프로그램 합성기반 MBA 난독화 해제 도구

• Published in: 정보과학회 컴퓨팅의 실제 논문지 Vol. 28; no. 9; pp. 480 - 485
• Main Authors: 강서연(Seoyeon Kang), 김정우(Jeongwoo Kim), 양종환(Jonghwan Yang), 조은선(Eun-Sun Cho)
• Format: Journal Article
• Language: Korean
• Published: Korean Institute of Information Scientists and Engineers 01.09.2022; 한국정보과학회
• Subjects: 컴퓨터학; deobfuscation; 프로그램 합성; 난독화; 역난독화; program synthesis; MBA expressions; MBA 표현식; obfuscation
• ISSN: 2383-6318; 2383-6326
• DOI: 10.5626/KTCP.2022.28.9.480

프로그램 난독화는 코드를 변환시켜서, 동일한 의미를 가지면서 읽기 어렵게 만든다. 공격자들은 악성코드가 분석되지 않게 만들기 위해 난독화를 사용한다. 난독화 기술 중 산술 연산과 부울 연산을 혼합하여 복잡하게 변환하는 MBA 난독화를 해제하기 위하여 프로그램 합성을 도입하는 연구가 최근 발표되고 있다. 본 연구에서는 기존의 여러 MBA 난독화 해제 도구의 장점을 전략적으로 활용하는 합성기반 MBA 난독화 해제 도구 PLASynth를 소개한다. PLASynth는 여러 합성기반 MBA 간소화 도구를 실험을 통해 분석하고 이를 효과적으로 결합하여 더욱 성능이 우수한 난독화 해제 결과를 내는 것을 목표로 한다. 이를 위해 단순하게 결합하는 대신 기존 도구의 특성을 분석하였고 재탐색 기법 등을 통해서 조작하는 개선된 알고리즘을 적용한다. MBA 표현식 데이터 셋에 여러 단순화 도구를 적용하고 비교한 결과, PLASynth가 정답률이 높으며 길이 감소율이 우수함을 확인하였다. Program obfuscation aims to make the original code hard to analyze while the semantics remain the same. Among the various obfuscation techniques, Mixed Boolean and Arithmetic (MBA) obfuscation, which mixes arithmetic and Boolean operations in an expression, is often considered hard to solve. In this paper, we introduce PLASynth, a synthesis-based MBA deobfuscation tool that strategically utilizes the strengths of several existing MBA deobfuscation tools. PLASynth aims to experimentally analyze and effectively combine multiple synthesis-based MBA simplification tools to produce better deobfuscation performance results. This is done with an improved algorithm by analyzing, manipulating the characteristics of the existing tools, and combining restart strategies rather than simply attaching the existing tools. We compared the results of applying various simplification tools to the MBA expression dataset and confirmed that PLASynth had a high rate of correct answers and excellent length reduction. KCI Citation Count: 0