More documents

Recommendations

Info

시간 기반 키 생성 방식을 이용한 안티 디버깅 기법 in conditional method. We also introduce scheme that setting scope of the execution time by shift operation instead of simply induce the value of the key by specific area of the program’s execution time. It can set a range of run-time errors can be occurred by system hardware so scheme can be applied flexibly in the various environments. Keywords : anti-debugging, dynamic analysis, time-based, hash function, code encryption 1. 서론 프로그램 실행 시 동적 분석을 가능하게 하는 디버깅 도구는 소프트웨어의 개발 과정에서 오류 나 버그를 찾아 보완하는데 필수적인 도구이다. 이러한 디버깅 도구는 프로그램의 취약성을 발견 이나 지적재산권이 포함된 알고리즘과 같은 프로그램 내부의 비밀 정보 추출과 같은 악의적인 역 공학 도구로 악용될 수 있다. 이와 같이 발견된 취약성은 주로 시스템 권한 상승과 같은 공격에 이용될 수 있으며, 프로그램 내부에 포함된 비밀 정보 추출은 소프트웨어 지적 재산권 침해에 악 용될 수 있다. 소프트웨어 보호 방법으로 코드 난독화, 코드 암호화, 코드 변조 방지 기술과 같은 방법들이 제 안되고 있다. 이와 같은 방법들은 코드의 본래 기능성은 유지하면서 코드를 의미 없는 코드로 변 환시키거나 복잡하게 만들어서 정적 분석을 어렵게 할 수 있지만 디버거를 이용해서 실행 시간 동 안의 프로그램의 동작 행위를 분석하는 동적 분석까지는 방어하기 어렵다[3]. 이에 대한 대응책으 로 안티 디버깅 기법이 있다. 안티 디버깅은 디버깅 도구들을 이용해 공격자가 동적 분석을 하려 고 할 때 디버거를 탐지하고, 디버거 발견 시 디버거를 무력화 시킬 수 있는 기술이다[2][3]. 기존 의 안티 디버깅 기법[1][6]들은 디버거 탐지 방법 중심으로 연구되어 왔다. Window에서 제공하는 디버거 탐지 방법은 API 형태로 제공된다[11]. 제공된 라이브러리 Win32에 있는 함수를 호출하여 시스템 정보를 검사해서 돌려받는 리턴 값을 비교하여 디버깅이 첨부되었는지 판단한다. 이렇게 조건문 응답 방식으로 구현되어 있는 방식은 리턴 값을 조작하거나 점프 구문을 통해 우회 공격이 용이하다. 본 논문에서는 시간 기반 키 생성 방식을 통한 우회 공격을 어렵게 하는 안티 디버깅 기법을 제안한다. 프로세스 실행 시간을 키 값으로 사용하면 실행 환경에 따라 변하는 키 값으로 제대로 복호화가 되지 않는다. 다양한 실행 환경에 맞게 실행 시간의 유효 범위를 주기 위해서 시프트 연 산을 사용한다. 시프트 연산을 통하여 실행 지연 시간이 오차 범위 내에서는 실행 시간의 차분 값 이 0이 나오게 하고, 실행 지연 시간이 오차 범위 밖에서는 실행 시간의 차분 값이 다른 값이 되 게 만든다. 그리고 0의 노출을 막기 위해서 특정 영역을 0과 같이 패치하여 해시함수를 취한 값을 키 값으로 생성하였고 키 값으로 쓰인 특정 영역이 변조되면 해시함수의 특성에 따라 무결성을 보 장해준다. 사전에 정해 놓은 영역의 실행 시간차가 오차 범위 내에 있으면 정당한 키가 생성 된다. 하지만 실행 시간차가 오차 범위를 넘어서면(즉, 디버거가 첨부 되었을 때) 다른 키 값이 형성된 다. 올바르지 않은 키 값으로 복호화 하면 자가 변조된 코드영역은 비정상적으로 생성 되어서 그 292
보안공학연구논문지 (Journal of Security Engineering), 제 10권 제 3호 2013년 6월 로 인한 오류가 발생한다. 그리고 시간 기반 키 생성 방식을 기존 변조 방지 코드 암호화 기법 [5] 이나 명령어 자가 변조 기법[9]에 적용하여 개선하였다. 본 논문의 구성은 다음과 같다. 2장에서는 배경 지식과 관련 연구들을 설명하고, 3장에서는 프 로세스 실행 중에 실행 시간과 실행 코드의 특정 영역을 이용하여 키 생성하는 방법과 적용 기법 을 기술한다. 그리고 기존 기법들을 개선하는 방식을 소개한다. 4장에서는 개선된 기법을 보안 분 석 하고 마지막 5장은 결론을 설명한다. 2. 배경지식 및 관련연구 2.1 안티 디버깅 기술 이 장에서는 API기반 탐지, 예외처리 기반 탐지, 시간 기반 탐지에 따른 안티 디버깅 기술[1][6] 을 소개한다. 2.1.1 API(Application Program Interface) 기반 탐지 마이크로소프트사가 제공하는 WIN 32 라이브러리 함수 호출을 이용하여 시스템 정보를 검사하 여 디버거의 존재를 확인하고 대응한다. [표 1] 안티 디버깅 기법 [Table 1] Anti-debugging techniques 안티 디버깅 기법 IsDebuggerPresent NTGlobalFlags CheckRemoteDebuggerPresent FindWindow Heap flags OutputDebugString 설명 PEB(Process Environment Block) 구조체의 디버깅 상태 값을 확 인 디버깅 시 1, 아니면 0을 리턴 PEB 구조체의 0x68에 위치한 값을 확인 정상이면 0, 디버깅 시 다른 값 리턴 BeingDebugged flag에 대한 목표 프로세스의 PEB를 검사 디버깅 시 pbDebuggerPresent 변수가 0xfffffff FindWindow 함수를 호출하여 특정 윈도우 이름이나 클래스 이름 을 찾아 프로그램이 실행중인지 검사 PEB 구조체의 0x18에 위치해 있는 Heap flags를 검사 정상이면 2, 디버깅 시 다른 값 리턴 kernel32에 위치에 있는 GetLastError 함수를 호출하여 검사 디버깅 시 0 리턴 2.1.2 예외처리(exception) 기반 탐지 예외처리 기반 탐지 방법은 인터럽트(interrupt) 수행 중 같은 인터럽트 코드를 만났을 때 예외 처리를 하지 않는 경우 디버깅 중으로 판단한다. 대표적인 방법인 INT 3(0xCC) 예외처리는 연산 코드(operation code) 0xCC에 의해 수행된다. 293
Page 1: 보안공학연구논문지 (Journa
Page 5 and 6: 보안공학연구논문지 (Journa

ìê° ê¸°ë° í¤ ìì± ë°©ìì ì´ì©í ìí° ëë²ê¹ ê¸°ë² - SERSC

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

ìê° ê¸°ë° í¤ ìì± ë°©ìì ì´ì©í ìí° ëë²ê¹ ê¸°ë² - SERSC