Obfuscating binary executables is an effective technique to protect software copyright because it makes executables hard to analyze by translating original programs into difficult forms to analyze their semantics. By obfuscating a binary executable, it takes much more time to find out meaningful functions from the transformed program than the original one. In recent years, the obfuscation techniques are commonly exploited to protect malwares from vaccine programs and malware analyzers, so obfuscated malwares have become a big threat. Signature based vaccine programs are failed to search obfuscated malwares and analyzers have longer and harder to capture their semantics than before. Especially, it is extremely hard to analyze virtualization-obfuscated malwares based on unusual virtual machines. Using static analysis approaches, it is not possible to figure out the original semantics directly from a virtualization-obfuscated program because it can only analyze the virtual machine of the virtualization-obfuscated program. In other word, the original semantics is mixed with the semantics of the virtual machine. Likewise, it is not easy to apply dynamic analysis, either. Furthermore, virtualization-obfuscation technique can be combined with other obfuscation techniques easily. To confront this threat, we suggest a framework to analyze virtualization-obfuscated programs based on the dynamic analysis. First, we extract the dynamic execution trace of the virtualization-obfuscated executables. Second, we analyze the traces by translating machine instruction sequences into the intermediate representation and extract the virtual machine architecture by constructing dynamic context flow graphs. Finally, we extract abstract semantics of the original program using the extracted virtual machine architecture. We expect that our framework can be used to understand virtualization-obfuscated programs and integrate other program analysis techniques so that it can be applied to analysis of the semantics of original programs using the abstract semantics.

바이너리 실행파일을 난독화 하는 것은 원래의 프로그램을 그 의미를 분석하기 어려운 형태로 변환하기 때문에 소프트웨어의 저작권을 보호 할 수 있는 효과적인 기술이다. 바이너리 실행파일을 난독화 함으로써, 실행파일 내에서 의미있는 정보를 추출하기에 더욱 많은 시간이 소요 될 수 있다. 최근 몇 년 동안, 난독화 기술은 백신 프로그램과 분석가들로 부터 악성코드를 보호하기 위해 악용되어 큰 위협이 되고있다. 시그니처 기반의 백신 프로그램은 난독화된 악성코드를 찾아낼 수 없고 프로그램 분석가들은 그 의미를 찾아내기 위해 이전보다 더욱 많은 시간과 노력을 기울여야 한다. 특히, 임의의 가상머신 기반으로 난독화 된 악성코드는 그 분석이 더욱 어렵다. 정적분석 기법을 이용하면, 오직 가상머신 기반으로 난독화 된 프로그램의 가상머신만 분석할 수 있기 때문에 그 의미를 직접적으로 추출하는 것은 불가능 하다. 한편, 원본 프로그램의 의미는 가상머신의 의미와 섞여있기 때문에 동적분석 방법을 적용하는 것 또한 쉽지않다. 게다가 가상머신 기반의 난독화 기법은 다른 난독화 기법들과 쉽게 혼합하여 사용될 수 있다. 이러한 위협에 대응하기 위하여, 가상머신 기반으로 난독화 된 프로그램을 분석하는 동적분석 기반의 프레임워크를 제안한다. 첫 째, 가상머신 기반으로 난독화 된 실행파일의 동적 실행 트레이스를 추출한다. 둘 째, 동적 실행 트레이스를 중간언어로 변환하고 동적 컨트롤 플로우 그래프를 이용하여 가상머신의 구조를 추출한다. 결과적으로, 추출된 가상머신 구조를 이용하여 원본 프로그램의 요약 의미를 추출한다. 개발 된 프레임워크는 가상머신 기반으로 난독화 된 프로그램을 이해하고 프로그램 분석 기법을 적용하는데 활용될 수 있으며 추출 된 원본 프로그램의 요약 의미를 이용하여 추가적인 분석을 적용할 수 있을 것으로 기대한다.