코드 가상화 기법이 적용된 악성코드 분석방법 연구

제 1 장 서 론

제 2 장 코드 가상화 관련 도구 소개 및 기능 요약
제 1 절 코드 가상화 기술 정의
제 2 절 코드 가상화 관련 도구
1. Themida
2. Code Virtualizer
3. VMProtect

제 3 장 코드 가상화 기술 관련 연구 동향
제 1 절 분석 방지 기술 동향
1. 코드 난독화 기술
2. 안티 디버깅 기술
3. 시스템 콜 API 분석 방해
4. 가상화 머신 탐지 기술
제 2 절 국외 연구 동향
1. Deobfuscation of Virtualization-Obfuscated Software
2. Defeating polymorphism : beyond emulation
3. Automatic Reverse Engineering of Malware Emulators
4. unpack virtualization obfuscators

제 4 장 프로텍션의 기타 분석 방해 기술
제 1 절 프로텍션 도구의 기술 분석
1. Themida의 난독화 기술 분석
가. API Wrapping
나. Resource Encryption
다. Anti Patching
라. Anti Debugging
마. Application Encryption
바. 가상화 머신 탐지
사. Monitor Blockers
아. Hide from PE scanners (Type 5)
자. Metamorph Secuirty
차. Entrypoint Obfuscation
2. VMProtect의 난독화 기술 분석
가. Memory Protection
나. Import Protection
다. Pack the output file
라. Debugger Detection

제 5 장 상용 프로텍터의 코드 가상화 기술 분석
제 1 절 Code Virtualizer
1. Inside Code Virtualizer (code virtualizer demo 1.0.1.0)
제 2 절 Themida 코드 가상화 기술 분석
1. Themida 1.9.1 (분석 문서)
2. Themida 2.1.8 Virtual Machine - Entrypoint Obfuscation 기술 적용 시
3. Themida 2.1.8 Virtual Machine –VM Macro 이용하여 소스코드에 가상화 기술을 적용 시
제 3 절 VMProtect 코드 가상화 기술 분석
1. VMProtect 1.5.1 (분석 문서)
2. VMProtect 2.04.7 (자체 분석)

제 6 장 코드 가상화가 적용된 악성코드 분석을 위한 도구 설계 및 구현
제 1 절 분석도구 설계 및 구현
1. CFG(call Flow Graph) 생성
2. 메인 핸들러 (Fetch-decode-execution 루틴) 탐지
3. 코드 최적화 도구
4. API 분석 도구

제 7 장 API 분석 방법 연구
제 1 절 API 정보 추출 방법 연구
1. Dll에 존재하는 API Breakpoint 설정
2. 실행 흐름을 체크하여 API 분석
제 2 절 API 분석 방법 연구
1. Themida로 난독화 된 어플리케이션의 API 분석

제 8 장 결 론

제 9 장 부 록
제 1 절 제작 도구 소개
제 2 절 OllyDBG 환경 설정
제 3 절 가상화가 적용된 코드 분석