러리를 보호할 수 있다.
도 1은 본 발명의 일실시예에 따른 네트워크 환경의 예를 도시한 도면이다.
도 2는 본 발명의 일실시예에 있어서, 전자 기기 및 서버의 내부 구성을 설명하기 위한 블록도이다.
도 3은 본 발명의 일실시예에 있어서, 파일 패키지를 배포하는 서버 관점의 라이브러리 보호 방법의 예를 도시한 흐름도이다.
도 4는 본 발명의 일실시예에 따른 APK 파일에 대한 처리 과정의 예를 도시한 도면이다.
도 5는 본 발명의 일실시예에 있어서, 파일 패키지를 통해 컴퓨터 프로그램을 설치 및 실행시키는 클라이언트 관점의 라이브러리 보호 방법의 예를 도시한 흐름도이다.
도 6은 본 발명의 일실시예에 있어서, APK 파일이 포함하는 네이티브 라이브러리의 보호 과정의 예를 도시한 도면이다.
발명의 실시를 위한 최선의 형태
이하, 실시예를 첨부한 도면을 참조하여 상세히 설명한다.
본 발명의 실시예들에 따른 라이브러리 보호 시스템은 일례로, 도 2에서 설명하는 컴퓨터 장치(200)와 같은 컴퓨터를 통해 구현될 수 있으며, 본 발명의 실시예들에 따른 라이브러리 보호 방법은 이러한 컴퓨터를 통해 수행될 수 있다. 예를 들어, 서버 관점의 컴퓨터는 어플리케이션과 같은 컴퓨터 프로그램의 설치를 위한 파일 패키지를 등록받아, 등록받은 파일 패키지가 포함하는 네이티브 라이브러리의 보호하기 위한 기능을 파일 패키지에 추가함으로써 라이브러리 보호 방법을 실행할 수 있다. 이때, 클라이언트 관점의 컴퓨터는 서버 관점의 컴퓨터가 배포하는 파일 패키지를 제공받아 파일 패키지를 통해 컴퓨터 프로그램을 설치 및 실행시킬 수 있다. 이때, 클라이언트 관점의 컴퓨터는 실행되는 컴퓨터 프로그램의 제어에 따라 파일 패키지가 포함하는 네이티브 라이브러리를 보호할 수 있다.
도 1은 본 발명의 일실시예에 따른 네트워크 환경의 예를 도시한 도면이다. 도 1의 네트워크 환경은 복수의 전자 기기들(110, 120, 130, 140), 복수의 서버들(150, 160) 및 네트워크(170)를 포함하는 예를 나타내고 있다. 이러한 도 1은 발명의 설명을 위한 일례로 전자 기기의 수나 서버의 수가 도 1과 같이 한정되는 것은 아니다.
복수의 전자 기기들(110, 120, 130, 140)은 컴퓨터 장치로 구현되는 고정형 단말이거나 이동형 단말일 수 있다. 복수의 전자 기기들(110, 120, 130, 140)의 예를 들면, 스마트폰(smart phone), 휴대폰, 네비게이션, 컴퓨터, 노트북, 디지털방송용 단말, PDA(Personal Digital Assistants), PMP(Portable Multimedia Player), 태블릿 PC 등이 있다. 일례로 도 1에서는 전자 기기 1(110)의 예로 스마트폰의 형상을 나타내고 있으나, 본 발명의 실시예들에서 전자 기기 1(110)은 실질적으로 무선 또는 유선 통신 방식을 이용하여 네트워크(170)를 통해 다른 전자 기기들(120, 130, 140) 및/또는 서버(150, 160)와 통신할 수 있는 다양한 물리적인 장치들 중 하나를 의미할 수 있다.
통신 방식은 제한되지 않으며, 네트워크(170)가 포함할 수 있는 통신망(일례로, 이동통신망, 유선 인터넷, 무선 인터넷, 방송망)을 활용하는 통신 방식뿐만 아니라 기기들간의 근거리 무선 통신 역시 포함될 수 있다. 예를 들어, 네트워크(170)는, PAN(personal area network), LAN(local area network), CAN(campus area network), MAN(metropolitan area network), WAN(wide area network), BBN(broadband network), 인터넷 등의 네트워크 중 하나 이상의 임의의 네트워크를 포함할 수 있다. 또한, 네트워크(170)는 버스 네트워크, 스타 네트워크, 링 네트워크, 메쉬 네트워크, 스타-버스 네트워크, 트리 또는 계층적(hierarchical) 네트워크 등을 포함하는 네트워크 토폴로지 중 임의의 하나 이상을 포함할 수 있으나, 이에 제한되지 않는다.
서버(150, 160) 각각은 복수의 전자 기기들(110, 120, 130, 140)과 네트워크(170)를 통해 통신하여 명령, 코드, 파일, 컨텐츠, 서비스 등을 제공하는 컴퓨터 장치 또는 복수의 컴퓨터 장치들로 구현될 수 있다. 예를 들어, 서버(150)는 네트워크(170)를 통해 접속한 복수의 전자 기기들(110, 120, 130, 140)로 제1 서비스를 제공하는 시스템일 수 있으며, 서버(160) 역시 네트워크(170)를 통해 접속한 복수의 전자 기기들(110, 120, 130, 140)로 제2 서비스를 제공하는 시스템일 수 있다. 보다 구체적인 예로, 서버(150)는 복수의 전자 기기들(110, 120, 130, 140)에 설치된 어플리케이션(컴퓨터 프로그램)과 연관된 서비스를 상기 제1 서비스로서 제공할 수 있다. 다른 예로, 서버(160)는 상기 제1 서비스를 위한 어플리케이션의 설치 파일을 복수의 전자 기기들(110, 120, 130, 140)로 제공하는 서비스를 상기 제2 서비스로서 제공할 수 있다.
도 2는 본 발명의 일실시예에 따른 컴퓨터 장치의 예를 도시한 블록도이다. 앞서 설명한 복수의 전자 디바이스들(110, 120, 130, 140) 각각이나 서버들(150, 160) 각각은 도 2를 통해 도시된 컴퓨터 장치(200)에 의해 구현될 수 있다. 예를 들어, 컴퓨터 장치(200)에는 일실시예에 따른 컴퓨터 프로그램이 설치 및 구동될 수 있고, 컴퓨터 장치(200)는 구동된 컴퓨터 프로그램의 제어에 따라 본 발명의 실시예들에 따른 라이브러리 보호 방법을 수행할 수 있다.
이러한 컴퓨터 장치(200)는 도 2에 도시된 바와 같이, 메모리(210), 프로세서(220), 통신 인터페이스(230) 그리고 입출력 인터페이스(240)를 포함할 수 있다. 메모리(210)는 컴퓨터에서 판독 가능한 기록매체로서, RAM(random access memory), ROM(read only memory) 및 디스크 드라이브와 같은 비소멸성 대용량 기록장치(permanent mass storage device)를 포함할 수 있다. 여기서 ROM과 디스크 드라이브와 같은 비소멸성 대용량 기록장치는 메모리(210)와는 구분되는 별도의 영구 저장 장치로서 컴퓨터 장치(200)에 포함될 수도 있다. 또한, 메모리(210)에는 운영체제와 적어도 하나의 프로그램 코드가 저장될 수 있다. 이러한 소프트웨어 구성요소들은 메모리(210)와는 별도의 컴퓨터에서 판독 가능한 기록매체로부터 메모리(210)로 로딩될 수 있다. 이러한 별도의 컴퓨터에서 판독 가능한 기록매체는 플로피 드라이브, 디스크, 테이프, DVD/CD-ROM 드라이브, 메모리 카드 등의 컴퓨터에서 판독 가능한 기록매체를 포함할 수 있다. 다른 실시예에서 소프트웨어 구성요소들은 컴퓨터에서 판독 가능한 기록매체가 아닌 통신 인터페이스(230)를 통해 메모리(210)에 로딩될 수도 있다. 예를 들어, 소프트웨어 구성요소들은 네트워크(170)를 통해 수신되는 파일들에 의해 설치되는 컴퓨터 프로그램에 기반하여 컴퓨터 장치(200)의 메모리(210)에 로딩될 수 있다.
프로세서(220)는 기본적인 산술, 로직 및 입출력 연산을 수행함으로써, 컴퓨터 프로그램의 명령을 처리하도록 구성될 수 있다. 명령은 메모리(210) 또는 통신 인터페이스(230)에 의해 프로세서(220)로 제공될 수 있다. 예를 들어 프로세서(220)는 메모리(210)와 같은 기록 장치에 저장된 프로그램 코드에 따라 수신되는 명령을 실행하도록 구성될 수 있다.
통신 인터페이스(230)은 네트워크(170)를 통해 컴퓨터 장치(200)가 다른 장치(일례로, 앞서 설명한 저장 장치들)와 서로 통신하기 위한 기능을 제공할 수 있다. 일례로, 컴퓨터 장치(200)의 프로세서(220)가 메모리(210)와 같은 기록 장치에 저장된 프로그램 코드에 따라 생성한 요청이나 명령, 데이터, 파일 등이 통신 인터페이스(230)의 제어에 따라 네트워크(170)를 통해 다른 장치들로 전달될 수 있다. 역으로, 다른 장치로부터의 신호나 명령, 데이터, 파일 등이 네트워크(170)를 거쳐 컴퓨터 장치(200)의 통신 인터페이스(230)를 통해 컴퓨터 장치(200)로 수신될 수 있다. 통신 인터페이스(230)를 통해 수신된 신호나 명령, 데이터 등은 프로세서(220)나 메모리(210)로 전달될 수 있고, 파일 등은 컴퓨터 장치(200)가 더 포함할 수 있는 저장 매체(상술한 영구 저장 장치)로 저장될 수 있다.
입출력 인터페이스(240)는 입출력 장치(250)와의 인터페이스를 위한 수단일 수 있다. 예를 들어, 입력 장치는 마이크, 키보드 또는 마우스 등의 장치를, 그리고 출력 장치는 디스플레이, 스피커와 같은 장치를 포함할 수 있다. 다른 예로 입출력 인터페이스(240)는 터치스크린과 같이 입력과 출력을 위한 기능이 하나로 통합된 장치와의 인터페이스를 위한 수단일 수도 있다. 입출력 장치(250)는 컴퓨터 장치(200)와 하나의 장치로 구성될 수도 있다.
또한, 다른 실시예들에서 컴퓨터 장치(200)는 도 2의 구성요소들보다 더 적은 혹은 더 많은 구성요소들을 포함할 수도 있다. 그러나, 대부분의 종래기술적 구성요소들을 명확하게 도시할 필요성은 없다. 예를 들어, 컴퓨터 장치(200)는 상술한 입출력 장치(250) 중 적어도 일부를 포함하도록 구현되거나 또는 트랜시버(transceiver), 데이터베이스 등과 같은 다른 구성요소들을 더 포함할 수도 있다.
도 3은 본 발명의 일실시예에 있어서, 파일 패키지를 배포하는 서버 관점의 라이브러리 보호 방법의 예를 도시한 흐름도이다. 본 실시예에 따른 라이브러리 보호 방법은 일례로, 도 1을 통해 설명한 서버(160)와 같이 컴퓨터 프로그램(어플리케이션)의 설치 파일을 배포하는 컴퓨터 장치(200)에 의해 수행될 수 있다. 예를 들어, 컴퓨터 장치(200)의 프로세서(220)는 메모리(210)가 포함하는 운영체제의 코드 및/또는 적어도 하나의 프로그램의 코드에 따른 제어 명령(instruction)을 실행하도록 구현될 수 있다. 예를 들어, 상술한 프로그램 코드는 보호 대상이 되는 네이티브 라이브러리를 포함하는 파일 패키지와는 별도의 컴퓨터 프로그램에 포함된 코드일 수 있다. 이 경우, 프로세서(220)는 컴퓨터 장치(200)에 저장된 컴퓨터 프로그램의 코드가 제공하는 제어 명령에 따라 컴퓨터 장치(200)가 도 3의 라이브러리 보호 방법이 포함하는 단계들(310 및 340)을 수행하도록 컴퓨터 장치(200)를 제어할 수 있다.
단계(310)에서 컴퓨터 장치(200)는 컴퓨터 프로그램을 위한 파일 패키지에 포함된 라이브러리를 추출할 수 있다. 여기서의 컴퓨터 프로그램은 서버(160)와 같은 본 실시예의 컴퓨터 장치(200)를 제어하기 위한 컴퓨터 프로그램과는 별도의 프로그램으로, 도 1을 통해 설명한 복수의 전자 기기들(110, 120, 130, 140)에 파일 패키지를 통해 설치되는 어플리케이션을 포함할 수 있다. 이때, 컴퓨터 장치(200)는 파일 패키지가 포함하는 라이브러리들 중 보호하기 위한 적어도 하나의 네이티브 라이브러리를 추출할 수 있다.
단계(320)에서 컴퓨터 장치(200)는 추출된 라이브러리를 난독화할 수 있다. 난독화는 이미 설명한 바와 같이, 네이티브 라이브러리가 포함하는 코드의 전체나 일부를 변경하거나 또는 암호화하는 방식으로 원래의 코드를 알아볼 수 없도록 만들어 놓는 과정으로, 네이티브 라이브러리의 전체 또는 일부를 식별할 수 없도록 네이티브 라이브러리를 변형할 수 있는 기술이라면 제한되지 않고 활용될 수 있다. 이때, 다수의 난독화 방식들 중 하나를 사용하는 경우, 나중에 난독화된 네이티브 라이브러리를 복원할 수 있도록 네이티브 라이브러리를 난독화하는데 사용된 난독화 방식에 대한 정보가 파일 패키지 내에 기록될 수 있다. 예를 들어, 컴퓨터 장치(200)는 난독화의 방식을 파일 패키지 내에 기록할 수 있다. 보다 구체적으로, 컴퓨터 장치(200)는 네이티브 라이브러리와는 별도의 정보 파일에 난독화 방식을 기록하거나 또는 난독화된 네이티브 라이브러리의 유휴(reserved) 영역에 난독화 방식을 기록할 수 있다. 네이티브 라이브러리의 난독화 방식을 난독화된 네이티브 라이브러리를 복원하기 위한 시스템으로 전달할 수 있는 방법이라면 따로 한정되지 않고 활용될 수 있다. 난독화된 네이티브 라이브러리는 기존의 추출된 네이티브 라이브러리 대신 파일 패키지에 포함될 수 있다.
단계(330)에서 컴퓨터 장치(200)는 컴퓨터 프로그램이 실행되어 난독화된 라이브러리가 호출되는 시점에 동적으로 난독화된 라이브러리를 복원하고, 복원된 라이브러리의 메모리상의 주소를 반환하도록 구현된 복원 라이브러리를 파일 패키지에 추가할 수 있다. 예를 들어, 이러한 복원 라이브러리는 변경된 파일 패키지를 통해 컴퓨터 프로그램을 설치 및 실행시키는 전자 기기에서 복원 라이브러리가 호출되어 실행됨에 따라, 전자 기기의 가상 머신으로 라이브러리를 적재(load)하기 위한 적재 함수를 지속적으로 후킹하는 제1 기능, 난독화된 라이브러리에 대한 가상 머신으로의 적재 시도에 따라 난독화된 라이브러리를 복원하는 제2 기능, 및 복원된 라이브러리의 메모리상의 주소를 후킹된 적재 함수로 반환하는 제3 기능을 포함할 수 있다. 다시 말해, 컴퓨터 장치(200)는 상술한 제1 기능, 제2 기능 및 제3 기능을 적어도 포함하도록 복원 라이브러리를 구현하여 파일 패키지에 추가할 수 있다. 여기서, 적재 함수는, 일례로 안드로이드 자바 가상 머신 환경에서 네이티브 라이브러리를 가상 머신에 적재하기 위해 호출되는 네이티브 라이브러리 로딩 함수인 "System.loadLibrary()" 함수를 포함할 수 있다. 실시예에 따라 복원 라이브러리는 복원 라이브러리를 통해 메모리상에 별도의 페이크 복원 정보를 구성하는 제4 기능을 더 포함하도록 구현될 수도 있다. 이러한 복원 라이브러리의 기능들에 대해서는 이후 더욱 자세히 설명한다.
단계(340)에서 컴퓨터 장치(200)는 컴퓨터 프로그램의 실행시점에 파일 패키지가 포함하는 라이브러리 중 복원 라이브러리가 가장 먼저 호출되도록 파일 패키지를 변경할 수 있다. 예를 들어, 복원 라이브러리가 호출되어 실행되기 전에 난독화된 네이티브 라이브러리가 먼저 호출되는 경우, 본원 라이브러리가 해당 네이티브 라이브러리를 보호할 수 없게 된다. 따라서 복원 라이브러리는 다른 라이브러리들보다 먼저 실행되어야 할 필요성이 있으며, 이에 컴퓨터 장치(200)는 이러한 복원 라이브러리가 라이브러리들 중에서 가장 먼저 호출되어 실행될 수 있도록 파일 패키지를 변경할 수 있다. 보다 구체적인 예로, 파일 패키지는 안드로이드 응용 프로그램 패키지(Android application package, APK)를 포함할 수 있다. 이 경우, 컴퓨터 장치(200)는 파일 패키지가 포함하는 라이브러리 중 복원 라이브러리를 가장 먼저 호출하도록 APK의 안드로이드 메니페스트 파일이 포함하는 클래스들 중 적어도 하나의 클래스에 포함되는 적어도 하나의 함수의 코드를 변경하거나, 파일 패키지가 포함하는 라이브러리 중 복원 라이브러리를 가장 먼저 호출하도록 생성된 새로운 클래스를 안드로이드 메니페스트 파일에 추가할 수 있다. 상기 함수는 일례로, 화면을 구성하는 액티비티(Activity)의 'attachBaseContext()' 함수일 수 있다. 예를 들어, 컴퓨터 장치(200)는 'attachBaseContext()' 함수 내에서 복원 라이브러리를 다른 라이브러리보다 먼저 호출하도록 'attachBaseContext()' 함수 내의 코드를 변경함으로써, 복원 라이브러리가 파일 패키지에 포함된 다른 어떠한 라이브러리보다 먼저 호출되도록 할 수 있다. 또한, 안드로이드 메니페스트 파일에는 어플리케이션의 구성 정보로서 어플리케이션의 구동 시에 가장 먼저 호출되는 클래스에 대한 정보가 설정될 수 있다. 이때, 컴퓨터 장치(200)는 안드로이드 메니페스트 파일에서 가장 먼저 호출되도록 설정된 클래스의 클래스명을 앞서 설명한 새로운 클래스의 클래스명으로 변경할 수 있다. 이 경우, 컴퓨터 프로그램의 실행 시, 새로운 클래스가 가장 먼저 호출될 수 있으며, 가장 먼저 호출된 새로운 클래스를 통해 복원 라이브러리가 파일 패키지에 포함된 라이브러리들 중에서 가장 먼저 호출될 수 있다.
변경된 파일 패키지는 네트워크(170)를 통해 배포될 수 있으며, 복수의 전자 기기들(110, 120, 130, 140)과 같은 전자 기기에서 배포된 파일 패키지를 통해 어플리케이션과 같은 컴퓨터 프로그램을 설치 및 실행시킬 수 있게 된다. 복원 라이브러리는 이러한 전자 기기에서 컴퓨터 프로그램의 실행 시에 가장 먼저 실행되어 난독화된 네이티브 라이브러리를 보호하게 된다. 본 실시예에 따른 복원 라이브러리가 APK의 라이브러리들 중 가장 먼저 실행될 수 있도록 지원하기 위한 방법이라면 제한되지 않고 사용될 수 있다.
도 4는 본 발명의 일실시예에 따른 APK 파일에 대한 처리 과정의 예를 도시한 도면이다. 도 4의 실시예에서는 안드로이드 응용 프로그램 패키지(Android application package, APK)에 포함된 네이티브 라이브러리를 보호하기 위한 과정의 예를 설명한다. 이때, 파일 패키지를 배포하는 서버(160)는 서버(160)에 등록되는 제1 안드로이드 응용 패키지(제1 APK, 410)에 대해 네이티브 라이브러리의 보호를 위한 처리를 행함으로써 제2 안드로이드 응용 패키지(제2 APK, 420)를 생성할 수 있다. 예를 들어, 제1 APK(410)는 자바 코드(411)와 네이티브 라이브러리(412)를 적어도 포함할 수 있다. 이때, 서버(160)는 제1 APK(410)가 포함하는 네이티브 라이브러리(412)를 추출하여 난독화할 수 있다. 이때, 제2 APK(420)는 기존의 네이티브 라이브러리(412) 대신 난독화된 네이티브 라이브러리(421)를 포함하게 된다. 한편, 서버(160)는 난독화된 네이티브 라이브러리(421)를 안전하게 복원하기 위한 복원 라이브러리(422)를 생성하여 제2 APK(420)에 추가할 수 있다. 이미 설명한 바와 같이 복원 라이브러리(422)는 변경된 파일 패키지를 통해 컴퓨터 프로그램을 설치 및 실행시키는 전자 기기에서 복원 라이브러리가 호출되어 실행됨에 따라, 전자 기기의 가상 머신으로 라이브러리를 적재(load)하기 위한 적재 함수를 지속적으로 후킹하는 제1 기능, 난독화된 라이브러리에 대한 가상 머신으로의 적재 시도에 따라 난독화된 라이브러리를 복원하는 제2 기능, 및 복원된 라이브러리의 메모리상의 주소를 후킹된 적재 함수로 반환하는 제3 기능을 적어도 포함하도록 구현될 수 있으며, 실시예에 따라 복원 라이브러리(422)를 통해 메모리상에 별도의 페이크 복원 정보를 구성하는 제4 기능을 더 포함하도록 구현될 수 있다. 또한 실시예에 따라 제2 APK(420)내에는 난독화 방식에 대한 정보가 포함될 수 있다. 생성된 제2 APK(420)는 네트워크(170)를 통해 배포될 수 있다.
도 5는 본 발명의 일실시예에 있어서, 파일 패키지를 통해 컴퓨터 프로그램을 설치 및 실행시키는 클라이언트 관점의 라이브러리 보호 방법의 예를 도시한 흐름도이다. 본 실시예에 따른 라이브러리 보호 방법은 일례로, 도 1을 통해 설명한 복수의 전자 기기들(110, 120, 130, 140) 중 어느 하나를 구현하여 파일 패키지를 통해 컴퓨터 프로그램을 설치 및 실행시키는 컴퓨터 장치(200)에 의해 수행될 수 있다. 예를 들어, 컴퓨터 장치(200)의 프로세서(220)는 메모리(210)가 포함하는 운영체제의 코드 및/또는 적어도 하나의 프로그램의 코드에 따른 제어 명령(instruction)을 실행하도록 구현될 수 있다. 여기서 적어도 하나의 프로그램은 파일 패키지를 통해 설치 및 실행되는 컴퓨터 프로그램을 포함할 수 있다. 이 경우, 프로세서(220)는 컴퓨터 장치(200)에 저장된 컴퓨터 프로그램의 코드가 제공하는 제어 명령에 따라 컴퓨터 장치(200)가 도 5의 라이브러리 보호 방법이 포함하는 단계들(510 및 540)을 수행하도록 컴퓨터 장치(200)를 제어할 수 있다.
단계(510)에서 컴퓨터 장치(200)는 파일 패키지를 통해 설치된 컴퓨터 프로그램이 실행되는 경우, 파일 패키지가 포함하는 라이브러리들 중 가장 먼저 호출되도록 설정된 복원 라이브러리를 호출할 수 있다. 여기서 파일 패키지는 도 3을 통해 네이티브 라이브러리가 난독화되고 복원 라이브러리가 추가된 파일 패키지일 수 있다. 도 3의 단계(340)에서 설명한 바와 같이 라이브러리들 중 복원 라이브러리가 가장 먼저 호출되도록 파일 패키지가 변경될 수 있으며, 컴퓨터 장치(200)는 이러한 변경된 파일 패키지를 통해 컴퓨터 프로그램을 실행할 때, 복원 라이브러리를 파일 패키지가 포함하는 라이브러리들 중 가장 먼저 호출할 수 있다. 이미 설명한 바와 같이 복원 라이브러리는 변경된 파일 패키지를 통해 컴퓨터 프로그램을 설치 및 실행시키는 컴퓨터 장치(200)에서 복원 라이브러리가 호출되어 실행됨에 따라, 컴퓨터 장치(200)의 가상 머신으로 라이브러리를 적재(load)하기 위한 적재 함수를 지속적으로 후킹하는 제1 기능, 난독화된 라이브러리에 대한 가상 머신으로의 적재 시도에 따라 난독화된 라이브러리를 복원하는 제2 기능, 및 복원된 라이브러리의 메모리상의 주소를 후킹된 적재 함수로 반환하는 제3 기능을 적어도 포함하도록 구현될 수 있으며, 실시예에 따라 복원 라이브러리를 통해 메모리상에 별도의 페이크 복원 정보를 구성하는 제4 기능을 더 포함하도록 구현될 수 있다.
단계(520)에서 컴퓨터 장치(200)는 파일 패키지가 포함하는 난독화된 라이브러리에 대한 가상 머신으로의 적재 시도를 확인하기 위해, 호출된 복원 라이브러리를 통해 가상 머신의 적재 함수를 후킹할 수 있다. 적재 함수를 후킹하는 것은 앞서 설명한 제1 기능의 제어에 따라 이루어질 수 있다. 예를 들어, 제1 기능은 컴퓨터 장치(200)로 하여금 난독화된 네이티브 라이브러리에 대한 적재 함수를 후킹하여 컴퓨터 장치(200)가 난독화된 라이브러리에 대한 적재 시도를 확인할 수 있도록 하며, 적재 함수의 동작을 일시적으로 정지시키도록 컴퓨터 장치(200)를 제어할 수 있다.
단계(530)에서 컴퓨터 장치(200)는 난독화된 라이브러리에 대한 가상 머신으로의 적재 시도가 확인되는 경우, 복원 라이브러리를 통해 난독화된 라이브러리를 복원하여 복원된 라이브러리를 메모리상에 적재할 수 있다. 이러한 난독화된 네이티브 라이브러리의 복원과 적재는 앞서 설명한 제2 기능에 의해 수행될 수 있다. 예를 들어, 제2 기능은 컴퓨터 장치(200)가 난독화된 라이브러리를 복원하도록 제어할 수 있다. 앞서 설명한 바와 같이 난독화 방식은 파일 패키지 내에 기록되어 전달될 수 있으며, 컴퓨터 장치(200)는 제2 기능의 제어에 따라 기록된 난독화 방식에 대응하는 복원 방식을 통해 난독화된 네이티브 라이브러리를 복원할 수 있다.
단계(540)에서 컴퓨터 장치(200)는 복원된 라이브러리의 메모리상에서의 주소 정보를 후킹된 적재 함수로 반환할 수 있다. 주소 정보의 반환은 앞서 설명한 제3 기능에 의해 수행될 수 있다. 예를 들어, 제3 기능은 컴퓨터 장치(200)가 복원된 네이티브 라이브러리가 적재되어 있는 메모리상의 주소를 후킹된 적재 함수로 반환하도록 제어할 수 있다. 적재 함수는 반환된 주소를 통해 네이티브 라이브러리의 메모리 적재 과정을 완료할 수 있다.
난독화된 네이티브 라이브러리를 다른 프로그램 내부로 옮겨와 실행시키는 경우에는 복원 라이브러리가 동작하지 않기 때문에 난독화된 네이티브 라이브러리를 복원할 수 없게 되며, 복원 라이브러리를 찾아서 함께 다른 프로그램 내부로 옮긴다 하더라도 복원 라이브러리가 먼저 실행되지 않으면 역시 난독화된 네이티브 라이브러리를 복원할 수 없게 된다.
또한, 복원 라이브러리의 제4 기능은 컴퓨터 장치(200)가 복원 라이브러리를 통해 메모리상에 별도의 페이크 복원 정보를 구성하도록 제어할 수 있다. 예를 들어, 단계(530)에서 컴퓨터 장치(200)는 복원 라이브러리를 통해 페이크(fake) 복원 정보를 메모리상에 구성할 수 있다. 따라서, 복원 라이브러리가 다른 프로그램에서 정상적으로 동작한다 하더라도 페이크 복원 정보가 노출되기 때문에 해당 네이티브 라이브러리를 보호할 수 있게 된다.
또한, 컴퓨터 장치(200)는 단계(530)에서 메모리에 대한 분석을 통해 복원된 라이브러리를 식별하지 못하도록 복원된 라이브러리를 포함하는 임의의 파일명을 갖는 복원 파일을 생성한 후, 복원 파일을 메모리로 적재할 수 있다. 예를 들어, 악의적인 사용자는 난독화된 네이티브 라이브러리의 복원된 내용을 확인하고 싶어도 해당 네이티브 라이브러리와 무관한 임의의 파일명을 갖는 복원 파일을 찾기 어려우며, 이러한 임의의 파일명의 복원 파일이 메모리로 적재되기 때문에 메모리에 적재된 복원된 네이티브 라이브러리의 내용을 획득하기 어렵게 된다.
이에 더해, 컴퓨터 장치(200)는 단계(520)에서 난독화된 네이티브 라이브러를 동적으로 호출하는 파일 패키지가 포함하는 라이브러리 내부의 적재 함수를 더 후킹할 수 있다. 예를 들어, 다른 네이티브 라이브러리가 내부의 적재 함수(일례로, 'dlopen()' 함수를 이용한 API 호출)를 이용하여 난독화된 네이티브 라이브러리를 동적으로 직접 호출할 수도 있다. 이 경우 컴퓨터 장치(200)는 이러한 동적인 직접 호출에 대해서도 난도화된 네이티브 라이브러리를 보호하기 위해, 해당 호출을 위한 적재 함수를 더 후킹할 수 있다. 다시 말해, 복원 라이브러리는 상술한 적재 함수에 대해서도 앞서 설명한 제1 기능 내지 제4 기능을 제공하여 컴퓨터 장치(200)가 난독화된 네이티브 라이브러리를 보호하도록 할 수 있다.
뿐만 아니라, 컴퓨터 장치(200)는 단계(530)에서 복원된 라이브러리와 정적으로 연결되어 있는 다른 라이브러리를 함께 메모리상에 적재할 수 있다. 예를 들어, 다른 네이티브 라이브러리가 난독화된 네이티브 라이브러리와 정적으로 연결되어 있을 수 있다. 이때, 다른 네이티브 라이브러리가 정적으로 연결된 난독화된 네이티브 라이브러리를 호출하거나 역으로 난독화된 네이티브 라이브러리가 정적으로 연결된 다른 네이티브 라이브러리를 호출할 때, 메모리상에서의 주소(offset)이 상대적으로 일정하게 유지되어야 할 필요성이 있다. 따라서, 컴퓨터 장치(200)는 이러한 메모리상에서의 주소가 일정하게 유지될 수 있도록 난독화된 네이티브 라이브러리와 정적으로 연결된 다른 네이티브 라이브러리를 함께 메모리상에 적재할 수 있다.
도 6은 본 발명의 일실시예에 있어서, APK 파일이 포함하는 네이티브 라이브러리의 보호 과정의 예를 도시한 도면이다. 도 6의 실시예에서는 안드로이드 응용 프로그램 패키지(Android application package, APK)에 포함된 네이티브 라이브러리를 보호하기 위한 과정의 예를 설명한다. 이때, 도 6의 보호 과정은 도 4의 서버(160)가 배포하는 제2 안드로이드 응용 패키지(제2 APK, 420)를 수신하여 컴퓨터 프로그램을 설치 및 실행시키는 전자 기기 1(110)에 의해 수행될 수 있다.
전자 기기 1(110)에서 제2 APK(420)를 통해 설치된 컴퓨터 프로그램을 실행시키는 경우, 전자 기기 1(110)은 제2 APK(420)가 포함하는 라이브러리들 중 복원 라이브러리(422)를 가장 먼저 호출할 수 있다. 제2 APK(420)가 포함하는 자바 코드(411)에 의해 난독화된 네이티브 라이브러리(421)를 메모리에 적재하기 위해 안드로이드 가상 머신(610)의 적재 함수 "loadLibrary"(611)가 호출되는 경우, 복원 라이브러리(422)는 적재 함수 "loadLibrary"(611)를 후킹하도록 전자 기기 1(110)을 제어할 수 있다. 이후, 복원 라이브러리(422)는 난독화된 네이티브 라이브러리(421)를 복원하도록 전자 기기 1(110)을 제어할 수 있다. 이러한 복원 라이브러리(422)의 제어에 따라 복원된 네이티브 라이브러리(620)는 메모리에 적재될 수 있으며, 복원된 네이티브 라이브러리(620)의 메모리상의 주소가 복원 라이브러리(422)를 통해 적재 함수 "loadLibrary"(611)로 반환될 수 있다. 이후, 적재 함수 "loadLibrary"(611)가 자바 코드로 적재가 요청된 네이티브 라이브러리를 메모리로 적재하였음에 대한 응답을 자바 코드(411)로 전달할 수 있다. 실시예에 따라 복원된 네이티브 라이브러리는 임의의 파일명을 갖는 별도의 복원 파일로 생성된 후, 복원 파일이 메모리에 적재되는 형태로 메모리상에 적재될 수 있다. 또한, 복원 라이브러리(422)는 복원된 네이티브 라이브러리에 대한 페이크 복원 정보를 생성하여 메모리상에 업로드하도록 전자 기기 1(110)을 제어함으로써, 악의적인 사용자가 메모리를 분석하는 경우 페이크 복원 정보가 노출될 수 있도록 할 수 있다.
이상에서와 같이, 본 발명의 실시예들에 따르면, 네이티브 라이브러리의 사용을 위해 라이브러리 호출의 과정이 선행되어야 하는 특성을 이용하여 네이티브 라이브러리의 호출시점에 동적으로 해당 라이브러리를 복원하고 복원된 주소를 넘겨주는 방식을 통해 네이티브 라이브러리를 보호할 수 있다.
이상에서 설명된 시스템 또는 장치는 하드웨어 구성요소, 소프트웨어 구성요소 또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
발명의 실시를 위한 형태
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (18)

  1. 컴퓨터 프로그램을 위한 파일 패키지에 포함된 라이브러리를 추출하는 단계;
    상기 추출된 라이브러리를 난독화하는 단계;
    상기 컴퓨터 프로그램이 실행되어 상기 난독화된 라이브러리가 호출되는 시점에 동적으로 상기 난독화된 라이브러리를 복원하고, 상기 복원된 라이브러리의 메모리상의 주소를 반환하도록 구현된 복원 라이브러리를 상기 파일 패키지에 추가하는 단계; 및
    상기 컴퓨터 프로그램의 실행시점에 상기 파일 패키지가 포함하는 라이브러리 중 상기 복원 라이브러리가 가장 먼저 호출되도록 상기 파일 패키지를 변경하는 단계
    를 포함하는, 라이브러리 보호 방법.
  2. 제1항에 있어서,
    상기 변경된 파일 패키지를 통해 상기 컴퓨터 프로그램을 설치 및 실행시키는 전자 기기에서 상기 복원 라이브러리가 호출되어 실행됨에 따라, 상기 전자 기기의 가상 머신으로 라이브러리를 적재(load)하기 위한 적재 함수를 후킹하는 제1 기능, 상기 난독화된 라이브러리에 대한 상기 가상 머신으로의 적재 시도에 따라 상기 난독화된 라이브러리를 복원하는 제2 기능, 및 상기 복원된 라이브러리의 메모리상의 주소를 상기 후킹된 적재 함수로 반환하는 제3 기능을 포함하도록 상기 복원 라이브러리를 구현하는 단계
    를 더 포함하는, 라이브러리 보호 방법.
  3. 제2항에 있어서,
    상기 복원 라이브러리를 구현하는 단계는,
    상기 복원 라이브러리가 상기 메모리상에 별도의 페이크 복원 정보를 구성하는 제4 기능을 더 포함하도록 상기 복원 라이브러리를 구현하는, 라이브러리 보호 방법.
  4. 제1항에 있어서,
    상기 파일 패키지는 안드로이드 응용 프로그램 패키지(Android application package, APK)를 포함하고,
    상기 파일 패키지를 변경하는 단계는,
    상기 파일 패키지가 포함하는 라이브러리 중 상기 복원 라이브러리를 가장 먼저 호출하도록 상기 APK의 안드로이드 메니페스트 파일이 포함하는 클래스들 중 적어도 하나의 클래스에 포함되는 적어도 하나의 함수의 코드를 변경하거나, 상기 파일 패키지가 포함하는 라이브러리 중 상기 복원 라이브러리를 가장 먼저 호출하도록 생성된 새로운 클래스를 상기 안드로이드 메니페스트 파일에 추가하는, 라이브러리 보호 방법.
  5. 제1항에 있어서,
    상기 난독화의 방식을 상기 파일 패키지 내
    에 기록하는 단계
    를 더 포함하고,
    상기 복원 라이브러리는 상기 기록된 난독화의 방식에 기초하여 상기 난독화된 라이브러리를 복원하는, 라이브러리 보호 방법.
  6. 파일 패키지를 통해 설치된 컴퓨터 프로그램이 실행되는 경우, 상기 파일 패키지가 포함하는 라이브러리들 중 가장 먼저 호출되도록 설정된 복원 라이브러리를 호출하는 단계;
    상기 파일 패키지가 포함하는 난독화된 라이브러리에 대한 가상 머신으로의 적재 시도를 확인하기 위해, 상기 호출된 복원 라이브러리를 통해 가상 머신의 적재 함수를 후킹하는 단계;
    상기 난독화된 라이브러리에 대한 상기 가상 머신으로의 적재 시도가 확인되는 경우, 상기 복원 라이브러리를 통해 상기 난독화된 라이브러리를 복원하여 복원된 라이브러리를 메모리상에 적재하는 단계; 및
    상기 복원된 라이브러리의 메모리상에서의 주소 정보를 상기 후킹된 적재 함수로 반환하는 단계
    를 포함하는, 라이브러리 보호 방법.
  7. 제6항에 있어서,
    상기 파일 패키지는 안드로이드 응용 프로그램 패키지(Android application package, APK)를 포함하고,
    상기 파일 패키지가 포함하는 라이브러리들 중 상기 복원 라이브러리를 가장 먼저 호출하도록 설정하는 것은, 상기 APK의 안드로이드 메니페스트 파일이 포함하는 클래스들 중 적어도 하나의 클래스에 포함되는 적어도 하나의 함수의 코드를 변경하거나, 상기 파일 패키지가 포함하는 라이브러리 중 상기 복원 라이브러리를 가장 먼저 호출하도록 생성된 새로운 클래스를 상기 안드로이드 메니페스트 파일에 추가하는 것을 포함하는, 라이브러리 보호 방법.
  8. 제6항에 있어서,
    상기 복원된 라이브러리를 메모리상에 적재하는 단계는,
    상기 복원 라이브러리를 통해 상기 메모리상에 상기 복원된 라이브러리에 대한 페이크 복원 정보를 구성하는 단계
    를 포함하는, 라이브러리 보호 방법.
  9. 제6항에 있어서,
    상기 복원된 라이브러리를 메모리상에 적재하는 단계는,
    상기 메모리에 대한 분석을 통해 상기 복원된 라이브러리를 식별하지 못하도록 상기 복원된 라이브러리를 포함하는 임의의 파일명을 갖는 복원 파일을 생성한 후, 상기 복원 파일을 상기 메모리로 적재하는 단계
    를 포함하는, 라이브러리 보호 방법.
  10. 제6항에 있어서,
    상기 후킹하는 단계는,
    상기 난독화된 네이티브 라이브러를 동적으로 호출하는 상기 파일 패키지가 포함하는 라이브러리 내부의 적재 함수를 더 후킹하는 단계
    를 포함하는, 라이브러리 보호 방법.
  11. 제6항에 있어서,
    상기 복원된 라이브러리를 메모리상에 적재하는 단계는,
    상기 복원된 라이브러리와 정적으로 연결되어 있는 다른 라이브러리를 함께 상기 메모리상에 적재하는 단계
    를 포함하는, 라이브러리 보호 방법.
  12. 제1항 내지 제11항 중 어느 한 항의 방법을 컴퓨터에 실행시키기 위한 컴퓨터 프로그램이 기록되어 있는 컴퓨터 판독 가능한 기록매체.
  13. 컴퓨터와 결합되어 라이브러리 보호 방법을 컴퓨터에 실행시키기 위해 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램에 있어서,
    상기 라이브러리 보호 방법은,
    파일 패키지를 통해 설치된 상기 컴퓨터 프로그램이 실행되는 경우, 상기 파일 패키지가 포함하는 라이브러리들 중 가장 먼저 호출되도록 설정된 복원 라이브러리를 호출하는 단계;
    상기 파일 패키지가 포함하는 난독화된 라이브러리에 대한 가상 머신으로의 적재 시도를 확인하기 위해, 상기 호출된 복원 라이브러리를 통해 가상 머신의 적재 함수를 후킹하는 단계;
    상기 난독화된 라이브러리에 대한 상기 가상 머신으로의 적재 시도가 확인되는 경우, 상기 복원 라이브러리를 통해 상기 난독화된 라이브러리를 복원하여 복원된 라이브러리를 메모리상에 적재하는 단계; 및
    상기 복원된 라이브러리의 메모리상에서의 주소 정보를 상기 후킹된 적재 함수로 반환하는 단계
    를 포함하는, 컴퓨터 프로그램.
  14. 제13항에 있어서,
    상기 파일 패키지는 안드로이드 응용 프로그램 패키지(Android application package, APK)를 포함하고,
    상기 파일 패키지가 포함하는 라이브러리들 중 상기 복원 라이브러리를 가장 먼저 호출하도록 설정하는 것은, 상기 APK의 안드로이드 메니페스트 파일이 포함하는 클래스들 중 적어도 하나의 클래스에 포함되는 적어도 하나의 함수의 코드를 변경하거나, 상기 파일 패키지가 포함하는 라이브러리 중 상기 복원 라이브러리를 가장 먼저 호출하도록 생성된 새로운 클래스를 상기 안드로이드 메니페스트 파일에 추가하는 것을 포함하는, 컴퓨터 프로그램.
  15. 제13항에 있어서,
    상기 복원된 라이브러리를 메모리상에 적재하는 단계는,
    상기 복원 라이브러리를 통해 상기 메모리상에 상기 복원된 라이브러리에 대한 페이크 복원 정보를 구성하는 단계
    를 포함하는, 컴퓨터 프로그램.
  16. 제13항에 있어서,
    상기 복원된 라이브러리를 메모리상에 적재하는 단계는,
    상기 메모리에 대한 분석을 통해 상기 복원된 라이브러리를 식별하지 못하도록 상기 복원된 라이브러리를 포함하는 임의의 파일명을 갖는 복원 파일을 생성한 후, 상기 복원 파일을 상기 메모리로 적재하는 단계
    를 포함하는, 컴퓨터 프로그램.
  17. 제13항에 있어서,
    상기 후킹하는 단계는,
    상기 난독화된 네이티브 라이브러를 동적으로 호출하는 상기 파일 패키지가 포함하는 라이브러리 내부의 적재 함수를 더 후킹하는 단계
    를 포함하는, 컴퓨터 프로그램.
  18. 제13항에 있어서,
    상기 복원된 라이브러리를 메모리상에 적재하는 단계는,
    상기 복원된 라이브러리와 정적으로 연결되어 있는 다른 라이브러리를 함께 상기 메모리상에 적재하는 단계
    를 포함하는, 컴퓨터 프로그램.
KR1020207028368A 2018-06-08 2018-06-08 네이티브 라이브러리를 보호하는 방법 및 시스템 KR102677540B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/KR2018/006498 WO2019235663A1 (ko) 2018-06-08 2018-06-08 네이티브 라이브러리를 보호하는 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20210008469A true KR20210008469A (ko) 2021-01-22
KR102677540B1 KR102677540B1 (ko) 2024-06-24

Family

ID=68770476

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020207028368A KR102677540B1 (ko) 2018-06-08 2018-06-08 네이티브 라이브러리를 보호하는 방법 및 시스템

Country Status (2)

Country Link
KR (1) KR102677540B1 (ko)
WO (1) WO2019235663A1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101623096B1 (ko) * 2015-05-13 2016-05-23 주식회사 에스이웍스 안드로이드 플랫폼에서의 apk 파일 관리 장치 및 방법
KR20160117183A (ko) * 2015-03-30 2016-10-10 홍동철 Dll 파일 암호화 방법, 이를 수행하는 dll 파일 암호화 시스템, 및 이를 저장하는 기록매체
KR101771348B1 (ko) * 2016-03-08 2017-08-24 라인 가부시키가이샤 패키지 파일에 대한 패킹 방법 및 시스템

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005339516A (ja) * 2000-08-15 2005-12-08 Sony Computer Entertainment Inc 情報処理システム、実行可能モジュール生成方法および記憶媒体
KR101503785B1 (ko) * 2013-10-10 2015-03-18 (주)잉카엔트웍스 동적 라이브러리를 보호하는 방법 및 장치
KR102433011B1 (ko) * 2015-04-04 2022-08-19 홍동철 Apk 파일 보호 방법, 이를 수행하는 apk 파일 보호 시스템, 및 이를 저장하는 기록매체

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160117183A (ko) * 2015-03-30 2016-10-10 홍동철 Dll 파일 암호화 방법, 이를 수행하는 dll 파일 암호화 시스템, 및 이를 저장하는 기록매체
KR101623096B1 (ko) * 2015-05-13 2016-05-23 주식회사 에스이웍스 안드로이드 플랫폼에서의 apk 파일 관리 장치 및 방법
KR101771348B1 (ko) * 2016-03-08 2017-08-24 라인 가부시키가이샤 패키지 파일에 대한 패킹 방법 및 시스템

Also Published As

Publication number Publication date
KR102677540B1 (ko) 2024-06-24
WO2019235663A1 (ko) 2019-12-12

Similar Documents

Publication Publication Date Title
JP7231681B2 (ja) パッケージファイルに対する機能拡張方法およびシステム
US8887152B1 (en) Android application virtual environment
KR101928127B1 (ko) 애플리케이션용 선택적 파일 액세스 기법
US10255443B2 (en) Method, apparatus, system and non-transitory computer readable medium for code protection
US10171502B2 (en) Managed applications
US20190310882A1 (en) Multiple application instances in operating systems that utilize a single process for application execution
CN111079125A (zh) 一种应用程序调用第三方库动态提升权限的方法及装置
KR101832594B1 (ko) 중간 언어 파일의 로딩 속도 개선을 위한 방법 및 시스템
US10205732B2 (en) Method, apparatus, system, and non-transitory medium for protecting a file
US20160342788A1 (en) Generating packages for managed applications
CN107636667B (zh) 在设备中创建多个工作空间的系统及方法
CN112219202A (zh) 用于客户操作系统的存储器分配
KR20210154017A (ko) 클래스 분산 및 순차적 메모리 적재를 이용한 파일 보호 방법 및 시스템
KR102677540B1 (ko) 네이티브 라이브러리를 보호하는 방법 및 시스템
KR20210000398A (ko) 난독화 해제 방법 및 장치
JP7320071B2 (ja) ヒープメモリを利用して実行可能ファイルを保護する方法およびシステム
JP7348701B2 (ja) メモリ上に実行可能イメージをロードする方法およびシステム
KR20180048518A (ko) 패키지 파일에 대한 기능 확장 방법 및 시스템
US11343252B2 (en) Kernel level application data protection
JP7076014B2 (ja) プログラム保護のためのJavaデバッガ遮断方法およびシステム
US20160188872A1 (en) Method and system for runtime injection of secure applications
KR20230119821A (ko) 코드 난독화 및 성능 개선을 위한 자동화된 패키지 재구성 방법 및 시스템
Zamani et al. Android Basic Architecture including Operating System using their Application

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant