KR20210133961A - Method and system for protecting executable files using heap memory - Google Patents

Method and system for protecting executable files using heap memory Download PDF

Info

Publication number
KR20210133961A
KR20210133961A KR1020217026454A KR20217026454A KR20210133961A KR 20210133961 A KR20210133961 A KR 20210133961A KR 1020217026454 A KR1020217026454 A KR 1020217026454A KR 20217026454 A KR20217026454 A KR 20217026454A KR 20210133961 A KR20210133961 A KR 20210133961A
Authority
KR
South Korea
Prior art keywords
executable file
location
relocation
memory space
memory
Prior art date
Application number
KR1020217026454A
Other languages
Korean (ko)
Inventor
정상민
임승현
한설화
심민영
전상훈
Original Assignee
라인플러스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 라인플러스 주식회사 filed Critical 라인플러스 주식회사
Publication of KR20210133961A publication Critical patent/KR20210133961A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/14Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/08Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)

Abstract

힙 메모리를 이용하여 실행 가능 파일을 보호하는 방법 및 시스템을 개시한다. 일실시예에 따른 실행 가능 파일 보호 방법은, 실행 가능 파일의 실행에 따라 컴퓨터 장치의 메모리에 적재된 상기 실행 가능 파일의 내용에 대한 메모리 공간 중 보호를 위해 난독화된 내용이 적재된 보호 메모리 공간을 식별하는 단계, 별도의 힙 메모리(heap memory)를 할당하는 단계, 상기 보호 메모리 공간의 난독화된 내용을 복호화하여 상기 할당된 힙 메모리에 복사하는 단계; 및 메모리에 적재된 상기 실행 가능 파일의 재배치 정보를 이용하여 상기 실행 가능 파일의 내용에 대한 메모리 공간의 주소를 동적으로 수정하는 단계를 포함할 수 있다.A method and system for protecting executable files using heap memory are disclosed. An executable file protection method according to an embodiment includes a protected memory space in which obfuscated contents are loaded for protection of the contents of the executable file loaded in the memory of a computer device according to the execution of the executable file. identifying, allocating a separate heap memory, decrypting the obfuscated contents of the protected memory space and copying it to the allocated heap memory; and dynamically modifying an address of a memory space for the contents of the executable file using relocation information of the executable file loaded in the memory.

Description

힙 메모리를 이용하여 실행 가능 파일을 보호하는 방법 및 시스템Method and system for protecting executable files using heap memory

아래의 설명은 힙 메모리를 이용하여 실행 가능 파일을 보호하는 방법 및 시스템에 관한 것이다.The description below relates to a method and system for protecting executable files using heap memory.

역공학(Reverse Engineering)을 통해서 특정 프로그램의 동작 원리가 노출되거나 노출된 동작 원리를 이용하여 특정 프로그램의 동작 방식을 변경할 수 있다. 일례로, 클라이언트 단말로 배포된 어플리케이션들은 역공학(리버싱)을 통해서 그 동작 방식을 파악할 수 있으며, 이러한 역공학을 통해 어플리케이션의 기능의 도용이 가능해진다. 또한, 어플리케이션의 원래의 기능을 수정하여 어플리케이션이 의도된 동작과 다르게 동작하도록 하여 어플리케이션을 통해 제공되는 서비스와 해당 서비스를 제공하는 시스템의 신뢰성에 좋지 않은 영향을 줄 수 있게 된다.An operation principle of a specific program may be exposed through reverse engineering, or an operation method of a specific program may be changed using the exposed operation principle. For example, applications distributed to the client terminal can determine their operation method through reverse engineering (reversing), and through this reverse engineering, theft of the function of the application becomes possible. In addition, by modifying the original function of the application so that the application operates differently from the intended operation, the service provided through the application and the reliability of the system providing the service may be adversely affected.

이러한 역공학 과정으로부터 프로그램을 보호하기 위해 실행 파일을 난독화해서 원래의 코드 및 데이터를 볼 수 없도록 보호하는 방법이 사용된다. 일례로, 코드 난독화는 프로그래밍 언어로 작성된 코드를 읽기 어렵게 만들기 위해, 프로그램 코드의 일부 또는 전체를 변경하는 방법 중 하나로 코드의 가독성을 낮춰 역공학에 대한 대비책을 제공한다. 예를 들어, 한국등록특허 제10-1328012호는 애플리케이션 코드 난독화 장치 및 그 방법에 관한 것으로, 애플리케이션에 사용되는 코드 중 중요 코드 및 중요 코드를 호출하기 위한 호출 코드를 네이티브 코드 형태로 변환하는 기술을 개시하고 있다.In order to protect the program from this reverse engineering process, a method is used to obfuscate the executable file so that the original code and data cannot be seen. For example, code obfuscation provides a countermeasure against reverse engineering by lowering the readability of code as a method of changing part or all of program code to make code written in a programming language difficult to read. For example, Korean Patent Registration No. 10-1328012 relates to an application code obfuscation apparatus and method, and a technology for converting important codes among codes used in applications and calling codes for calling important codes into native code form. is starting

그러나, 모든 프로그램은 실행되기 위해, 어느 시점에는 원래의 정보(코드나 데이터)가 복호화된 상태로 메모리상에 존재해야 한다. 이 시점에 메모리에 접근할 경우 기존과 같은 역공학으로 분석이 가능해진다. 이렇게 프로그램이 구동되는 과정에서 메모리에 적재되는 실행 파일과 동적 라이브러리의 메모리에 대한 접근은 시스템 API(Application Program Interface)를 사용하거나 프로세스의 메모리 정보에서 실행 영역을 직접 확인하는 방식으로도 가능하다.However, in order for any program to be executed, the original information (code or data) must exist in memory in a decrypted state at some point in time. If the memory is accessed at this point, analysis becomes possible with the same reverse engineering as before. In this way, access to the memory of the executable files and dynamic libraries loaded into the memory during the process of running the program is possible by using the system API (Application Program Interface) or by directly checking the execution area in the memory information of the process.

다시 말해, 파일이 난독화되어 있더라도 실행 시점에 디버거 등을 통해서 실시간으로 메모리 정보를 확인하던지 메모리 덤프 방법 등을 통해서 메모리에 정보에 접근 가능한 상태에서 실행 가능한 파일(Executable File)들의 헤더 정보가 있는 특정 위치를 찾고 그 정보를 바탕으로 실행 파일 또는 동적 라이브러리 구성 영역의 온전한 전체 정보를 확인할 수 있다. 따라서 이러한 메모리로부터 원본과 같은 파일 형태로 추출 저장하거나 해당 메모리상에서 직접 역공학을 수행할 수 있는 문제점은 여전히 존재하게 된다.In other words, even if the file is obfuscated, memory information is checked in real time through a debugger at the time of execution, or information can be accessed in memory through a memory dump method. You can find the location and, based on that information, see the complete and complete information of the executable or dynamic library configuration area. Therefore, there is still a problem in that it is possible to extract and store the same file as the original from such a memory or to perform reverse engineering directly on the memory.

메모리 상의 코드 및 데이터에 대한 접근을 어렵게 만들어 프로그램을 보호할 수 있는 실행 가능 파일 보호 방법 및 시스템을 제공한다.A method and system for protecting executable files that can protect programs by making it difficult to access code and data in memory are provided.

메모리에 적재되어 있는 실행 가능 파일의 정보로부터 실제 구성 영역을 분리해서 별도의 힙 메모리 주소에 해당 영역을 위치시키고, 정상적으로 참조되고 동작될 수 있도록 메모리 정보를 수정한 후, 힙 메모리나 재배치 정보를 확인할 수 없도록 제거해서 메모리로부터 프로그램의 실행 파일 또는 동적 라이브러리와 같은 실행 가능 파일의 온전한 전체 정보를 확인할 수 없도록 함으로써 메모리상에 존재하는 프로그램을 보호할 수 있는 실행 가능 파일 보호 방법 및 시스템을 제공한다.Separate the actual configuration area from the information of the executable file loaded in the memory, place the area in a separate heap memory address, modify the memory information so that it can be referenced and operate normally, and then check the heap memory or relocation information. To provide a method and system for protecting an executable file that can protect a program existing in memory by removing it from the memory so that the complete information of the executable file of the program or executable file such as a dynamic library cannot be checked from memory.

컴퓨터 장치와 결합되어 실행 가능 파일 보호 방법을 상기 컴퓨터 장치에 실행시키기 위해 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램에 있어서, 상기 실행 가능 파일 보호 방법은, 실행 가능 파일의 실행에 따라 상기 컴퓨터 장치의 메모리에 적재된 상기 실행 가능 파일의 내용에 대한 메모리 공간 중 보호를 위해 난독화된 내용이 적재된 보호 메모리 공간을 식별하는 단계; 별도의 힙 메모리(heap memory)를 할당하는 단계; 상기 보호 메모리 공간의 난독화된 내용을 복호화하여 상기 할당된 힙 메모리에 복사하는 단계; 및 메모리에 적재된 상기 실행 가능 파일의 재배치 정보를 이용하여 상기 실행 가능 파일의 내용에 대한 메모리 공간의 주소를 동적으로 수정하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 프로그램을 제공한다.A computer program stored in a computer-readable recording medium combined with a computer device to cause the computer device to execute the method for protecting an executable file, wherein the method for protecting the executable file comprises: according to the execution of the executable file, the memory of the computer device identifying a protected memory space in which the obfuscated content is loaded for protection among the memory spaces for the contents of the executable file loaded in the . allocating a separate heap memory; decoding the obfuscated contents of the protected memory space and copying it to the allocated heap memory; and dynamically modifying the address of the memory space for the contents of the executable file by using the relocation information of the executable file loaded in the memory.

일측에 따르면, 상기 수정하는 단계는, 상기 재배치 정보를 통해 파악되는 재배치 위치가 상기 보호 메모리 공간을 가리키는 경우, 상기 보호 메모리 공간의 시작 위치에서 상기 재배치 정보를 통해 파악되는 재배치 위치의 차이인 제1 오프셋을 계산하는 단계; 상기 힙 메모리의 시작 위치에서 상기 제1 오프셋을 더한 상기 힙 메모리의 제1 위치로 이동하는 단계; 상기 실행 가능 파일의 내용에 대한 메모리 공간의 시작 위치에서 상기 보호 메모리 공간의 시작 위치의 차이인 제2 오프셋을 계산하는 단계; 및 상기 힙 메모리의 시작 위치에서 상기 제2 오프셋을 뺀 위치로부터 상기 재배치 정보를 통해 계산된 제1 주소값을 가리키도록 상기 제1 위치에 저장된 제2 주소값을 수정하는 단계를 포함하는 것을 특징으로 할 수 있다.According to one side, in the step of modifying, when the relocation position identified through the relocation information points to the protected memory space, the first is a difference between the relocation position identified through the relocation information from the start position of the protected memory space. calculating an offset; moving from the start position of the heap memory to a first position of the heap memory plus the first offset; calculating a second offset that is a difference between a start position of the protected memory space and a start position of the memory space for the contents of the executable file; and modifying a second address value stored in the first location to point to a first address value calculated through the relocation information from a location obtained by subtracting the second offset from the start location of the heap memory. can be done with

다른 측면에 따르면, 상기 수정하는 단계는, 상기 재배치 정보를 통해 파악되는 재배치 위치가 상기 보호 메모리 공간을 가리키지 않는 경우, 상기 보호 메모리 공간의 시작 위치에서 상기 재배치 정보를 통해 파악되는 재배치 위치의 차이인 제1 오프셋을 계산하는 단계; 상기 힙 메모리의 시작 위치에서 상기 제1 오프셋을 더한 상기 힙 메모리의 제1 위치로 이동하는 단계; 및 상기 재배치 위치가 가리키는 위치의 제1 주소값을 가리키도록 상기 제1 위치에 저장된 제2 주소값을 수정하는 단계를 포함하는 것을 특징으로 할 수 있다.According to another aspect, in the step of modifying, when the relocation location identified through the relocation information does not indicate the protected memory space, a difference between the relocation location identified through the relocation information from the start position of the protected memory space calculating a first offset ; moving from the start position of the heap memory to a first position of the heap memory plus the first offset; and modifying the second address value stored in the first location to point to the first address value of the location indicated by the relocation location.

또 다른 측면에 따르면, 상기 수정하는 단계는, 상기 재배치 정보를 통해 파악되는 재배치 위치가 상기 보호 메모리 공간을 가리키지 않는 경우, 상기 실행 가능 파일의 내용에 대한 메모리 공간의 시작 위치로부터 상기 재배치 정보를 통해 계산된 주소값에 기초하여 상기 재배치 위치에 저장된 주소값을 수정하는 단계를 포함하는 것을 특징으로 할 수 있다.According to another aspect, in the step of modifying, when the relocation location identified through the relocation information does not point to the protected memory space, the relocation information from the start location of the memory space for the contents of the executable file and correcting the address value stored in the relocation location based on the calculated address value.

또 다른 측면에 따르면, 상기 재배치 위치에 저장된 주소값을 수정하는 단계는, 상기 계산된 주소값이 상기 보호 메모리 공간을 가리키지 않는 경우, 상기 계산된 주소값을 가리키도록 상기 재배치 위치에 저장된 주소값을 수정하는 단계; 및 상기 계산된 주소값이 상기 보호 메모리 공간을 가리키는 경우, 상기 보호 메모리 공간의 시작 위치에서 상기 계산된 주소값의 차이만큼의 오프셋을 계산하고, 상기 힙 메모리의 시작 위치에서 상기 계산된 오프셋을 더한 주소값으로 상기 재배치 위치에 저장된 주소값을 수정하는 단계를 포함하는 것을 특징으로 할 수 있다.According to another aspect, in the step of modifying the address value stored in the relocation location, when the calculated address value does not point to the protected memory space, the address stored in the relocation location points to the calculated address value. modifying the value; and when the calculated address value points to the protected memory space, calculating an offset equal to the difference between the calculated address values from the start position of the protected memory space, and adding the calculated offset from the start position of the heap memory It may be characterized in that it comprises the step of correcting the address value stored in the relocation position with the address value.

또 다른 측면에 따르면, 상기 실행 가능 파일 보호 방법은, 상기 수정하는 단계 이후에 상기 메모리에 적재된 상기 실행 가능 파일의 재배치 정보를 삭제하는 단계를 더 포함하는 것을 특징으로 할 수 있다.According to another aspect, the method for protecting the executable file may further include deleting relocation information of the executable file loaded in the memory after the modifying step.

또 다른 측면에 따르면, 상기 실행 가능 파일 보호 방법은, 상기 실행 가능 파일의 실행이 종료됨에 따라 상기 힙 메모리를 해제하는 단계를 더 포함하는 것을 특징으로 할 수 있다.According to another aspect, the method for protecting the executable file may further include releasing the heap memory as the execution of the executable file is terminated.

또 다른 측면에 따르면, 상기 실행 가능 파일 보호 방법은, 상기 힙 메모리를 할당하는 단계 이후에 상기 힙 메모리에 실행 속성을 추가하는 단계를 더 포함하는 것을 특징으로 할 수 있다.According to another aspect, the method for protecting an executable file may further include adding an execution attribute to the heap memory after allocating the heap memory.

또 다른 측면에 따르면, 상기 실행 가능 파일 보호 방법은, 상기 수정하는 단계 이후에 상기 힙 메모리에서 쓰기 속성을 제거하는 단계를 더 포함하는 것을 특징으로 할 수 있다.According to another aspect, the method for protecting an executable file may further include removing a write attribute from the heap memory after the modifying.

또 다른 측면에 따르면, 상기 별도의 힙 메모리(heap memory)를 할당하는 단계는, 복수 개의 힙 메모리를 할당하는 단계를 포함하고, 상기 할당된 힙 메모리에 복사하는 단계는, 상기 보호 메모리 공간의 난독화된 내용을 복호화하여 상기 복수 개의 힙 메모리에 분산하여 복사하는 것을 특징으로 할 수 있다.According to another aspect, allocating the separate heap memory includes allocating a plurality of heap memories, and the copying to the allocated heap memory includes obfuscation of the protected memory space. It may be characterized in that the decrypted contents are distributed and copied to the plurality of heap memories.

상기 컴퓨터 프로그램을 상기 실행 가능 파일과 연계시키는 단계; 상기 실행 가능 파일의 적어도 일부 내용을 난독화하는 단계; 및 상기 컴퓨터 프로그램과 연계되고 적어도 일부 내용이 난독화된 실행 가능 파일을 배포하는 단계를 포함하는 것을 특징으로 하는 실행 가능 파일 보호 방법을 제공한다.associating the computer program with the executable file; obfuscating at least some contents of the executable file; and distributing an executable file that is associated with the computer program and whose contents are at least partially obfuscated.

컴퓨터 장치가 포함하는 적어도 하나의 프로세서에 의해 수행되는 실행 가능 파일 보호 방법에 있어서, 실행 가능 파일의 실행에 따라 상기 컴퓨터 장치의 메모리에 적재된 상기 실행 가능 파일의 내용에 대한 메모리 공간 중 보호를 위해 난독화된 내용이 적재된 보호 메모리 공간을 식별하는 단계; 별도의 힙 메모리(heap memory)를 할당하는 단계; 상기 보호 메모리 공간의 난독화된 내용을 복호화하여 상기 할당된 힙 메모리에 복사하는 단계; 및 메모리에 적재된 상기 실행 가능 파일의 재배치 정보를 이용하여 상기 실행 가능 파일의 내용에 대한 메모리 공간의 주소를 동적으로 수정하는 단계를 포함하는 실행 가능 파일 보호 방법을 제공한다.A method for protecting an executable file performed by at least one processor included in a computer device, in order to protect the contents of the executable file loaded in the memory of the computer device according to the execution of the executable file in a memory space identifying a protected memory space loaded with obfuscated content; allocating a separate heap memory; decoding the obfuscated contents of the protected memory space and copying it to the allocated heap memory; and dynamically modifying an address of a memory space for the contents of the executable file using relocation information of the executable file loaded in the memory.

상기 방법을 컴퓨터 장치에 실행시키기 위한 컴퓨터 프로그램이 기록되어 있는 컴퓨터 판독 가능한 기록매체를 제공한다.It provides a computer-readable recording medium in which a computer program for executing the method in a computer device is recorded.

컴퓨터 장치에서 판독 가능한 명령을 실행하도록 구현되는 적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서에 의해, 상기 컴퓨터 프로그램을 상기 실행 가능 파일과 연계시키고, 상기 실행 가능 파일의 적어도 일부 내용을 난독화하고, 상기 컴퓨터 프로그램과 연계되고 적어도 일부 내용이 난독화된 실행 가능 파일을 배포하는 것을 특징으로 하는 컴퓨터 장치를 제공한다.at least one processor implemented to execute instructions readable by a computer device, wherein the at least one processor associates the computer program with the executable file and obfuscates at least some contents of the executable file and distributing an executable file that is associated with the computer program and whose at least some contents are obfuscated.

컴퓨터 장치에서 판독 가능한 명령을 실행하도록 구현되는 적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서에 의해, 실행 가능 파일의 실행에 따라 상기 컴퓨터 장치의 메모리에 적재된 상기 실행 가능 파일의 내용에 대한 메모리 공간 중 보호를 위해 난독화된 내용이 적재된 보호 메모리 공간을 식별하고, 별도의 힙 메모리(heap memory)를 할당하고, 상기 보호 메모리 공간의 난독화된 내용을 복호화하여 상기 할당된 힙 메모리에 복사하고, 메모리에 적재된 상기 실행 가능 파일의 재배치 정보를 이용하여 상기 실행 가능 파일의 내용에 대한 메모리 공간의 주소를 동적으로 수정하는 것을 특징으로 하는 컴퓨터 장치를 제공한다.at least one processor embodied to execute instructions readable by a computer device; Identifies a protected memory space loaded with obfuscated content for protection, allocates a separate heap memory, and decrypts the obfuscated contents of the protected memory space to store the data in the allocated heap memory. Provided is a computer device characterized by dynamically modifying an address of a memory space for the contents of the executable file by copying and relocating the executable file loaded in the memory.

메모리 상의 코드 및 데이터에 대한 접근을 어렵게 만들어 프로그램을 보호할 수 있다.It can protect programs by making it difficult to access code and data in memory.

메모리에 적재되어 있는 실행 가능 파일의 정보로부터 실제 구성 영역을 분리해서 별도의 힙 메모리 주소에 해당 영역을 위치시키고, 정상적으로 참조되고 동작될 수 있도록 메모리 정보를 수정한 후, 힙 메모리나 재배치 정보를 확인할 수 없도록 제거해서 메모리로부터 프로그램의 실행 파일 또는 동적 라이브러리와 같은 실행 가능 파일의 온전한 전체 정보를 확인할 수 없도록 함으로써 메모리상에 존재하는 프로그램을 보호할 수 있다.Separate the actual configuration area from the information of the executable file loaded in the memory, place the area in a separate heap memory address, modify the memory information so that it can be referenced and operate normally, and then check the heap memory or relocation information. Programs residing in memory can be protected by removing them so that the complete information of the executable files of the program or executable files such as dynamic libraries cannot be checked from memory.

도 1은 본 발명의 일실시예에 따른 네트워크 환경의 예를 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 컴퓨터 장치의 예를 도시한 블록도이다.
도 3은 본 발명의 일실시예에 있어서, 서버에서의 실행 가능 파일 보호 방법의 예를 도시한 흐름도이다.
도 4는 본 발명의 일실시예에 있어서, 클라이언트에서의 실행 가능 파일 보호 방법의 예를 도시한 흐름도이다.
도 5는 본 발명의 일실시예에 있어서, 재배치 위치가 보호 메모리 공간을 가리키는 경우의 주소 수정 방법의 예를 도시한 흐름도이다.
도 6은 본 발명의 일실시예에 있어서, 재배치 위치가 보호 메모리 공간을 가리키는 경우의 주소 수정 과정의 예를 도시한 도면이다.
도 7은 본 발명의 일실시예에 있어서, 재배치 위치가 보호 메모리 공간을 가리키지 않는 경우의 주소 수정 방법의 예를 도시한 흐름도이다.
도 8은 본 발명의 일실시예에 있어서, 재배치 위치가 보호 메모리 공간을 가리키지 않는 경우의 주소 수정 과정의 예를 도시한 도면이다.
도 9는 본 발명의 일실시예에 있어서, 재배치 위치가 보호 메모리 공간이 아닌 경우의 주소 수정 과정의 제1 예를 도시한 도면이다.
도 10는 본 발명의 일실시예에 있어서, 재배치 위치가 보호 메모리 공간이 아닌 경우의 주소 수정 과정의 제2 예를 도시한 도면이다.1 is a diagram illustrating an example of a network environment according to an embodiment of the present invention.
2 is a block diagram illustrating an example of a computer device according to an embodiment of the present invention.
3 is a flowchart illustrating an example of a method for protecting executable files in a server according to an embodiment of the present invention.
4 is a flowchart illustrating an example of a method for protecting an executable file in a client according to an embodiment of the present invention.
5 is a flowchart illustrating an example of an address modification method when a relocation location points to a protected memory space according to an embodiment of the present invention.
6 is a diagram illustrating an example of an address modification process when a relocation location points to a protected memory space according to an embodiment of the present invention.
7 is a flowchart illustrating an example of an address correction method when a relocation location does not indicate a protected memory space according to an embodiment of the present invention.
8 is a diagram illustrating an example of an address modification process when a relocation location does not indicate a protected memory space according to an embodiment of the present invention.
9 is a diagram illustrating a first example of an address modification process when a relocation location is not a protected memory space according to an embodiment of the present invention.
10 is a diagram illustrating a second example of an address modification process when a relocation location is not a protected memory space according to an embodiment of the present invention.

발명의 실시를 위한 최선의 형태Best mode for carrying out the invention

이하, 실시예를 첨부한 도면을 참조하여 상세히 설명한다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings.

본 발명의 실시예들에 따른 실행 가능 파일 보호 시스템은 적어도 하나의 컴퓨터 장치를 통해 구현될 수 있다. 이때, 컴퓨터 장치에는 본 발명의 일실시예에 따른 컴퓨터 프로그램이 설치 및 구동될 수 있고, 컴퓨터 장치는 구동된 컴퓨터 프로그램의 제어에 따라 본 발명의 실시예들에 따른 실행 가능 파일 보호 방법을 수행할 수 있다. 상술한 컴퓨터 프로그램은 컴퓨터 장치와 결합되어 상기 방법을 컴퓨터에 실행시키기 위해 컴퓨터 판독 가능한 기록매체에 저장될 수 있다.The executable file protection system according to embodiments of the present invention may be implemented through at least one computer device. At this time, the computer program according to an embodiment of the present invention may be installed and driven in the computer device, and the computer device performs the executable file protection method according to the embodiments of the present invention under the control of the driven computer program. can The above-described computer program may be stored in a computer-readable recording medium in order to be combined with a computer device to cause the computer to execute the method.

도 1은 본 발명의 일실시예에 따른 네트워크 환경의 예를 도시한 도면이다. 도 1의 네트워크 환경은 복수의 전자 기기들(110, 120, 130, 140), 복수의 서버들(150, 160) 및 네트워크(170)를 포함하는 예를 나타내고 있다. 이러한 도 1은 발명의 설명을 위한 일례로 전자 기기의 수나 서버의 수가 도 1과 같이 한정되는 것은 아니다. 또한, 도 1의 네트워크 환경은 본 실시예들에 적용 가능한 환경들 중 하나의 예를 설명하는 것일 뿐, 본 실시예들에 적용 가능한 환경이 도 1의 네트워크 환경으로 한정되는 것은 아니다.1 is a diagram illustrating an example of a network environment according to an embodiment of the present invention. The network environment of FIG. 1 shows an example including a plurality of electronic devices 110 , 120 , 130 , 140 , a plurality of servers 150 , 160 , and a network 170 . FIG. 1 is an example for explaining the invention, and the number of electronic devices or the number of servers is not limited as in FIG. 1 . In addition, the network environment of FIG. 1 only describes one example of environments applicable to the present embodiments, and the environment applicable to the present embodiments is not limited to the network environment of FIG. 1 .

복수의 전자 기기들(110, 120, 130, 140)은 컴퓨터 장치로 구현되는 고정형 단말이거나 이동형 단말일 수 있다. 복수의 전자 기기들(110, 120, 130, 140)의 예를 들면, 스마트폰(smart phone), 휴대폰, 네비게이션, 컴퓨터, 노트북, 디지털방송용 단말, PDA(Personal Digital Assistants), PMP(Portable Multimedia Player), 태블릿 PC 등이 있다. 일례로 도 1에서는 전자 기기 1(110)의 예로 스마트폰의 형상을 나타내고 있으나, 본 발명의 실시예들에서 전자 기기 1(110)은 실질적으로 무선 또는 유선 통신 방식을 이용하여 네트워크(170)를 통해 다른 전자 기기들(120, 130, 140) 및/또는 서버(150, 160)와 통신할 수 있는 다양한 물리적인 컴퓨터 장치들 중 하나를 의미할 수 있다.The plurality of electronic devices 110 , 120 , 130 , and 140 may be a fixed terminal implemented as a computer device or a mobile terminal. Examples of the plurality of electronic devices 110 , 120 , 130 , 140 include a smart phone, a mobile phone, a navigation device, a computer, a notebook computer, a digital broadcasting terminal, a personal digital assistant (PDA), and a portable multimedia player (PMP). ), and tablet PCs. As an example, although the shape of a smartphone is shown as an example of the electronic device 1110 in FIG. 1 , in the embodiments of the present invention, the electronic device 1110 substantially communicates with the network 170 using a wireless or wired communication method. It may refer to one of various physical computer devices capable of communicating with other electronic devices 120 , 130 , 140 and/or servers 150 and 160 through the communication system.

통신 방식은 제한되지 않으며, 네트워크(170)가 포함할 수 있는 통신망(일례로, 이동통신망, 유선 인터넷, 무선 인터넷, 방송망)을 활용하는 통신 방식뿐만 아니라 기기들간의 근거리 무선 통신 역시 포함될 수 있다. 예를 들어, 네트워크(170)는, PAN(personal area network), LAN(local area network), CAN(campus area network), MAN(metropolitan area network), WAN(wide area network), BBN(broadband network), 인터넷 등의 네트워크 중 하나 이상의 임의의 네트워크를 포함할 수 있다. 또한, 네트워크(170)는 버스 네트워크, 스타 네트워크, 링 네트워크, 메쉬 네트워크, 스타-버스 네트워크, 트리 또는 계층적(hierarchical) 네트워크 등을 포함하는 네트워크 토폴로지 중 임의의 하나 이상을 포함할 수 있으나, 이에 제한되지 않는다.The communication method is not limited, and not only a communication method using a communication network (eg, a mobile communication network, a wired Internet, a wireless Internet, a broadcasting network) that the network 170 may include, but also short-range wireless communication between devices may be included. For example, the network 170 may include a personal area network (PAN), a local area network (LAN), a campus area network (CAN), a metropolitan area network (MAN), a wide area network (WAN), and a broadband network (BBN). , the Internet, and the like. In addition, the network 170 may include any one or more of a network topology including a bus network, a star network, a ring network, a mesh network, a star-bus network, a tree, or a hierarchical network, etc. not limited

서버(150, 160) 각각은 복수의 전자 기기들(110, 120, 130, 140)과 네트워크(170)를 통해 통신하여 명령, 코드, 파일, 컨텐츠, 서비스 등을 제공하는 컴퓨터 장치 또는 복수의 컴퓨터 장치들로 구현될 수 있다. 예를 들어, 서버(150)는 네트워크(170)를 통해 접속한 복수의 전자 기기들(110, 120, 130, 140)로 서비스(일례로, 파일 배포 서비스, 대화 서비스, 지도 서비스, 번역 서비스, 금융 서비스, 결제 서비스, 소셜 네트워크 서비스, 메시징 서비스, 검색 서비스, 메일 서비스, 컨텐츠 제공 서비스 등)를 제공하는 시스템일 수 있다.Each of the servers 150 and 160 communicates with the plurality of electronic devices 110 , 120 , 130 , 140 and the network 170 through a computer device or a plurality of computers that provide commands, codes, files, contents, services, etc. It can be implemented in devices. For example, the server 150 provides a service (eg, a file distribution service, a conversation service, a map service, a translation service, It may be a system that provides a financial service, a payment service, a social network service, a messaging service, a search service, a mail service, a content providing service, etc.).

도 2는 본 발명의 일실시예에 따른 컴퓨터 장치의 예를 도시한 블록도이다. 앞서 설명한 복수의 전자 기기들(110, 120, 130, 140) 각각이나 서버들(150, 160) 각각은 도 2를 통해 도시된 컴퓨터 장치(200)에 의해 구현될 수 있다.2 is a block diagram illustrating an example of a computer device according to an embodiment of the present invention. Each of the plurality of electronic devices 110 , 120 , 130 , 140 or the servers 150 and 160 described above may be implemented by the computer device 200 illustrated in FIG. 2 .

이러한 컴퓨터 장치(200)는 도 2에 도시된 바와 같이, 메모리(210), 프로세서(220), 통신 인터페이스(230) 그리고 입출력 인터페이스(240)를 포함할 수 있다. 메모리(210)는 컴퓨터에서 판독 가능한 기록매체로서, RAM(random access memory), ROM(read only memory) 및 디스크 드라이브와 같은 비소멸성 대용량 기록장치(permanent mass storage device)를 포함할 수 있다. 여기서 ROM과 디스크 드라이브와 같은 비소멸성 대용량 기록장치는 메모리(210)와는 구분되는 별도의 영구 저장 장치로서 컴퓨터 장치(200)에 포함될 수도 있다. 또한, 메모리(210)에는 운영체제와 적어도 하나의 프로그램 코드가 저장될 수 있다. 이러한 소프트웨어 구성요소들은 메모리(210)와는 별도의 컴퓨터에서 판독 가능한 기록매체로부터 메모리(210)로 로딩될 수 있다. 이러한 별도의 컴퓨터에서 판독 가능한 기록매체는 플로피 드라이브, 디스크, 테이프, DVD/CD-ROM 드라이브, 메모리 카드 등의 컴퓨터에서 판독 가능한 기록매체를 포함할 수 있다. 다른 실시예에서 소프트웨어 구성요소들은 컴퓨터에서 판독 가능한 기록매체가 아닌 통신 인터페이스(230)를 통해 메모리(210)에 로딩될 수도 있다. 예를 들어, 소프트웨어 구성요소들은 네트워크(170)를 통해 수신되는 파일들에 의해 설치되는 컴퓨터 프로그램에 기반하여 컴퓨터 장치(200)의 메모리(210)에 로딩될 수 있다.As shown in FIG. 2 , the computer device 200 may include a memory 210 , a processor 220 , a communication interface 230 , and an input/output interface 240 . The memory 210 is a computer-readable recording medium and may include a random access memory (RAM), a read only memory (ROM), and a permanent mass storage device such as a disk drive. Here, a non-volatile mass storage device such as a ROM and a disk drive may be included in the computer device 200 as a separate permanent storage device distinct from the memory 210 . Also, the memory 210 may store an operating system and at least one program code. These software components may be loaded into the memory 210 from a computer-readable recording medium separate from the memory 210 . The separate computer-readable recording medium may include a computer-readable recording medium such as a floppy drive, a disk, a tape, a DVD/CD-ROM drive, and a memory card. In another embodiment, the software components may be loaded into the memory 210 through the communication interface 230 instead of a computer-readable recording medium. For example, the software components may be loaded into the memory 210 of the computer device 200 based on a computer program installed by files received through the network 170 .

프로세서(220)는 기본적인 산술, 로직 및 입출력 연산을 수행함으로써, 컴퓨터 프로그램의 명령을 처리하도록 구성될 수 있다. 명령은 메모리(210) 또는 통신 인터페이스(230)에 의해 프로세서(220)로 제공될 수 있다. 예를 들어 프로세서(220)는 메모리(210)와 같은 기록 장치에 저장된 프로그램 코드에 따라 수신되는 명령을 실행하도록 구성될 수 있다.The processor 220 may be configured to process instructions of a computer program by performing basic arithmetic, logic, and input/output operations. The instructions may be provided to the processor 220 by the memory 210 or the communication interface 230 . For example, the processor 220 may be configured to execute a received instruction according to a program code stored in a recording device such as the memory 210 .

통신 인터페이스(230)은 네트워크(170)를 통해 컴퓨터 장치(200)가 다른 장치(일례로, 앞서 설명한 저장 장치들)와 서로 통신하기 위한 기능을 제공할 수 있다. 일례로, 컴퓨터 장치(200)의 프로세서(220)가 메모리(210)와 같은 기록 장치에 저장된 프로그램 코드에 따라 생성한 요청이나 명령, 데이터, 파일 등이 통신 인터페이스(230)의 제어에 따라 네트워크(170)를 통해 다른 장치들로 전달될 수 있다. 역으로, 다른 장치로부터의 신호나 명령, 데이터, 파일 등이 네트워크(170)를 거쳐 컴퓨터 장치(200)의 통신 인터페이스(230)를 통해 컴퓨터 장치(200)로 수신될 수 있다. 통신 인터페이스(230)를 통해 수신된 신호나 명령, 데이터 등은 프로세서(220)나 메모리(210)로 전달될 수 있고, 파일 등은 컴퓨터 장치(200)가 더 포함할 수 있는 저장 매체(상술한 영구 저장 장치)로 저장될 수 있다.The communication interface 230 may provide a function for the computer device 200 to communicate with other devices (eg, the storage devices described above) through the network 170 . For example, a request, command, data, file, etc. generated by the processor 220 of the computer device 200 according to a program code stored in a recording device such as the memory 210 is transmitted to the network ( 170) to other devices. Conversely, signals, commands, data, files, etc. from other devices may be received by the computer device 200 through the communication interface 230 of the computer device 200 via the network 170 . A signal, command, or data received through the communication interface 230 may be transferred to the processor 220 or the memory 210 , and the file may be a storage medium (described above) that the computer device 200 may further include. persistent storage).

입출력 인터페이스(240)는 입출력 장치(250)와의 인터페이스를 위한 수단일 수 있다. 예를 들어, 입력 장치는 마이크, 키보드 또는 마우스 등의 장치를, 그리고 출력 장치는 디스플레이, 스피커와 같은 장치를 포함할 수 있다. 다른 예로 입출력 인터페이스(240)는 터치스크린과 같이 입력과 출력을 위한 기능이 하나로 통합된 장치와의 인터페이스를 위한 수단일 수도 있다. 입출력 장치(250)는 컴퓨터 장치(200)와 하나의 장치로 구성될 수도 있다.The input/output interface 240 may be a means for an interface with the input/output device 250 . For example, the input device may include a device such as a microphone, keyboard, or mouse, and the output device may include a device such as a display or a speaker. As another example, the input/output interface 240 may be a means for an interface with a device in which functions for input and output are integrated into one, such as a touch screen. The input/output device 250 may be configured as one device with the computer device 200 .

또한, 다른 실시예들에서 컴퓨터 장치(200)는 도 2의 구성요소들보다 더 적은 혹은 더 많은 구성요소들을 포함할 수도 있다. 그러나, 대부분의 종래기술적 구성요소들을 명확하게 도시할 필요성은 없다. 예를 들어, 컴퓨터 장치(200)는 상술한 입출력 장치(250) 중 적어도 일부를 포함하도록 구현되거나 또는 트랜시버(transceiver), 데이터베이스 등과 같은 다른 구성요소들을 더 포함할 수도 있다.Also, in other embodiments, the computer device 200 may include fewer or more components than those of FIG. 2 . However, there is no need to clearly show most of the prior art components. For example, the computer device 200 may be implemented to include at least a portion of the above-described input/output device 250 or may further include other components such as a transceiver and a database.

도 3은 본 발명의 일실시예에 있어서, 서버에서의 실행 가능 파일 보호 방법의 예를 도시한 흐름도이다. 본 실시예에 따른 실행 가능 파일 보호 방법은 도 2를 통해 설명한 컴퓨터 장치(200)에 의해 구현되는 서버에 의해 수행될 수 있다. 보다 구체적인 예로, 앱스토어와 같이 어플리케이션의 설치 파일들을 배포하는 서버에서 설치 파일이 포함하는 실행 가능 파일을 보호하기 위해 본 실시예에 따른 실행 가능 파일 보호 방법을 수행할 수 있다. 이 경우, 서버를 구현하는 컴퓨터 장치(200)의 프로세서(220)는 메모리(210)가 포함하는 운영체제의 코드나 적어도 하나의 프로그램의 코드에 따른 제어 명령(instruction)을 실행하도록 구현될 수 있다. 여기서, 프로세서(220)는 컴퓨터 장치(200)에 저장된 코드가 제공하는 제어 명령에 따라 컴퓨터 장치(200)가 도 3의 방법이 포함하는 단계들(310 내지 330)을 수행하도록 컴퓨터 장치(200)를 제어할 수 있다.3 is a flowchart illustrating an example of a method for protecting executable files in a server according to an embodiment of the present invention. The executable file protection method according to the present embodiment may be performed by a server implemented by the computer device 200 described with reference to FIG. 2 . As a more specific example, the executable file protection method according to the present embodiment may be performed to protect the executable file included in the installation file in a server that distributes installation files of an application, such as an app store. In this case, the processor 220 of the computer device 200 implementing the server may be implemented to execute a control instruction according to the code of the operating system included in the memory 210 or the code of at least one program. Here, the processor 220 causes the computer device 200 to perform steps 310 to 330 included in the method of FIG. 3 according to a control command provided by the code stored in the computer device 200 . can control

단계(310)에서 컴퓨터 장치(200)는 실행 가능 파일의 보호를 위한 특정 컴퓨터 프로그램을 실행 가능 파일과 연계시킬 수 있다. 여기서 실행 가능 파일은 일례로, 앞서 설명한 바와 같이 어플리케이션의 설치 파일에 포함된 실행 가능 파일일 수 있다. 또한, 특정 컴퓨터 프로그램은 이러한 실행 가능 파일을 보호하기 위한 코드를 포함하는 컴퓨터 프로그램으로서, 컴퓨터 장치(200)는 이러한 특정 컴퓨터 프로그램을 실행 가능 파일과 연계시켜 실행 가능 파일이 보호되도록 할 수 있다. 여기서, 특정 컴퓨터 프로그램은 실행 가능 파일을 실행시키는 클라이언트의 장치의 메모리상에서 실행 가능 파일의 온전한 전체 내용을 확인하지 못하도록 보호하는 기능을 포함할 수 있다. 이러한 특정 컴퓨터 프로그램이 실행 가능 파일을 어떻게 보호할 수 있는가에 대해서는 이후 더욱 자세히 설명한다. 이때, 특정 컴퓨터 프로그램과 실행 가능 파일의 연계를 위해 컴퓨터 장치(200)는 실행 가능 파일의 최초 실행 영역에 컴퓨터 프로그램의 코드를 추가함으로써, 추후 실행 가능 파일이 실행될 때, 해당 컴퓨터 프로그램의 코드가 우선적으로 동작하면서 실행 가능 파일을 보호하도록 할 수 있다. 다른 예로, 컴퓨터 장치(200)는 컴퓨터 프로그램을 포함하는 별도의 실행 파일 또는 동적 라이브러리를 실행 가능 파일에서 호출하도록 실행 가능 파일을 변경하는 형태로, 실행 가능 파일과 실행 가능 파일의 보호를 위한 컴퓨터 프로그램을 서로 연계시킬 수 있다. 또 다른 예로, 컴퓨터 장치(200)는 실행 가능 파일을 변경하기 위한 별도의 외부 프로그램 파일로서 컴퓨터 프로그램이 포함된 파일을 생성할 수 있다. 이 경우, 생성된 파일을 통해 실행 가능 파일의 보호를 위한 컴퓨터 프로그램이 설치 및 구동된 클라이언트에서는 해당 컴퓨터 프로그램을 통해 실행 가능 파일이 보호될 수 있다.In step 310, the computer device 200 may associate a specific computer program for protection of the executable file with the executable file. Here, the executable file may be, for example, an executable file included in the installation file of the application as described above. In addition, the specific computer program is a computer program including code for protecting the executable file, and the computer device 200 may associate the specific computer program with the executable file so that the executable file is protected. Here, the specific computer program may include a function of protecting the entire contents of the executable file from being checked in the memory of the device of the client executing the executable file. How these specific computer programs can protect executable files is discussed in more detail later. At this time, in order to link a specific computer program and the executable file, the computer device 200 adds the code of the computer program to the first execution area of the executable file, so that when the executable file is executed later, the code of the computer program takes precedence. You can protect executable files while operating as . As another example, the computer device 200 changes the executable file to call a separate executable file or dynamic library including the computer program from the executable file, and a computer program for protecting the executable file and the executable file can be linked to each other. As another example, the computer device 200 may generate a file including the computer program as a separate external program file for changing the executable file. In this case, in a client in which a computer program for protection of an executable file is installed and driven through the generated file, the executable file may be protected through the corresponding computer program.

단계(320)에서 컴퓨터 장치(200)는 실행 가능 파일의 적어도 일부 내용을 난독화할 수 있다. 난독화를 위한 다양한 방식들이 이미 잘 알려져 있으며, 이러한 다양한 방식들 중 적어도 하나를 통해 실행 가능 파일의 보호하고자 하는 부분이 난독화될 수 있다.In operation 320 , the computer device 200 may obfuscate at least some contents of the executable file. Various methods for obfuscation are already well known, and a part to be protected of the executable file may be obfuscated through at least one of these various methods.

단계(330)에서 컴퓨터 장치(200)는 컴퓨터 프로그램과 연계되고 적어도 일부 내용이 난독화된 실행 가능 파일을 배포할 수 있다. 예를 들어, 이러한 실행 가능 파일을 포함하는 어플리케이션의 설치 파일이 클라이언트들로 배포될 수 있고, 클라이언트에서 설치 및 실행될 수 있다. 이때, 실행 가능 파일의 보호를 위한 특정 컴퓨터 프로그램은 클라이언트의 장치에서 실행 가능 파일이 실행되기 위해 메모리에 적재될 때, 사용자들이 메모리를 통해 실행 가능 파일의 온전한 전체 내용을 얻지 못하도록 실행 가능 파일을 보호하기 위해 동작할 수 있다.In step 330 , the computer device 200 may distribute an executable file that is associated with a computer program and whose contents are at least partially obfuscated. For example, an installation file of an application including such an executable file may be distributed to clients, and may be installed and executed in the client. At this time, a specific computer program for the protection of the executable file protects the executable file so that users do not get the entire contents of the executable file through the memory when the executable file is loaded into the memory to be executed on the client's device. can work to

도 4는 본 발명의 일실시예에 있어서, 클라이언트에서의 실행 가능 파일 보호 방법의 예를 도시한 흐름도이다. 본 실시예에 따른 실행 가능 파일 보호 방법은 컴퓨터 장치(200)에 의해 구현되는 클라이언트에 의해 수행될 수 있다. 보다 구체적인 예로, 앱스토어를 통해 어플리케이션의 설치 파일들을 수신하여 어플리케이션을 설치 및 구동하는 클라이언트에서 설치 파일이 포함하는 실행 가능 파일을 보호하기 위해 본 실시예에 따른 실행 가능 파일 보호 방법을 수행할 수 있다. 이 경우, 클라이언트를 구현하는 컴퓨터 장치(200)의 프로세서(220)는 메모리(210)가 포함하는 운영체제의 코드나 적어도 하나의 프로그램의 코드에 따른 제어 명령(instruction)을 실행하도록 구현될 수 있다. 여기서의 프로그램의 코드는 실행 가능 파일의 보호를 위한 특정 컴퓨터 프로그램의 코드일 수 있다. 이때, 프로세서(220)는 컴퓨터 장치(200)에 저장된 코드가 제공하는 제어 명령에 따라 컴퓨터 장치(200)가 도 4의 방법이 포함하는 단계들(410 내지 480)을 수행하도록 컴퓨터 장치(200)를 제어할 수 있다.4 is a flowchart illustrating an example of a method for protecting an executable file in a client according to an embodiment of the present invention. The executable file protection method according to the present embodiment may be performed by a client implemented by the computer device 200 . As a more specific example, the executable file protection method according to the present embodiment may be performed in order to protect the executable file included in the installation file in a client that receives the installation files of the application through the app store and installs and runs the application. . In this case, the processor 220 of the computer device 200 implementing the client may be implemented to execute a control instruction according to the code of the operating system included in the memory 210 or the code of at least one program. The code of the program herein may be the code of a specific computer program for protection of the executable file. In this case, the processor 220 causes the computer device 200 to perform the steps 410 to 480 included in the method of FIG. 4 according to a control command provided by the code stored in the computer device 200 . can control

단계(410)에서 컴퓨터 장치(200)는 실행 가능 파일의 실행에 따라 컴퓨터 장치(200)의 메모리(210)에 적재된 실행 가능 파일의 내용에 대한 메모리 공간 중 보호를 위해 난독화된 내용이 적재된 보호 메모리 공간을 식별할 수 있다. 보호를 위한 내용의 난독화는 앞서 서버에서 이루어진 실시예를 설명한 바 있다. 컴퓨터 장치(200)는 메모리(210)상에서 실행 가능 파일의 코드 영역 및/또는 데이터 영역을 확인하여 난독화된 내용이 포함된 보호 메모리 공간을 확인할 수 있다.In step 410, the computer device 200 loads the obfuscated content for protection of the memory space for the contents of the executable file loaded in the memory 210 of the computer device 200 according to the execution of the executable file. The protected memory space can be identified. Obfuscation of the content for protection has been described above in the embodiment made in the server. The computer device 200 may check the code area and/or the data area of the executable file on the memory 210 to check the protected memory space including the obfuscated content.

단계(420)에서 컴퓨터 장치(200)는 별도의 힙 메모리를 할당할 수 있다. 이러한 힙 메모리는 컴퓨터 장치(200)의 메모리(210)상에 할당될 수 있다. 힙 메모리가 할당되는 영역은 이미 메모리(210)에 적재된 실행 가능 파일의 내용에 대한 메모리 공간과는 상이할 수 있다. 일례로, 컴퓨터 장치(200)는 보호 메모리 공간의 크기와 동일한 크기의 힙 메모리를 동적으로 할당할 수 있다. 다른 예로, 컴퓨터 장치(200)는 임의의 큰 메모리 공간을 미리 할당해놓고, 그 중 일부의 공간을 힙 메모리를 위한 공간을 활용할 수 있다.In step 420 , the computer device 200 may allocate a separate heap memory. This heap memory may be allocated on the memory 210 of the computer device 200 . The region to which the heap memory is allocated may be different from the memory space for the contents of the executable file already loaded in the memory 210 . For example, the computer device 200 may dynamically allocate a heap memory having the same size as the size of the protected memory space. As another example, the computer device 200 may allocate an arbitrary large memory space in advance, and use some of the space for heap memory.

단계(430)에서 컴퓨터 장치(200)는 할당된 힙 메모리에 실행 속성을 추가할 수 있다. 이러한 실행 속성의 추가는, 추후 할당된 힙 메모리로 복사되는 코드들의 실행을 위한 것일 수 있다.In step 430 , the computer device 200 may add an execution attribute to the allocated heap memory. The addition of such an execution attribute may be for execution of codes copied to a heap memory allocated later.

단계(440)에서 컴퓨터 장치(200)는 보호 메모리 공간의 난독화된 내용을 복호화하여 할당된 힙 메모리에 복사할 수 있다. 다양한 난독화 방식들이 이미 알려진 바와 마찬가지로, 난독화된 내용을 복호화하기 위한 다양한 방식들 역시 잘 알려져 있다. 예를 들어, 실행 가능 파일의 보호를 위한 특정한 컴퓨터 프로그램은 서버에서의 난독화 방식에 따라 난독화된 내용을 복호화하기 위한 코드를 포함할 수 있으며, 컴퓨터 장치(200)는 이러한 코드의 제어에 따라 난독화된 내용을 복호화한 상태로 입 메모리에 복사할 수 있다. 일례로, 컴퓨터 장치(200)는 보호 메모리 공간의 내용을 모두 복호화하여 힙 메모리의 공간에 복사할 수 있다. 다른 예로, 컴퓨터 장치(200)는 힙 메모리의 공간에 복사가 완료된 후, 전체 영역을 복호화할 수 있다. 또 다른 예로, 컴퓨터 장치(200)는 보호 메모리 공간의 내용을 일부분씩 복호화하면서 힙 메모리의 공간으로 복사할 수도 있다. 또한, 실시예에 따라 컴퓨터 장치(200)는 복수 개의 힙 메모리를 할당할 수도 있다. 이 경우, 컴퓨터 장치(200)는 보호 메모리 공간의 난독화된 내용을 복호화하여 복수 개의 힙 메모리에 분산하여 복사할 수 있다. 복수 개의 힙 메모리에 복호화된 내용을 분산하여 복사하는 경우, 사용자들이 실행 가능 파일의 온전한 내용을 획득하는 것을 보다 어렵게 만들 수 있다.In operation 440 , the computer device 200 may decrypt the obfuscated contents of the protected memory space and copy it to the allocated heap memory. As various methods of obfuscation are already known, various methods for decrypting obfuscated content are also well known. For example, a specific computer program for protection of executable files may include code for decrypting obfuscated content according to an obfuscation method in the server, and the computer device 200 may control the code according to the control of the code. The obfuscated contents can be copied to the mouth memory in a decrypted state. As an example, the computer device 200 may decrypt all the contents of the protected memory space and copy it to the space of the heap memory. As another example, the computer device 200 may decrypt the entire area after copying to the space of the heap memory is completed. As another example, the computer device 200 may copy the contents of the protected memory space to the space of the heap memory while partially decrypting it. Also, according to an embodiment, the computer device 200 may allocate a plurality of heap memories. In this case, the computer device 200 may decrypt the obfuscated contents of the protected memory space and distribute them to a plurality of heap memories and copy them. If the decrypted contents are distributed and copied in a plurality of heap memories, it may make it more difficult for users to obtain the complete contents of the executable file.

단계(450)에서 컴퓨터 장치(200)는 메모리에 적재된 실행 가능 파일의 재배치 정보를 이용하여 실행 가능 파일의 내용에 대한 메모리 공간의 주소를 동적으로 수정할 수 있다. 일례로, 컴퓨터 장치(200)가 포함하는 하드디스크에 저장된 실행 가능 파일의 내용은 통째로 메모리(210)에 적재되는 것이 아니라, 코드와 상수데이터, 변수데이터 등등을 구분하여 메모리 공간으로 분할하여 적재될 수 있다. 다시 말해, 하드디스크에서는 한 덩어리의 내용들이 메모리(210)에 적재될 때는 여러 분할된 메모리 영역으로 적재될 수 있으며, 이러한 적재 후, 변수주소값이나 함수주소값 등의 정보를 갱신하는 재배치(relocation)에 따른 정보 변경 작업들이 수행될 수 있다. 이때, 힙 메모리상으로 복사된 내용들의 메모리 공간의 주소 역시 재배치 정보에 따라 동적으로 수정될 필요가 있다. 메모리 공간의 주소를 동적으로 수정하는 방법에 대해서는 이후 도 5 내지 도 8을 통해 더욱 자세히 설명한다.In operation 450 , the computer device 200 may dynamically modify the address of the memory space for the contents of the executable file by using relocation information of the executable file loaded in the memory. For example, the contents of the executable file stored in the hard disk included in the computer device 200 are not loaded into the memory 210 as a whole, but divided into a memory space by dividing code, constant data, variable data, etc. can In other words, in the hard disk, when a piece of content is loaded into the memory 210, it can be loaded into several divided memory areas, and after such loading, relocation for updating information such as variable address values or function address values. ) according to information change operations may be performed. At this time, the address of the memory space of the contents copied to the heap memory also needs to be dynamically modified according to the relocation information. A method of dynamically modifying an address in the memory space will be described in more detail later with reference to FIGS. 5 to 8 .

단계(460)에서 컴퓨터 장치(200)는 메모리(210)에 적재된 실행 가능 파일의 재배치 정보를 삭제할 수 있다. 이러한 재배치 정보의 삭제는 메모리 덤프 등을 통해 메모리를 분석하고자 하는 사용자들이 메모리 공간의 주소를 직접 수정하여 원하는 코드나 데이터를 찾는 것을 방지하기 위함이다.In operation 460 , the computer device 200 may delete relocation information of the executable file loaded in the memory 210 . Deletion of such relocation information is to prevent users who want to analyze memory through a memory dump or the like to directly modify the address of the memory space to find the desired code or data.

단계(470)에서 컴퓨터 장치(200)는 힙 메모리에서 쓰기 속성을 제거할 수 있다. 힙 메모리에 대한 메모리 공간의 주소가 수정된 후에는 더 이상 힙 메모리의 내용을 변경할 필요가 없기 때문에 힙 메모리의 내용의 변경을 방지하기 위한 힙 메모리에서 쓰기 속성이 제거될 수 있다.In step 470, the computer device 200 may remove the write attribute from the heap memory. After the address of the memory space for the heap memory is modified, the write attribute can be removed from the heap memory to prevent the change of the contents of the heap memory because the contents of the heap memory no longer need to be changed.

단계(480)에서 컴퓨터 장치(200)는 실행 가능 파일의 실행이 종료됨에 따라 힙 메모리를 해제할 수 있다. 실행 가능 파일의 실행을 위한 프로세스가 종료되거나 더 이상 실행 가능 파일이 사용되지 않는 시점에는 힙 메모리를 해제함으로써, 힙 메모리가 포함하는 복호화된 내용으로의 접근을 막을 수 있다.In operation 480 , the computer device 200 may release the heap memory as the execution of the executable file is terminated. By releasing the heap memory when the process for executing the executable file is terminated or the executable file is no longer used, access to the decrypted contents included in the heap memory can be prevented.

도 5는 본 발명의 일실시예에 있어서, 재배치 위치가 보호 메모리 공간을 가리키는 경우의 주소 수정 방법의 예를 도시한 흐름도이다. 도 5의 단계들(510 내지 540)은 단계(450)에서 재배치 정보를 통해 파악되는 재배치 위치가 보호 메모리 공간을 가리키는 경우에 수행될 수 있다.5 is a flowchart illustrating an example of an address modification method when a relocation location points to a protected memory space according to an embodiment of the present invention. Steps 510 to 540 of FIG. 5 may be performed when the relocation location determined through the relocation information in step 450 indicates the protected memory space.

단계(510)에서 컴퓨터 장치(200)는 보호 메모리 공간의 시작 위치에서 재배치 정보를 통해 파악되는 재배치 위치의 차이인 제1 오프셋을 계산할 수 있다. 여기서, 재배치 위치는 수정된 메모리 공간의 주소값을 포함하는 위치일 수 있다. 예를 들어, 실행 가능 파일의 베이스 주소가 1000이고, 보호 메모리 공간의 시작 위치가 1100이라 가정하자. 이때, 재배치 위치가 1300이라면, 제1 오프셋은 200이 될 수 있다.In operation 510 , the computer device 200 may calculate a first offset, which is a difference between a relocation location identified through relocation information from a start location of the protected memory space. Here, the relocation location may be a location including the address value of the modified memory space. For example, suppose that the base address of the executable file is 1000, and the start position of the protected memory space is 1100. In this case, if the rearrangement position is 1300, the first offset may be 200.

단계(520)에서 컴퓨터 장치(200)는 힙 메모리의 시작 위치에서 제1 오프셋을 더한 힙 메모리의 제1 위치로 이동할 수 있다. 이러한 힙 메모리의 제1 위치는 보호 메모리 공간의 재배치 위치에 대응될 수 있다.In operation 520 , the computer device 200 may move from the start position of the heap memory to a first position of the heap memory by adding a first offset. The first location of the heap memory may correspond to a relocation location of the protected memory space.

단계(530)에서 컴퓨터 장치(200)는 실행 가능 파일의 내용에 대한 메모리 공간의 시작 위치에서 보호 메모리 공간의 시작 위치의 차이인 제2 오프셋을 계산할 수 있다. 이러한 제2 오프셋은 역으로 힙 메모리의 시작 위치로부터 실행 가능 파일의 내용에 대한 메모리 공간의 시작 위치에 대응하는 위치를 찾는데 활용될 수 있다. 예를 들어, 이후 단계(540)에서는 힙 메모리의 시작 위치에서 제2 오프셋을 뺀 위치를 찾음으로써, 실행 가능 파일의 내용에 대한 메모리 공간의 시작 위치에 대응하는 위치를 찾을 수 있다.In step 530 , the computer device 200 may calculate a second offset that is a difference between the start position of the protected memory space and the start position of the memory space for the contents of the executable file. This second offset may inversely be utilized to find a position corresponding to the starting position of the memory space for the contents of the executable file from the starting position of the heap memory. For example, in a subsequent step 540 , a position corresponding to the start position of the memory space for the contents of the executable file may be found by finding a position obtained by subtracting the second offset from the starting position of the heap memory.

단계(540)에서 컴퓨터 장치(200)는 힙 메모리의 시작 위치에서 제2 오프셋을 뺀 위치로부터 재배치 정보를 통해 계산된 제1 주소값을 가리키도록 제1 위치에 저장된 제2 주소값을 수정할 수 있다. 다시 말해, 제1 위치가 가리키는 주소값이 재배치 위치가 가리키는 위치에 대응하여 동적으로 수정될 수 있다.In step 540, the computer device 200 may modify the second address value stored in the first location to point to the first address value calculated through the relocation information from the location obtained by subtracting the second offset from the start location of the heap memory. have. In other words, the address value indicated by the first location may be dynamically modified to correspond to the location indicated by the relocation location.

도 6은 본 발명의 일실시예에 있어서, 재배치 위치가 보호 메모리 공간을 가리키는 경우의 주소 수정 과정의 예를 도시한 도면이다. 도 6은 전체 메모리 공간(610) 중 일부에 실행 가능 파일(620)이 적재된 예를 나타내고 있다. 이때, 실행 가능 파일(620)의 내용에 대한 메모리 공간의 시작 위치를 베이스 주소(Base Address, 630)라 할 수 있다. 이때, 전체 메모리 공간(610) 중 일부에 적재된 실행 가능 파일(620)의 내용들은 난독화된 내용이 포함된 보호 메모리 공간(640)과 재배치 정보(650)를 포함할 수 있다. 또한, 이미 설명한 바와 같이, 별도의 힙 메모리(660)가 할당될 수 있다.6 is a diagram illustrating an example of an address modification process when a relocation location points to a protected memory space according to an embodiment of the present invention. 6 shows an example in which the executable file 620 is loaded in a part of the entire memory space 610 . In this case, the starting position of the memory space for the contents of the executable file 620 may be referred to as a base address (Base Address, 630). In this case, the contents of the executable file 620 loaded in part of the entire memory space 610 may include the protected memory space 640 including the obfuscated contents and the relocation information 650 . Also, as already described, a separate heap memory 660 may be allocated.

이때 컴퓨터 장치(200)는 앞서 설명한 바와 같이, 보호 메모리 공간(640)의 시작 위치에서 재배치 정보를 통해 파악되는 재배치 위치 A의 차이인 제1 오프셋 a를 계산할 수 있다. 여기서, 재배치 위치 A에 저장된 주소값이 위치 B를 가리키고 있으며, 위치 B는 보호 메모리 공간(640)에 포함된다고 가정한다. 다시 말해, 재배치 위치 A가 보호 메모리 공간(640)을 가리키고 있는 경우를 가정한다. 이 경우, 위치 B는 베이스 주소(630)를 기준으로 c의 오프셋을 가질 수 있다. In this case, as described above, the computer device 200 may calculate a first offset a, which is a difference between the relocation location A, which is determined through relocation information, from the start location of the protected memory space 640 . Here, it is assumed that the address value stored in the relocation location A points to the location B, and the location B is included in the protected memory space 640 . In other words, it is assumed that the relocation location A points to the protected memory space 640 . In this case, location B may have an offset of c with respect to the base address 630 .

한편, 컴퓨터 장치(200)는 힙 메모리(660)의 시작 위치에서 제1 오프셋 a를 더한 힙 메모리(660)의 위치 C로 이동할 수 있다. 이때, 위치 C에 저장된 주소값 역시 재배치를 통해 수정되어야 할 필요가 있다. 이를 위해, 컴퓨터 장치(200)는 실행 가능 파일(620)의 내용에 대한 메모리 공간의 시작 위치에서 보호 메모리 공간(640)의 시작 위치의 차이인 제2 오프셋 b를 계산할 수 있다. 이후, 컴퓨터 장치(200)는 힙 메모리(660)의 시작 위치에서 제2 오프셋 b를 뺀 위치(도 6에서 점선(670)으로 나타낸 위치)로부터 재배치 정보를 통해 계산된 제1 주소값에 기초하여 위치 C에 저장된 제2 주소값을 수정할 수 있다. 여기서, 위치 D에 대한 제1 주소값은 점선(670)으로 나타낸 위치에 오프셋 c를 더한 위치의 주소값으로 결정될 수 있다.Meanwhile, the computer device 200 may move from the start position of the heap memory 660 to the position C of the heap memory 660 by adding the first offset a. In this case, the address value stored in the location C also needs to be modified through relocation. To this end, the computer device 200 may calculate a second offset b that is a difference between the start position of the protected memory space 640 and the start position of the memory space for the contents of the executable file 620 . Thereafter, the computer device 200 based on the first address value calculated through the relocation information from the position (the position indicated by the dotted line 670 in FIG. 6 ) obtained by subtracting the second offset b from the start position of the heap memory 660 . The second address value stored in location C may be modified. Here, the first address value for the position D may be determined as the address value of the position indicated by the dotted line 670 plus the offset c.

이때, 컴퓨터 장치(200)는 계산된 제1 주소값이 힙 메모리(660)의 영역에 포함되는 경우에 제1 위치에 저장된 제2 주소값을 계산된 제1 주소값을 가리키도록 수정할 수 있다. 이 경우, 위치 C에 저장된 주소값은 위치 D를 가리키게 된다. 이러한 힙 메모리(660)의 위치 D가 보호 메모리 공간(640)의 재배치 위치 A가 가리키는 위치 B에 대응하는 것임을 쉽게 이해할 수 있을 것이다.In this case, when the calculated first address value is included in the area of the heap memory 660 , the computer device 200 may modify the second address value stored in the first location to point to the calculated first address value. . In this case, the address value stored in location C points to location D. It will be easily understood that the location D of the heap memory 660 corresponds to the location B indicated by the relocation location A of the protected memory space 640 .

도 7은 본 발명의 일실시예에 있어서, 재배치 위치가 보호 메모리 공간을 가리키지 않는 경우의 주소 수정 과정의 예를 도시한 도면이다. 도 7의 단계들(710 내지 730)은 단계(450)에서 재배치 정보를 통해 파악되는 재배치 위치가 보호 메모리 공간을 가리키지 않는 경우에 수행될 수 있다.7 is a diagram illustrating an example of an address modification process when a relocation location does not indicate a protected memory space according to an embodiment of the present invention. Steps 710 to 730 of FIG. 7 may be performed when the relocation location determined through the relocation information in step 450 does not indicate the protected memory space.

단계(710)에서 컴퓨터 장치(200)는 보호 메모리 공간의 시작 위치에서 재배치 정보를 통해 파악되는 재배치 위치의 차이인 제1 오프셋을 계산할 수 있다. 여기서, 재배치 위치는 수정된 메모리 공간의 주소값을 포함하는 위치일 수 있다. 예를 들어, 실행 가능 파일의 베이스 주소가 1000이고, 보호 메모리 공간의 시작 위치가 1100이라 가정하자. 이때, 재배치 위치가 1300이라면, 제1 오프셋은 200이 될 수 있다.In operation 710 , the computer device 200 may calculate a first offset, which is a difference between a relocation location identified through relocation information from a start location of the protected memory space. Here, the relocation location may be a location including the address value of the modified memory space. For example, suppose that the base address of the executable file is 1000, and the start position of the protected memory space is 1100. In this case, if the rearrangement position is 1300, the first offset may be 200.

단계(720)에서 컴퓨터 장치(200)는 힙 메모리의 시작 위치에서 제1 오프셋을 더한 힙 메모리의 제1 위치로 이동할 수 있다. 이러한 힙 메모리의 제1 위치는 보호 메모리 공간의 재배치 위치에 대응될 수 있다.In operation 720 , the computer device 200 may move from the start position of the heap memory to a first position of the heap memory by adding a first offset. The first location of the heap memory may correspond to a relocation location of the protected memory space.

단계(730)에서 컴퓨터 장치(200)는 재배치 위치가 가리키는 위치의 제1 주소값을 가리키도록 제1 위치에 저장된 제2 주소값을 수정할 수 있다. 다시 말해, 힙 메모리의 제1 위치에 저장된 제2 주소값이 보호 메모리 공간 밖의 메모리 공간의 위치(재배치 위치가 가리키는 위치)를 가리키도록 수정될 수 있다.In operation 730 , the computer device 200 may modify the second address value stored in the first location to point to the first address value of the location indicated by the relocation location. In other words, the second address value stored in the first location of the heap memory may be modified to point to a location in the memory space outside the protected memory space (a location indicated by the relocation location).

도 8은 본 발명의 일실시예에 있어서, 재배치 위치가 보호 메모리 공간을 가리키지 않는 경우의 주소 수정 과정의 예를 도시한 도면이다. 도 7에서는 도 6에서와 달리, 재배치 위치 A에 저장된 주소값이 위치 B‘를 가리키고 있으며, 위치 B‘가 보호 메모리 공간(640)의 바깥에 위치한다고 가정한다. 다시 말해, 재배치 위치 A가 보호 메모리 공간(640)을 가리키지 않는 경우를 가정한다.8 is a diagram illustrating an example of an address modification process when a relocation location does not indicate a protected memory space according to an embodiment of the present invention. In FIG. 7 , unlike in FIG. 6 , it is assumed that the address value stored in the relocation location A points to the location B′, and the location B′ is located outside the protected memory space 640 . In other words, it is assumed that the relocation location A does not point to the protected memory space 640 .

이때 컴퓨터 장치(200)는 앞서 설명한 바와 같이, 보호 메모리 공간(640)의 시작 위치에서 재배치 정보를 통해 파악되는 재배치 위치 A의 차이인 제1 오프셋 a를 계산할 수 있다. 여기서, 재배치 위치 A에 저장된 주소값은 보호 메모리 공간(640)의 바깥에 위치한 위치 B를 가리키고 있다.In this case, as described above, the computer device 200 may calculate a first offset a, which is a difference between the relocation location A, which is determined through relocation information, from the start location of the protected memory space 640 . Here, the address value stored in the relocation location A points to the location B located outside the protected memory space 640 .

이 경우, 컴퓨터 장치(200)는 힙 메모리(660)의 시작 위치에서 제1 오프셋 a를 더한 힙 메모리(660)의 위치 C로 이동할 수 있다. 이때, 위치 C에 저장된 주소값 역시 재배치를 통해 수정되어야 할 필요가 있다. 이를 위해, 컴퓨터 장치(200)는 위치 C에 저장된 주소값을 위치 D‘의 주소값에서 위치 B‘의 주소값으로 수정함으로써, 위치 C가 위치 B‘를 가리키도록 주소값을 수정할 수 있다. 도 8의 화살표(810)는 힙 메모리(660)상의 위치 C가 보호 메모리 공간(640)의 바깥에 위치하는 위치 B‘를 가리키고 있는 예를 나타낸다.In this case, the computer device 200 may move from the start position of the heap memory 660 to the position C of the heap memory 660 by adding the first offset a. In this case, the address value stored in the location C also needs to be modified through relocation. To this end, the computer device 200 may modify the address value so that the location C points to the location B' by changing the address value stored in the location C from the address value of the location D' to the address value of the location B'. An arrow 810 of FIG. 8 shows an example in which a location C on the heap memory 660 points to a location B′ located outside the protected memory space 640 .

한편, 다시 도 4를 참조하면, 재배치 위치가 보호 메모리 공간이 아닌 경우, 컴퓨터 장치(200)는 단계(450)에서 실행 가능 파일의 내용에 대한 메모리 공간의 시작 위치로부터 재배치 정보를 통해 계산된 주소값에 기초하여 재배치 위치에 저장된 주소값을 수정할 수 있다. 이때, 계산된 주소값이 상기 보호 메모리 공간을 가리키지 않는 경우, 컴퓨터 장치(200)는 계산된 주소값을 가리키도록 재배치 위치에 저장된 주소값을 수정할 수 있다. 또한, 계산된 주소값이 보호 메모리 공간을 가리키는 경우, 보호 메모리 공간의 시작 위치에서 계산된 주소값의 차이만큼의 오프셋을 계산하고, 힙 메모리의 시작 위치에서 계산된 오프셋을 더한 주소값으로 재배치 위치에 저장된 주소값을 수정할 수 있다.Meanwhile, referring again to FIG. 4 , if the relocation location is not the protected memory space, the computer device 200 performs an address calculated through relocation information from the start location of the memory space for the contents of the executable file in step 450 . Based on the value, the address value stored in the relocation location can be modified. In this case, when the calculated address value does not indicate the protected memory space, the computer device 200 may modify the address value stored in the relocation location to indicate the calculated address value. In addition, when the calculated address value points to the protected memory space, an offset equal to the difference between the calculated address values is calculated from the start position of the protected memory space, and the calculated offset from the start position of the heap memory is added to the relocation position. You can edit the address value stored in .

도 9는 본 발명의 일실시예에 있어서, 재배치 위치가 보호 메모리 공간이 아닌 경우의 주소 수정 과정의 제1 예를 도시한 도면이다. 도 9는 재배치 정보를 통해 재배치 위치가 보호 메모리 공간(640)의 바깥의 위치 E을 가리키고 있으며, 재배치 위치 E가 보호 메모리 공간(640) 내의 위치 F를 가리키고 있는 경우의 예를 나타내고 있다.9 is a diagram illustrating a first example of an address modification process when a relocation location is not a protected memory space according to an embodiment of the present invention. 9 shows an example in which the relocation location points to a location E outside the protected memory space 640 and the relocation location E points to a location F in the protected memory space 640 through relocation information.

이 경우, 컴퓨터 장치(200)는 보호 메모리 공간(640)의 시작 위치에서 계산된 주소값의 차이만큼의 오프셋 j를 계산한 후, 힙 메모리(660)의 시작 위치에서 계산된 오프셋 j를 더한 주소값으로 재배치 위치 E에 저장된 주소값을 수정할 수 있다. 도 9의 화살표(910)는 재배치 위치 E에 저장된 주소값이 기존 보호 메모리 공간(640)상의 위치 F의 주소값에서, 힙 메모리(660)상의 위치 G의 주소값으로 수정되었음을 나타내고 있다. In this case, the computer device 200 calculates an offset j equal to the difference between the calculated address values at the start position of the protected memory space 640 , and then adds the offset j calculated from the start position of the heap memory 660 to the address You can modify the address value stored in the relocation location E as a value. An arrow 910 of FIG. 9 indicates that the address value stored in the relocation location E has been modified from the address value of the location F on the existing protected memory space 640 to the address value of the location G on the heap memory 660 .

도 10는 본 발명의 일실시예에 있어서, 재배치 위치가 보호 메모리 공간이 아닌 경우의 주소 수정 과정의 제2 예를 도시한 도면이다. 도 10은 재배치 위치 E에 저장된 주소값이 보호 메모리 공간(640) 바깥의 위치 F‘를 가리키고 있는 예를 나타내고 있다. 이 경우, 재배치 위치 E에 저장된 주소값은 위치 F‘의 주소값이 될 수 있다. 이 경우, 재배치 위치 E에 저장된 주소값은 변경되지 않을 수 있다.10 is a diagram illustrating a second example of an address modification process when a relocation location is not a protected memory space according to an embodiment of the present invention. 10 shows an example in which the address value stored in the relocation location E points to the location F' outside the protected memory space 640 . In this case, the address value stored in the relocation location E may be the address value of the location F'. In this case, the address value stored in the relocation location E may not be changed.

이처럼 본 발명의 실시예들에 따르면, 메모리 상의 코드 및 데이터에 대한 접근을 어렵게 만들어 프로그램을 보호할 수 있다. 또한, 메모리에 적재되어 있는 실행 가능 파일의 정보로부터 실제 구성 영역을 분리해서 별도의 힙 메모리 주소에 해당 영역을 위치시키고, 정상적으로 참조되고 동작될 수 있도록 메모리 정보를 수정한 후, 힙 메모리나 재배치 정보를 확인할 수 없도록 제거해서 메모리로부터 프로그램의 실행 파일 또는 동적 라이브러리와 같은 실행 가능 파일의 온전한 전체 정보를 확인할 수 없도록 함으로써 메모리상에 존재하는 프로그램을 보호할 수 있다.As such, according to embodiments of the present invention, it is possible to protect a program by making it difficult to access code and data in a memory. In addition, the actual configuration area is separated from the information of the executable file loaded in the memory, the area is located in a separate heap memory address, and the memory information is modified so that it can be referenced and operated normally, and then the heap memory or relocation information It is possible to protect a program existing in memory by removing the .

이상에서 설명된 시스템 또는 장치는 하드웨어 구성요소, 또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The system or apparatus described above may be implemented as a hardware component or a combination of a hardware component and a software component. For example, devices and components described in the embodiments may include, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate array (FPGA). , a programmable logic unit (PLU), microprocessor, or any other device capable of executing and responding to instructions, may be implemented using one or more general purpose or special purpose computers. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For convenience of understanding, although one processing device is sometimes described as being used, one of ordinary skill in the art will recognize that the processing device includes a plurality of processing elements and/or a plurality of types of processing elements. It can be seen that can include For example, the processing device may include a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as parallel processors.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록매체에 저장될 수 있다.Software may comprise a computer program, code, instructions, or a combination of one or more of these, which configures a processing device to operate as desired or is independently or collectively processed You can command the device. The software and/or data may be any kind of machine, component, physical device, virtual equipment, computer storage medium or device, to be interpreted by or to provide instructions or data to the processing device. may be embodied in The software may be distributed over networked computer systems, and stored or executed in a distributed manner. Software and data may be stored in one or more computer-readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 매체는 컴퓨터로 실행 가능한 프로그램을 계속 저장하거나, 실행 또는 다운로드를 위해 임시 저장하는 것일 수도 있다. 또한, 매체는 단일 또는 수개 하드웨어가 결합된 형태의 다양한 기록수단 또는 저장수단일 수 있는데, 어떤 컴퓨터 시스템에 직접 접속되는 매체에 한정되지 않고, 네트워크 상에 분산 존재하는 것일 수도 있다. 매체의 예시로는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등을 포함하여 프로그램 명령어가 저장되도록 구성된 것이 있을 수 있다. 또한, 다른 매체의 예시로, 애플리케이션을 유통하는 앱 스토어나 기타 다양한 소프트웨어를 공급 내지 유통하는 사이트, 서버 등에서 관리하는 기록매체 내지 저장매체도 들 수 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc. alone or in combination. The medium may be to continuously store a computer executable program, or to temporarily store it for execution or download. In addition, the medium may be various recording means or storage means in the form of a single or several hardware combined, it is not limited to a medium directly connected to any computer system, and may exist distributed on a network. Examples of the medium include a hard disk, a magnetic medium such as a floppy disk and a magnetic tape, an optical recording medium such as CD-ROM and DVD, a magneto-optical medium such as a floppy disk, and those configured to store program instructions, including ROM, RAM, flash memory, and the like. In addition, examples of other media may include recording media or storage media managed by an app store that distributes applications, sites that supply or distribute various other software, and servers. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like.

발명의 실시를 위한 형태Modes for carrying out the invention

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described with reference to the limited embodiments and drawings, various modifications and variations are possible from the above description by those skilled in the art. For example, the described techniques are performed in a different order than the described method, and/or the described components of the system, structure, apparatus, circuit, etc. are combined or combined in a different form than the described method, or other components Or substituted or substituted by equivalents may achieve an appropriate result.

그러므로, 다른 구현들, 다른 실시예들 및 청구범위와 균등한 것들도 후술하는 청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.

Claims (18)

컴퓨터 장치와 결합되어 실행 가능 파일 보호 방법을 상기 컴퓨터 장치에 실행시키기 위해 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램에 있어서,
상기 실행 가능 파일 보호 방법은,
실행 가능 파일의 실행에 따라 상기 컴퓨터 장치의 메모리에 적재된 상기 실행 가능 파일의 내용에 대한 메모리 공간 중 보호를 위해 난독화된 내용이 적재된 보호 메모리 공간을 식별하는 단계;
별도의 힙 메모리(heap memory)를 할당하는 단계;
상기 보호 메모리 공간의 난독화된 내용을 복호화하여 상기 할당된 힙 메모리에 복사하는 단계; 및
메모리에 적재된 상기 실행 가능 파일의 재배치 정보를 이용하여 상기 실행 가능 파일의 내용에 대한 메모리 공간의 주소를 동적으로 수정하는 단계
를 포함하는 것을 특징으로 하는 컴퓨터 프로그램.A computer program stored in a computer-readable recording medium in combination with a computer device to execute a method for protecting an executable file in the computer device,
The method of protecting the executable file includes:
identifying a protected memory space in which obfuscated content is loaded for protection among memory spaces for the content of the executable file loaded in the memory of the computer device according to the execution of the executable file;
allocating a separate heap memory;
decoding the obfuscated contents of the protected memory space and copying it to the allocated heap memory; and
dynamically modifying the address of the memory space for the contents of the executable file by using the relocation information of the executable file loaded in the memory;
A computer program comprising a. 제1항에 있어서,
상기 수정하는 단계는,
상기 재배치 정보를 통해 파악되는 재배치 위치가 상기 보호 메모리 공간을 가리키는 경우,
상기 보호 메모리 공간의 시작 위치에서 상기 재배치 정보를 통해 파악되는 재배치 위치의 차이인 제1 오프셋을 계산하는 단계;
상기 힙 메모리의 시작 위치에서 상기 제1 오프셋을 더한 상기 힙 메모리의 제1 위치로 이동하는 단계;
상기 실행 가능 파일의 내용에 대한 메모리 공간의 시작 위치에서 상기 보호 메모리 공간의 시작 위치의 차이인 제2 오프셋을 계산하는 단계; 및
상기 힙 메모리의 시작 위치에서 상기 제2 오프셋을 뺀 위치로부터 상기 재배치 정보를 통해 계산된 제1 주소값을 가리키도록 상기 제1 위치에 저장된 제2 주소값을 수정하는 단계
를 포함하는 것을 특징으로 하는 컴퓨터 프로그램.According to claim 1,
The modifying step is
When the relocation location identified through the relocation information points to the protected memory space,
calculating a first offset that is a difference between a relocation location identified through the relocation information from a start location of the protected memory space;
moving from the start position of the heap memory to a first position of the heap memory plus the first offset;
calculating a second offset that is a difference between a start position of the protected memory space and a start position of the memory space for the contents of the executable file; and
modifying a second address value stored in the first location to point to a first address value calculated through the relocation information from a location obtained by subtracting the second offset from the start location of the heap memory
A computer program comprising a. 제1항에 있어서,
상기 수정하는 단계는,
상기 재배치 정보를 통해 파악되는 재배치 위치가 상기 보호 메모리 공간을 가리키지 않는 경우,
상기 보호 메모리 공간의 시작 위치에서 상기 재배치 정보를 통해 파악되는 재배치 위치의 차이인 제1 오프셋을 계산하는 단계;
상기 힙 메모리의 시작 위치에서 상기 제1 오프셋을 더한 상기 힙 메모리의 제1 위치로 이동하는 단계; 및
상기 재배치 위치가 가리키는 위치의 제1 주소값을 가리키도록 상기 제1 위치에 저장된 제2 주소값을 수정하는 단계
를 포함하는 것을 특징으로 하는 컴퓨터 프로그램.According to claim 1,
The modifying step is
When the relocation location identified through the relocation information does not point to the protected memory space,
calculating a first offset that is a difference between a relocation location identified through the relocation information from a start location of the protected memory space;
moving from the start position of the heap memory to a first position of the heap memory plus the first offset; and
modifying the second address value stored in the first location to point to the first address value of the location pointed to by the relocation location;
A computer program comprising a. 제1항에 있어서,
상기 수정하는 단계는,
상기 재배치 정보를 통해 파악되는 재배치 위치가 상기 보호 메모리 공간이 아닌 경우, 상기 실행 가능 파일의 내용에 대한 메모리 공간의 시작 위치로부터 상기 재배치 정보를 통해 계산된 주소값에 기초하여 상기 재배치 위치에 저장된 주소값을 수정하는 단계
를 포함하는 것을 특징으로 하는 컴퓨터 프로그램.According to claim 1,
The modifying step is
When the relocation location determined through the relocation information is not the protected memory space, the address stored in the relocation location based on the address value calculated through the relocation information from the start location of the memory space for the contents of the executable file Steps to modify values
A computer program comprising a. 제4항에 있어서,
상기 재배치 위치에 저장된 주소값을 수정하는 단계는,
상기 계산된 주소값이 상기 보호 메모리 공간을 가리키지 않는 경우, 상기 계산된 주소값을 가리키도록 상기 재배치 위치에 저장된 주소값을 수정하는 단계; 및
상기 계산된 주소값이 상기 보호 메모리 공간을 가리키는 경우, 상기 보호 메모리 공간의 시작 위치에서 상기 계산된 주소값의 차이만큼의 오프셋을 계산하고, 상기 힙 메모리의 시작 위치에서 상기 계산된 오프셋을 더한 주소값으로 상기 재배치 위치에 저장된 주소값을 수정하는 단계
를 포함하는 것을 특징으로 하는 컴퓨터 프로그램.5. The method of claim 4,
The step of modifying the address value stored in the relocation location comprises:
if the calculated address value does not point to the protected memory space, modifying the address value stored in the relocation location to point to the calculated address value; and
When the calculated address value points to the protected memory space, an address obtained by calculating an offset equal to the difference between the calculated address values from the start position of the protected memory space and adding the calculated offset from the start position of the heap memory modifying the address value stored in the relocation location with a value
A computer program comprising a. 제1항에 있어서,
상기 실행 가능 파일 보호 방법은,
상기 수정하는 단계 이후에 상기 메모리에 적재된 상기 실행 가능 파일의 재배치 정보를 삭제하는 단계
를 더 포함하는 것을 특징으로 하는 컴퓨터 프로그램.According to claim 1,
The method of protecting the executable file includes:
Deleting relocation information of the executable file loaded in the memory after the modifying step
Computer program, characterized in that it further comprises. 제1항에 있어서,
상기 실행 가능 파일 보호 방법은,
상기 실행 가능 파일의 실행이 종료됨에 따라 상기 힙 메모리를 해제하는 단계
를 더 포함하는 것을 특징으로 하는 컴퓨터 프로그램.According to claim 1,
The method of protecting the executable file includes:
releasing the heap memory as the execution of the executable file is terminated
Computer program, characterized in that it further comprises. 제1항에 있어서,
상기 실행 가능 파일 보호 방법은,
상기 힙 메모리를 할당하는 단계 이후에 상기 힙 메모리에 실행 속성을 추가하는 단계
를 더 포함하는 것을 특징으로 하는 컴퓨터 프로그램.According to claim 1,
The method of protecting the executable file includes:
adding an execution attribute to the heap memory after allocating the heap memory
Computer program, characterized in that it further comprises. 제1항에 있어서,
상기 실행 가능 파일 보호 방법은,
상기 수정하는 단계 이후에 상기 힙 메모리에서 쓰기 속성을 제거하는 단계
를 더 포함하는 것을 특징으로 하는 컴퓨터 프로그램.According to claim 1,
The method of protecting the executable file includes:
removing the write attribute from the heap memory after the modifying step
Computer program, characterized in that it further comprises. 제1항에 있어서,
상기 별도의 힙 메모리(heap memory)를 할당하는 단계는,
복수 개의 힙 메모리를 할당하는 단계를 포함하고,
상기 할당된 힙 메모리에 복사하는 단계는,
상기 보호 메모리 공간의 난독화된 내용을 복호화하여 상기 복수 개의 힙 메모리에 분산하여 복사하는 것을 특징으로 하는 컴퓨터 프로그램.According to claim 1,
Allocating the separate heap memory comprises:
allocating a plurality of heap memory;
Copying to the allocated heap memory comprises:
The computer program, characterized in that the decrypted contents of the protected memory space are distributed and copied to the plurality of heap memories. 제1항 내지 제10항 중 어느 한 항의 컴퓨터 프로그램을 상기 실행 가능 파일과 연계시키는 단계;
상기 실행 가능 파일의 적어도 일부 내용을 난독화하는 단계; 및
상기 컴퓨터 프로그램과 연계되고 적어도 일부 내용이 난독화된 실행 가능 파일을 배포하는 단계
를 포함하는 것을 특징으로 하는 실행 가능 파일 보호 방법.associating the computer program of any one of claims 1 to 10 with the executable file;
obfuscating at least some contents of the executable file; and
Distributing an executable file associated with the computer program and at least partially obfuscated
Executable file protection method comprising a. 제11항에 있어서,
상기 연계시키는 단계는,
상기 실행 가능 파일의 최초 실행 영역에 상기 컴퓨터 프로그램의 코드를 추가하거나, 상기 컴퓨터 프로그램을 포함하는 별도의 실행 파일 또는 동적 라이브러리를 상기 실행 가능 파일에서 호출하도록 상기 실행 가능 파일을 변경하거나 또는, 상기 실행 가능 파일을 변경하기 위한 별도의 외부 프로그램 파일로서 상기 컴퓨터 프로그램이 포함된 파일을 생성하는 것을 특징으로 하는 실행 가능 파일 보호 방법.12. The method of claim 11,
The linking step is
adding the code of the computer program to the initial execution region of the executable file, changing the executable file to call a separate executable file or dynamic library including the computer program from the executable file, or An executable file protection method, characterized in that the file including the computer program is created as a separate external program file for changing the executable file. 컴퓨터 장치가 포함하는 적어도 하나의 프로세서에 의해 수행되는 실행 가능 파일 보호 방법에 있어서,
실행 가능 파일의 실행에 따라 상기 컴퓨터 장치의 메모리에 적재된 상기 실행 가능 파일의 내용에 대한 메모리 공간 중 보호를 위해 난독화된 내용이 적재된 보호 메모리 공간을 식별하는 단계;
별도의 힙 메모리(heap memory)를 할당하는 단계;
상기 보호 메모리 공간의 난독화된 내용을 복호화하여 상기 할당된 힙 메모리에 복사하는 단계; 및
메모리에 적재된 상기 실행 가능 파일의 재배치 정보를 이용하여 상기 실행 가능 파일의 내용에 대한 메모리 공간의 주소를 동적으로 수정하는 단계
를 포함하는 실행 가능 파일 보호 방법.A method of protecting executable files performed by at least one processor included in a computer device, the method comprising:
identifying a protected memory space in which obfuscated content is loaded for protection among memory spaces for the content of the executable file loaded in the memory of the computer device according to the execution of the executable file;
allocating a separate heap memory;
decoding the obfuscated contents of the protected memory space and copying it to the allocated heap memory; and
dynamically modifying the address of the memory space for the contents of the executable file by using the relocation information of the executable file loaded in the memory;
Executable file protection methods that include . 제13항에 있어서,
상기 수정하는 단계는,
상기 재배치 정보를 통해 파악되는 재배치 위치가 상기 보호 메모리 공간을 가리키는 경우,
상기 보호 메모리 공간의 시작 위치에서 상기 재배치 정보를 통해 파악되는 재배치 위치의 차이인 제1 오프셋을 계산하는 단계;
상기 힙 메모리의 시작 위치에서 상기 제1 오프셋을 더한 상기 힙 메모리의 제1 위치로 이동하는 단계;
상기 실행 가능 파일의 내용에 대한 메모리 공간의 시작 위치에서 상기 보호 메모리 공간의 시작 위치의 차이인 제2 오프셋을 계산하는 단계; 및
상기 힙 메모리의 시작 위치에서 상기 제2 오프셋을 뺀 위치로부터 상기 재배치 정보를 통해 계산된 제1 주소값을 가리키도록 상기 제1 위치에 저장된 제2 주소값을 수정하는 단계
를 포함하는 것을 특징으로 하는 실행 가능 파일 보호 방법.14. The method of claim 13,
The modifying step is
When the relocation location identified through the relocation information points to the protected memory space,
calculating a first offset that is a difference between a relocation location identified through the relocation information from a start location of the protected memory space;
moving from the start position of the heap memory to a first position of the heap memory plus the first offset;
calculating a second offset that is a difference between a start position of the protected memory space and a start position of the memory space for the contents of the executable file; and
modifying a second address value stored in the first location to point to a first address value calculated through the relocation information from a location obtained by subtracting the second offset from the start location of the heap memory
Executable file protection method comprising a. 제13항에 있어서,
상기 수정하는 단계는,
상기 재배치 정보를 통해 파악되는 재배치 위치가 상기 보호 메모리 공간을 가리키지 않는 경우,
상기 보호 메모리 공간의 시작 위치에서 상기 재배치 정보를 통해 파악되는 재배치 위치의 차이인 제1 오프셋을 계산하는 단계;
상기 힙 메모리의 시작 위치에서 상기 제1 오프셋을 더한 상기 힙 메모리의 제1 위치로 이동하는 단계; 및
상기 재배치 위치가 가리키는 위치의 제1 주소값을 가리키도록 상기 제1 위치에 저장된 제2 주소값을 수정하는 단계
를 포함하는 것을 특징으로 하는 실행 가능 파일 보호 방법.14. The method of claim 13,
The modifying step is
When the relocation location identified through the relocation information does not point to the protected memory space,
calculating a first offset that is a difference between a relocation location identified through the relocation information from a start location of the protected memory space;
moving from the start position of the heap memory to a first position of the heap memory plus the first offset; and
modifying the second address value stored in the first location to point to the first address value of the location pointed to by the relocation location;
Executable file protection method comprising a. 제13항에 있어서,
상기 수정하는 단계는,
상기 재배치 정보를 통해 파악되는 재배치 위치가 상기 보호 메모리 공간을 가리키지 않는 경우, 상기 실행 가능 파일의 내용에 대한 메모리 공간의 시작 위치로부터 상기 재배치 정보를 통해 계산된 주소값에 기초하여 상기 재배치 위치에 저장된 주소값을 수정하는 단계
를 포함하는 것을 특징으로 하는 실행 가능 파일 보호 방법.14. The method of claim 13,
The modifying step is
When the relocation location determined through the relocation information does not point to the protected memory space, based on the address value calculated through the relocation information from the start location of the memory space for the contents of the executable file, to the relocation location Steps to edit the stored address value
Executable file protection method comprising a. 제16항에 있어서,
상기 재배치 위치에 저장된 주소값을 수정하는 단계는,
상기 계산된 주소값이 상기 보호 메모리 공간을 가리키지 않는 경우, 상기 계산된 주소값을 가리키도록 상기 재배치 위치에 저장된 주소값을 수정하는 단계; 및
상기 계산된 주소값이 상기 보호 메모리 공간을 가리키는 경우, 상기 보호 메모리 공간의 시작 위치에서 상기 계산된 주소값의 차이만큼의 오프셋을 계산하고, 상기 힙 메모리의 시작 위치에서 상기 계산된 오프셋을 더한 주소값으로 상기 재배치 위치에 저장된 주소값을 수정하는 단계
를 포함하는 것을 특징으로 하는 실행 가능 파일 보호 방법.17. The method of claim 16,
The step of modifying the address value stored in the relocation location comprises:
if the calculated address value does not point to the protected memory space, modifying the address value stored in the relocation location to point to the calculated address value; and
When the calculated address value points to the protected memory space, an address obtained by calculating an offset equal to the difference between the calculated address values from the start position of the protected memory space and adding the calculated offset from the start position of the heap memory modifying the address value stored in the relocation location with a value
Executable file protection method comprising a. 제13항 내지 제17항 어느 한 항의 방법을 컴퓨터 장치에 실행시키기 위한 컴퓨터 프로그램이 기록되어 있는 컴퓨터 판독 가능한 기록매체.A computer-readable recording medium in which a computer program for executing the method of any one of claims 13 to 17 in a computer device is recorded.
KR1020217026454A 2019-03-28 2019-03-28 Method and system for protecting executable files using heap memory KR20210133961A (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/KR2019/003618 WO2020196959A1 (en) 2019-03-28 2019-03-28 Method and system for protecting executable file by using heap memory

Publications (1)

Publication Number Publication Date
KR20210133961A true KR20210133961A (en) 2021-11-08

Family

ID=72611577

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020217026454A KR20210133961A (en) 2019-03-28 2019-03-28 Method and system for protecting executable files using heap memory

Country Status (3)

Country Link
JP (1) JP7320071B2 (en)
KR (1) KR20210133961A (en)
WO (1) WO2020196959A1 (en)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4042280B2 (en) * 1999-12-21 2008-02-06 富士ゼロックス株式会社 Execution program generation method and execution program generation apparatus, execution program execution method, and computer-readable program storage medium
JP2009258772A (en) * 2006-08-09 2009-11-05 Panasonic Corp Application execution device
US9117094B2 (en) * 2008-10-29 2015-08-25 Microsoft Technology Licensing, Llc Data location obfuscation
US20150227414A1 (en) * 2012-08-31 2015-08-13 Pradeep Varma Systems And Methods Of Memory And Access Management
US9268677B2 (en) * 2012-10-24 2016-02-23 Apple Inc. Dynamic obfuscation of heap memory allocations
JP6083348B2 (en) * 2013-07-31 2017-02-22 株式会社ソシオネクスト Program execution method and decoding apparatus
KR101753811B1 (en) * 2016-12-14 2017-07-19 올댓소프트 코. Application code self modification apparatus using dynamically allocated memory and method for self modification of application code using the application code self modification apparatus

Also Published As

Publication number Publication date
WO2020196959A1 (en) 2020-10-01
JP2022535320A (en) 2022-08-08
JP7320071B2 (en) 2023-08-02

Similar Documents

Publication Publication Date Title
US10255443B2 (en) Method, apparatus, system and non-transitory computer readable medium for code protection
US10078498B2 (en) Method, apparatus, system, and non-transitory computer readable medium for extending at least one function of a package file
US20190114401A1 (en) On device structure layout randomization for binary code to enhance security through increased entropy
WO2016078130A1 (en) Dynamic loading method for preventing reverse of apk file
US20190095181A1 (en) Easy-To-Use Type Of Compile-Time Dependency Injection Method And Device In The Java Platform
CN106845167A (en) The reinforcement means and device of a kind of APK, and dynamic loading method and device
JP6935617B2 (en) Methods and systems for improving the loading speed of intermediate language files
CN105760721B (en) A kind of software reinforcement method and system
US10205732B2 (en) Method, apparatus, system, and non-transitory medium for protecting a file
US11036852B2 (en) System and method for software diversification
CN113536242A (en) Dynamic library calling method and device, terminal equipment and storage medium
KR101823226B1 (en) Method and system for code protection
US10579374B2 (en) Method for converting application and computing device
CN107209815A (en) For using the method for returning to the Code obfuscation for being oriented to programming
KR20210133961A (en) Method and system for protecting executable files using heap memory
KR20200017120A (en) Method and system for protecting code using code spraying
KR20210154017A (en) Method and system for protecting file using class dispersion and sequential memory loading
KR20190035244A (en) Screen leak prevention program and screen leak prevention service providing method for injecting watermark into captured data
CN113220314A (en) APP resource loading and APK generation method, device, equipment and medium
KR102677540B1 (en) Method and system for protecting native libraries
KR101771348B1 (en) Method and system for packing package file
JP7348701B2 (en) Methods and systems for loading executable images into memory
KR20210000398A (en) Method and apparatus for releasing obfunscation
KR20200017121A (en) Method and system for protecting code using onetime code
KR20200017122A (en) Method and system for protecting code using verifying code chain

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal