최신 버전의 Themida가 보이는 정규화가 어려운 API 난독화 분석방안 연구

Vol. 29, No. 6, pp. 1375-1382, 12월. 2019
10.13089/JKIISC.2019.29.6.1375, Full Text:
Keywords: Themida, API wrapping, Unpacking
Abstract

최근 상용 프로텍터인 Themida의 최신 버전이 업데이트되면서, 추적할 초기 데이터를 제공하는 가상 메모리 할당을 사용하지 않도록 변경해 기존 연구의 정규화된 대응방안을 적용할 수 없게 되었다. 또한, 실행 중에 결정되는 값이 많아 동적으로 추적하기 수월했던 기존의 버전에 비해, 프로텍터를 적용하는 시점에 결정된 고정값이 많아 동적으로 추적하는데 어려움이 생겼다. API 난독화 과정을 정규화하기 어려워지도록 최신 버전의 Themida가 어떤 방식을채용했는지 알아보고, 이를 해제하는 자동화된 시스템을 추후 개발하기 위해 어떠한 기술을 적용할 수 있을지 가능성을 검토해 본다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
이재휘, 이병희 and 조상현, "A Study on the Analysis Method to API Wrapping that Difficult to Normalize in the Latest Version of Themida," Journal of The Korea Institute of Information Security and Cryptology, vol. 29, no. 6, pp. 1375-1382, 2019. DOI: 10.13089/JKIISC.2019.29.6.1375.

[ACM Style]
이재휘, 이병희, and 조상현. 2019. A Study on the Analysis Method to API Wrapping that Difficult to Normalize in the Latest Version of Themida. Journal of The Korea Institute of Information Security and Cryptology, 29, 6, (2019), 1375-1382. DOI: 10.13089/JKIISC.2019.29.6.1375.