[go: up one dir, main page]

KR101976992B1 - 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법 - Google Patents

시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법 Download PDF

Info

Publication number
KR101976992B1
KR101976992B1 KR1020180105835A KR20180105835A KR101976992B1 KR 101976992 B1 KR101976992 B1 KR 101976992B1 KR 1020180105835 A KR1020180105835 A KR 1020180105835A KR 20180105835 A KR20180105835 A KR 20180105835A KR 101976992 B1 KR101976992 B1 KR 101976992B1
Authority
KR
South Korea
Prior art keywords
signature
signatures
analysis
technique
string
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020180105835A
Other languages
English (en)
Inventor
이정현
강민구
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Priority to PCT/KR2018/014602 priority Critical patent/WO2020050455A1/ko
Priority to US17/262,745 priority patent/US11934495B2/en
Application granted granted Critical
Publication of KR101976992B1 publication Critical patent/KR101976992B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/14Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/90335Query processing
    • G06F16/90344Query processing by using string matching techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/40Transformation of program code
    • G06F8/41Compilation
    • G06F8/42Syntactic analysis
    • G06F8/427Parsing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/70Software maintenance or management
    • G06F8/75Structural analysis for program understanding

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Stored Programmes (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법에 대한 것이다.
본 발명에 따른 시그니처 추출을 이용한 분석회피기법 자동 인식 장치는 안드로이드에서 실행되는 실행코드를 APK의 형태로 압축하여 포함하고 있는 애플리케이션 파일을 언팩하여 DEX 파일과 ELF 파일을 추출하는 추출부, 상기 추출된 DEX 파일과 ELF 파일을 디컴파일한 후 각각 파싱하여 시그니처를 획득하는 파싱부, 상기 획득한 시그니처를 상기 시그니처의 종류별로 각각 입력받으며, 상기 입력된 시그니처와 데이터베이스에 저장된 시그니처를 비교 분석하여 분석회피기법에 사용된 시그니처를 검출하는 검출부, 그리고 상기 검출된 시그니처로부터 상기 애플리케이션에 적용된 분석회피 기법을 판별하는 판별부를 포함한다.
이와 같이 본 발명에 따르면, 분석회피기법이 적용된 애플리케이션을 자동으로 인식함에 따라 분석하는데 드는 시간을 단축시켜 악성 애플리케이션으로 인해 입는 피해에 대한 적절하고 빠른 대응이 가능하도록 할 수 있다.

Description

시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법{AUTOMATIVE ANTI-ANALYSIS TECHNIQUES RECOGNIZING SCHEME BASED ON SIGNATURE EXTRATION}
본 발명은 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법에 관한 것으로서, 더욱 상세하게는 모바일 환경에서의 분석회피기법의 종류, 방법 및 적용 도구를 인식하는 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법에 관한 것이다.
안드로이드 애플리케이션 시장 성장과 함께 악성애플리케이션 시장도 크게 성장하고 있으며, 악성 애플리케이션에 모바일 코드 보호기법인 분석회피기법들이 악용되고 있다. 이렇게 분석회피기법이 적용된 악성 애플리케이션의 분석을 위해서는 분석회피기법을 인식하는 기술인 분석회피기법 인식 기술이 필요하다.
종래의 분석회피기법 인식 기법들은 모바일 애플리케이션을 대상으로 하는 것이 아닌 PC 환경의 분석회피기법을 인식하는 것에 중점을 두는 경우가 많았기 때문에 모바일 애플리케이션을 분석하는 대에는 분석가의 역량과 노하우에 의존하게 되고 수동으로 많은 시간에 걸쳐 분석회피기법을 인식하여야 했다.
이는 한 달에도 수만 건에 이르는 악성 애플리케이션에 대한 빠른 대응을 불가능하게 만들기 때문에, 분석가의 역량과 노하우에 의존하는 기존의 방법이 아닌 자동으로 모바일 환경에서의 분석회피기법 인식 기법이 필요하다.
모바일 환경에서의 분석회피기법은 크게 안티 루팅 기법, 안티 디버깅 기법, 그리고 안티 에뮬레이터 기법이 대표적이다. 종래의 분석회피기법 인식 기술들은 PC 환경에서 어떠한 분석회피기법이 걸렸는지 인식하는 정도의 기술이다. 이러한 인식 방법은 PC 환경의 분석회피기법의 종류를 인식하는 것은 가능하지만 모바일 환경에서의 분석회피기법에는 사용할 수 없다는 문제를 가지고 있다.
따라서 모바일 환경에서의 분석회피기법을 인식하기 위하여는 분석가가 수동으로 애플리케이션을 분석한 후 인식하여야 하기 때문에 분석에 드는 시간이 매우 오래 걸리게 되어 악성애플리케이션으로부터 입는 피해에 대한 대응이 적절한 시기에 이루어지지 못하는 원인이 되기 때문에 문제가 된다.
분석회피기법이 적용된 소프트웨어는 분석을 위한 환경에서는 정상적으로 동작하지 않기 때문에 일반적이 소프트웨어에 비하여 얻을 수 있는 정보가 매우 적고, 그렇기 때문에 분석회피기법을 인식하고 대처하는 기술이 필요하다.
본 발명의 배경이 되는 기술은 대한민국 공개특허공보 제10-2016-0114037호(2016.10.04 공개)에 개시되어 있다.
본 발명이 이루고자 하는 기술적 과제는 모바일 환경에서의 분석회피기법의 종류, 방법 및 적용 도구를 인식하는 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법을 제공하기 위한 것이다.
이러한 기술적 과제를 이루기 위한 본 발명의 실시예에 따른 모바일 환경에서 애플리케이션에 적용된 분석회피기법을 자동 인식하기 위한 장치에 있어서, 안드로이드에서 실행되는 실행코드를 APK의 형태로 압축하여 포함하고 있는 애플리케이션 파일을 언팩하여 DEX 파일과 ELF 파일을 추출하는 추출부, 상기 추출된 DEX 파일과 ELF 파일을 디컴파일한 후 각각 파싱하여 시그니처를 획득하는 파싱부, 상기 획득한 시그니처를 상기 시그니처의 종류별로 각각 입력받으며, 상기 입력된 시그니처와 데이터베이스에 저장된 시그니처를 비교 분석하여 분석회피기법에 사용된 시그니처를 검출하는 검출부, 그리고 상기 검출된 시그니처로부터 상기 애플리케이션에 적용된 분석회피 기법을 판별하는 판별부를 포함한다.
상기 시그니처는, 문자열 시그니처, API 함수 시그니처, 그리고 바이너리 시그니처를 포함할 수 있다.
상기 파싱부는, 상기 추출된 DEX 파일을 분석하여 상기 DEX 파일에 포함된 하나 이상의 문자열 시그니처를 추출하는 DEX 파싱 모듈, 그리고 상기 추출된 ELF 파일을 분석하여 상기 ELF 파일에 포함된 하나 이상의 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 추출하는 ELF 파싱 모듈를 포함할 수 있다.
상기 검출부는, 상기 DEX 파싱 모듈과 ELF 파싱 모듈로부터 추출된 하나 이상의 문자열 시그니처를 입력받고, 상기 입력된 하나 이상의 문자열 시그니처를 상기 데이터베이스에 저장된 문자열 시그니처와 비교하여 일치하는 문자열 시그니처를 검출하는 문자열 검출모듈, 상기 ELF 파싱 모듈로부터 추출된 하나 이상의 API 함수 시그니처를 입력받고, 상기 입력된 하나 이상의 API 함수 시그니처를 상기 데이터베이스에 저장된 API 함수 시그니처와 비교하여 일치하는 API 함수 시그니처를 검출하는 API 검출모듈, 그리고 상기 ELF 파싱 모듈로부터 추출된 하나 이상의 바이너리 시그니처를 입력받고, 상기 입력된 하나 이상의 바이너리 시그니처를 상기 데이터베이스에 기 저장된 바이너리 시그니처와 비교하여, 일치하는 바이너리 시그니처를 검출하는 바이너리 검출모듈을 포함할 수 있다.
상기 데이터베이스는, 분석회피기법에 사용되는 소스코드에 대응하는 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 저장할 수 있다.
상기 판별부는, 상기 검출된 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 통하여 상기 애플리케이션 파일에 적용된 분석회피기법의 종류 및 도구에 대한 정보를 판별하고, 판별 결과를 사용자가 인식할 수 있는 형태로 변환하여 출력할 수 있다.
상기 판별 결과는 상기 애플리케이션 파일에 적용된 분석회피기법의 종류, 방식 및 도구를 포함하며, 상기 분석회피기법의 종류는, 안티 루팅 기법, 안티 디버깅 기법 그리고 안티 에뮬레이터 기법을 포함하며, 상기 분석회피기법의 방식은, 문자열 방식, API 방식 및 바이너리 방식을 포함하고, 상기 분석회피기법에 적용된 도구는, 모바일 환경에서 어플리케이션 생성 시에 사용된 프로그램을 나타낼 수 있다.
본 발명의 다른 실시예에 따른 모바일 환경에서 분석회피기법 자동 인식 장치를 이용한 분석회피기법을 자동 인식하기 위한 방법에 있어서, 분석회피기법 자동 인식 장치를 통해 애플리케이션을 수신하고, 수신된 애플리케이션에 포함되며 APK의 형태로 압축한 실행코드를 언팩하여 DEX 파일과 ELF 파일을 추출하는 단계, 상기 추출된 DEX 파일과 ELF 파일을 디컴파일한 후 각각 파싱하여 시그니처를 획득하는 단계, 상기 획득한 시그니처를 상기 시그니처의 종류별로 각각 입력받으며, 상기 입력된 시그니처와 데이터베이스에 저장된 시그니처를 비교분석하여 분석회피기법에 사용된 시그니처를 검출하는 단계, 그리고 상기 검출된 시그니처로부터 상기 애플리케이션에 적용된 분석회피 기법을 판별하는 단계를 포함한다.
이와 같이 본 발명에 따르면, 분석회피기법이 적용된 애플리케이션을 자동으로 인식함에 따라 분석하는데 드는 시간을 단축시켜 악성 애플리케이션으로 인해 입는 피해에 대한 적절하고 빠른 대응이 가능하도록 할 수 있다.
또한 본 발명에 따르면 분석회피기법 인식 시 안드로이드의 자바로 작성된 코드뿐 아니라 JNI를 이용하여 네이티브 라이브러리로 작성된 분석회피기법 또한 인식하는 것이 가능하다.
또한 본 발명에 따르면 인식 그 자체로 끝나는 것이 아닌 해당 분석회피기법이 사용한 분석회피기법의 종류, 분석회피기법에 사용된 방법 등, 안드로이드 애플리케이션 분석에 필요한 다양한 정보를 제공한다.
또한 본 발명에 따르면 동적 방법이 아닌 정적 방법을 이용하여 애플리케이션에 적용된 분석회피기법을 인식하는 것으로 직접 애플리케이션을 실행하지 않아도 어떠한 분석회피기법이 적용되어 있는가를 확인할 수 있다.
도 1은 본 발명의 실시예에 따른 시그니처 추출을 이용한 분석회피기법 자동 인식 장치를 나타내는 구성도이다.
도 2는 도 1에 도시된 자동인식장치의 구조를 나타낸 도면이다.
도 3은 본 발명의 실시예에 따른 시그니처 추출을 이용한 분석회피기법 자동 인식 장치를 이용한 인식방법을 나타내는 순서도이다.
도 4는 도 3에 도시된 분석회피기법 자동 인식 방법을 나타낸 도면이다.
이하 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하기로 한다. 이 과정에서 도면에 도시된 선들의 두께나 구성요소의 크기 등은 설명의 명료성과 편의상 과장되게 도시되어 있을 수 있다.
또한 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서, 이는 사용자, 운용자의 의도 또는 관례에 따라 달라질 수 있다. 그러므로 이러한 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
먼저 도 1을 통해 본 발명의 실시예에 따른 시그니처 추출을 이용한 분석회피기법 자동 인식 장치에 대하여 설명한다.
도 1은 본 발명의 실시예에 따른 시그니처 추출을 이용한 분석회피기법 자동 인식 장치를 나타낸 구성도이다.
도 1에 나타낸 바와 같이, 본 발명의 실시예에 따른 분석회피기법 자동 인식 장치(100)는 추출부(110), 파싱부(120), 검출부(130), 판별부(140) 및 데이터베이스(150)을 포함한다.
추출부(110)는 애플리케이션에 포함된 실행코드인DEX 파일과 ELF 파일을 추출한다. 다만, DEX 파일과 ELF 파일은 APK의 형태로 압축되어 있으므로, 추출부(110)는 APK를 언팩하여 DEX 파일과 ELF 파일을 추출한다.
파싱부(120)는 추출부(110)에서 추출된 DEX 파일과 ELF 파일을 디컴파일한 후 각각 파싱하여 시그니처를 획득한다.
상기 시그니처는 문자열 시그니처, API 시그니처 및 바이너리 시그니처를 포함하며, 획득한 시그니처는 검출부(130)에 전달되어 분석회피기법의 적용여부를 판단한다.
검출부(130)는 파싱부(120)에서 추출된 문자열 시그니처, API 시그니처 및 바이너리 시그니처를 입력받으며, 입력된 각각의 시그니처는 데이터베이스(150)에 저장된 시그니처와 비교분석하여 분석회피기법에 사용된 시그니처를 검출한다.
판별부(140)는 검출부(130)에서 검출된 시그니처를 이용하여 애플리케이션에 적용된 분석회피 기법을 판별하고, 판별된 결과는 사용자가 인식할 수 있는 형태로 변환하여 출력된다.
데이터베이스(150)는 대표적인 분석회피기법인 안티 루팅 기법, 안티 디버깅 기법 및 안티 에뮬레이터 기법에 반드시 사용되는 시그니처를 수집하여 저장한다.
도 2는 도 1에 도시된 자동인식장치의 구조를 나타낸 도면이다.
도 2에 나타낸 바와 같이, 본 발명이 실시예에 따른 분석회피기법 자동 인식 장치(100)는 애플리케이션을 수신하여 분석회피기법이 적용되었는지 여부를 자동으로 인식한다. 한편, 분석회피기법 자동 인식 장치(100)에 수신된 애플리케이션은 실행여부와 상관없이 분석회피기법을 인식할 수 있으므로, 분석회피기법 자동 인식 장치(100)는 애플리케이션의 분석회피기법 적용 여부를 정적 또는 동적인 상태에서 분석이 가능하다.
따라서, 추출부(110)는 분석회피기법의 적용여부를 모르는 애플리케이션을 수신하고, 수신된 애플리케이션에 포함된 실행코드를 언팩한다.
안드로이드의 애플리케이션은 .dex, .xml 등의 파일들을.apk(android application package)로 압축한 형태이다.
따라서, 추출부(110)는 압출된 APK 파일을 ZIP 확장자로 변경한 후 압축을 해제하고, 압축이 해제된 APK로부터 classes.dex 파일 및 공유 라이브러리 파일(shared library file)을 획득한다.
추출부(110)는 획득된 복수의 파일 중에서 안드로이드 실행코드인 DEX 파일과 ELF 파일을 추출한다.
파싱부(120)는 추출된 실행코드인 DEX 파일과 ELF 파일로부터 분석회피기법 인식에 필요한 시그니처를 얻기 위해 실행코드를 파싱한다.
안드로이드의 실행코드인 DEX 파일과 ELF 파일에는 복수의 정보를 포함하고 있으며, 복수의 정보는 각 소스마다 사용하는 API, 함수, 필드값 및 스트링을 포함한다.
따라서, 파싱부(120)는 DEX 파일과 ELF 파일을 각각 파싱하기 위해 DEX 파싱모듈(121)과 ELF 파싱모듈(122)을 더 포함한다.
DEX 파싱모듈(121)은 DEX 파일을 파싱하는 것으로, DEX 파일로부터 하나 이상의 스트링 즉, 문자열 시그니처를 추출한다.
ELF 파싱모듈(122)은 ELF 파일을 파싱하는 것으로, ELF 파일로부터 하나 이상의 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 추출한다
상기와 같이, DEX 파싱모듈(121)과 ELF 파싱모듈(122)에서 추출된 시그니처는 분석회피기법의 대표적인 기법인 안티 루팅 기법, 안티 디버깅 기법 그리고 안티 에뮬레이터 기법을 인식하기 위한 것이다.
따라서, 파싱부(120)는 추출된 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 검출부(130)에 송신하고, 시그니처를 수신한 검출부(130)는 데이터베이스(150)에 저장된 시그니처와 비교 분석하여 분석회피기법에 사용된 시그니처를 검출한다.
검출부(130)는 DEX 파싱모듈(121)과 ELF 파싱모듈(122)로부터 시그니처를 수신 받으며, 수신된 시그니처는 종류에 따라 분류되어 각각의 검출모듈에 전달된다.
따라서, 검출부(130)는 문자열 시그니처를 수신받는 문자열 검출모듈(131)과, API 시그니처를 수신받는 API 검출모듈(132) 그리고, 바이너리 시그니처를 수신받는 바이너리 검출모듈(133)을 포함한다.
문자열 검출모듈(131)은 DEX 파싱모듈(121)과 ELF 파싱모듈(122)에서 각각 추출된 하나 이상의 시그니처를 수신하고, 수신된 하나 이상의 시그니처와 데이터베이스(150)에 저장된 문자열 시그니처를 서로 비교 판단한다.
이때, 하나 이상의 문자열 시그니처 중에서 어느 하나의 문자열 시그니처가 데이터베이스(150)에 저장된 시그니처와 동일한 것으로 판단되면, 검출부(130)는 동일한 문자열 시그니처를 검출하여 판별부(140)에 송신한다.
API 검출모듈(132)은 ELF 파싱모듈(122)로부터 API 함수 시그니처를 수신하고, 수신된 API 함수 시그니처와 데이터베이스(150)에 저장된 시그니처를 비교 판단한다.
이를 다시 설명하면, API 검출모듈(132)은 ELF 파싱모듈(122)로부터 추출된 하나 이상의 API 함수 시그니처를 입력받으며, 하나 이상의 API 함수 시그니처를 입력 받은 API 검출모듈(132)은 데이터베이스(150)에 저장된 API 함수 시그니처와 비교하여 동일한 API 함수 시그니처를 검출한다.
API 함수 시그니처에 대한 검출이 완료되면, API 검출모듈(132)은 판별부(140)에 검출된 API 함수 시그니처를 송신한다.
바이너리 검출모듈(133)은 ELF 파싱모듈(122)로부터 하나 이사의 바이너리 시그니처를 수신하고, 수신된 하나 이상의 바이너리 시그니처와 데이터베이스(150)에 저장된 시그니처를 비교하여 동일한 바이너리 시그니처를 검출한다.
바이너리 검출모듈(113)에서 검출된 바이너리 시그니처는 판별부(140)에 전달된다.
판별부(140)는 검출부(130)에서 검출된 시그니처를 수신하고, 수신된 시그니처를 사용자가 인식할 수 있는 형태로 변환하여 출력한다.
이하에서는 도 3 및 도 4를 이용하여 본 발명의 실시예에 따른 모바일 환경에서 분석회피기법 자동 인식 장치를 이용한 분석회피기법을 자동 인식하기 위한 방법에 대하여 더욱 상세하게 설명한다.
도 3은 본 발명의 실시예에 따른 분석회피기법 자동 인식 장치를 이용한 인식방법을 나타내는 순서도이고, 도 4는 도 3에 도시된 분석회피기법 자동 인식 방법을 나타낸 도면이다.
도 3에 나타난 바와 같이, 본 발명의 실시예에 따르면 분석회피기법 자동 인식 장치(100)에 포함된 추출부(110)는 분석회피기법이 적용되었는지를 판단하고자 하는 애플리케이션을 수신한다(S310).
수신된 애플리케이션은 모바일 환경에서 실행이 된 상태일 수도 있고, 실행되지 않은 상태일 수도 있다.
애플리케이션을 수신한 추출부(100)는 안드로이드에서 실행되는 실행코드를 추출한다.
이때, 실행코드는 APK의 형태로 압출되어 있으므로, 먼저, 추출부(100)는 APK를 언팩하여 DEX 파일과 ELF 파일을 추출한다(S320).
추출된 DEX 파일과 ELF 파일은 각각 많은 정보를 포함하고 있으므로, DEX 파일과 ELF 파일에 포함하고 있는 시그니처를 추출하기 위하여 추출부(110)는 추출된 DEX 파일과 ELF 파일을 파싱부(120)에 전달한다.
DEX 파일과 ELF 파일을 전달받은 파싱부(120)는 DEX 파일을 파싱할 수 있는 DEX 파싱모듈(121)과 ELF 파일을 파싱할 수 있는 ELF 파싱모듈(122)에 각각 분류하여 전달한다.
따라서, DEX 파싱모듈(121)과 ELF 파싱모듈(122)은 DEX 파일과 ELF 파일을 각각 전달받아 파싱하여 각각의 시그니처를 추출한다(S330).
이를 다시 설명하면, DEX 파싱모듈(121)에 수신된 DEX 파일을 디컴파일한 후 파싱하여 하나 이상의 문자열 시그니처를 추출한다.
추출된 문자열 시그니처는 도 4에 나타낸 바와 같이, "hello world", "Lcom/msec/exam", "detect_debug" 와 같은 문자열을 추출한다.
추출된 문자열은 의미가 있는 것일 수도 있고 의미가 없는 것일 수도 있다. 따라서, DEX 파싱모듈(121)는 의미가 있는 문자열을 복수개 이상 추출하여 검출부(130)에 전달한다.
한편, ELF 파싱모듈(122)은 수신된 ELF 파일을 디컴파일한 후 파싱하여 하나 이상의 문자열 시그니처, 하나 이상의 API 함수 시그니처 그리고 하나 이상의 바이너리 시그니처를 추출한다.
예를 들면, ELF 파싱모듈(122)은 ELF 파일을 파싱하여"/system/bin/su", "/system/xbin/su", "ro.build.tag", isrooting, 21 00 3C 20 F3 2C, detect_debugger, F3 2C 21 0C 3C E0를 추출한다.
상기와 같이 파싱부(120)에서 추출된 시그니처는 검출부(130)에 전달되며, 시그니처를 전달받은 검출부(130)는 시그니처의 종류별로 각각 분류하여 해당되는 검출모듈(131,132,133)에 전달한다(S340).
즉, 검출부(130)는 파싱부(120)로부터 전달받은 시그니처가 문자열 시그니처일 경우에는 문자열 시그니처를 문자열 검출모듈(131)에 입력하고, 파싱부(120)로부터 전달받은 시그니처가 API 함수 시그니처일 경우에는 API 함수 시그니처를 API 검출모듈(132)에 입력하며, 파싱부(120)로부터 전달받은 시그니처가 바이너리 시그니처일 경우에는 바이너리 시그니처를 바이너리 검출모듈(133)에 입력한다.
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
따라서, 문자열 검출모듈(131)은 DEX 파싱모듈(121)에서 추출한 "hello world", "Lcom/msec/exam", "detect_debug"를 포함하는 문자열 시그니처와, ELF 파싱모듈(122)에서 추출한 "/system/bin/su", "/system/xbin/su", "ro.build.tag"를 포함하는 문자열 시그니처를 입력 받는다.
또한, API 검출모듈(132)은 ELF 파싱모듈(122)에서 추출한 isrooting, detect_debugger를 포함하는 API함수 시그니처를 입력받고, 바이너리 검출모듈(133)은 ELF 파싱모듈(122)에서 추출한 21 00 3C 20 F3 2C, F3 2C 21 0C 3C E0를 포함하는 바이너리 시그니처를 입력받는다.
상기와 같이, 시그니처를 종류에 따라 분류되어 입력받은 검출부(130)는 데이터베이스(150)에 저장된 시그니처와 비교분석한다(S350).
따라서, 검출부(130)는 입력된 시그니처와 데이터베이스에 저장된 시그니처를 비교하여 분석회피기법에 적용여부를 판단한다.
이를 상세하게 설명하면, 예를 들면, 데이터베이스(150)에 안티 디버깅 기법에 반드시 사용되는 문자열 시그니처인 "detect_debug"가 저장되었다고 가정한다. 그러면, 문자열 검출모듈(131)은 입력받은 문자열 시그니처 즉, "hello world", "Lcom/msec/exam", "detect_debug", "/system/bin/su", "/system/xbin/su", "ro.build.tag"를 데이터베이스(150)에 저장된 문자열 시그니처와 비교하여 동일한 문자열 시그니처인 "detect_debug"를 검출한다.
또한, 데이터베이스(150)에 안티 루팅 기법에 반드시 사용되는 API 함수 시그니인 isrooting 이 저장되었다고 가정한 상태에서, API 검출모듈(132)은 입력받은 API 함수 시그니처인 isrooting과 detect_debugger를 데이터베이스(150)에 저장된 API함수 시그니처와 비교하여 동일한 API함수 시그니처인 isrooting를 검출한다.
또한, 데이터베이스(150)에 안티 에뮬레이터 기법에 반드시 사용되는 바이너리 시그니처인 "21 00 3C 20 F3 2C"가 저장되었다고 가정한다. 그러면, 바이너리 검출모듈(133)은 입력받은 바이너리 시그니처인 "21 00 3C 20 F3 2C" 와 "F3 2C 21 0C 3C E0"를 데이터베이스(150)에 저장된 바이너리 시그니처와 비교하여 동일한 바이너리 시그니처인 "21 00 3C 20 F3 2C" 를 검출한다.
상기와 같이 검출부(130)에서 검출된 시그니처는 판별부(140)에 전달되고, 검출된 시그니처를 전달받은 판별부(140)는 분석회피기법을 인식할 수 있는 시그니처에 대한 정보를 사용자가 인식할 수 있는 형태로 변환하여 출력한다(S360).
따라서, 판별부(140)는 검출된 시그니처를 통해 분석회피기법의 종류, 방식, 적용된 도구 등에 대한 정보를 사용자에게 제공한다.
예를 들어, 상기에 기재한 바와 같이 검출부(130)가 "detect_debug", isrooting 및 "21 00 3C 20 F3 2C"를 포함하는 시그니처가 검출하였다고 가정하면, 판별부(140)는 검출된 시그니처를 이용하여 안티 루팅 기법, 안티 디버깅 기법 그리고 안티 에뮬레이터 기법이 모두 적용되었다는 결과를 출력한다.
따라서, 본 발명의 실시예에 따르면, 분석회피기법이 적용된 애플리케이션을 자동으로 인식함에 따라 분석하는데 드는 시간을 단축시켜 악성 애플리케이션으로 인해 입는 피해에 대한 적절하고 빠른 대응이 가능한 효과를 지닌다.
또한, 본 발명의 실시예에 따르면, 분석회피기법 인식 시 안드로이드의 자바로 작성된 코드뿐 아니라 JNI를 이용하여 네이티브 라이브러리로 작성된 분석회피기법 또한 인식하는 것이 가능하며, 분석회피기법에 대한 인식 그 자체로 끝나는 것이 아닌 해당 분석회피기법이 사용한 분석회피기법의 종류, 분석회피기법에 사용된 방법 등, 안드로이드 애플리케이션 분석에 필요한 다양한 정보를 제공하는 효과를 도모할 수 있다.
또한, 본 발명의 실시예에 따르면, 동적 방법이 아닌 정적 방법을 이용하여 애플리케이션에 적용된 분석회피기법을 인식하는 것으로 직접 애플리케이션을 실행하지 않아도 어떠한 분석회피기법이 적용되어 있는가를 확인할 수 있다.
본 발명은 도면에 도시된 실시예를 참고로 하여 설명되었으나 이는 예시적인 것에 불과하며, 당해 기술이 속하는 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 아래의 특허청구범위의 기술적 사상에 의하여 정해져야 할 것이다.
100 : 분석회피기법 자동 인식 장치
110 : 추출부
120 : 파싱부
121 : DEX 파싱모듈
122 : ELF 파싱모듈
130 : 검출부
131 : 문자열 검출모듈
132 : API함수 검출모듈
133 : 바이너리 검출모듈
140 : 판별부
150 : 데이터베이스

Claims (14)

  1. 모바일 환경에서 애플리케이션에 적용된 분석회피기법을 자동 인식하기 위한 장치에 있어서,
    안드로이드에서 실행되는 실행코드를 APK의 형태로 압축하여 포함하고 있는 애플리케이션 파일을 언팩하여 DEX 파일과 ELF 파일을 추출하는 추출부,
    상기 DEX 파일을 디컴파일한 후 파싱하는 DEX 파싱모듈과 ELF 파일을 디컴파일한 후 파싱하는 ELF 파싱 모듈을 포함하며, DEX 파싱모듈과 ELF 파싱 모듈로부터 문자열 시그니처, API 함수 시그니처, 그리고 바이너리 시그니처를 획득하는 파싱부,
    상기 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 입력받으며, 상기 입력된 시그니처와 데이터베이스에 저장된 시그니처를 비교 분석하여 분석회피기법에 사용된 시그니처를 검출하는 검출부, 그리고
    상기 검출된 시그니처로부터 상기 애플리케이션에 적용된 분석회피 기법을 판별하는 판별부를 포함하며,
    상기 검출부는,
    상기 DEX 파싱 모듈과 ELF 파싱 모듈로부터 추출된 하나 이상의 문자열 시그니처를 입력받고, 상기 입력된 하나 이상의 문자열 시그니처를 상기 데이터베이스에 저장된 문자열 시그니처와 비교하여 일치하는 문자열 시그니처를 검출하는 문자열 검출모듈,
    상기 ELF 파싱 모듈로부터 추출된 하나 이상의 API 함수 시그니처를 입력받고, 상기 입력된 하나 이상의 API 함수 시그니처를 상기 데이터베이스에 저장된 API 함수 시그니처와 비교하여 일치하는 API 함수 시그니처를 검출하는 API 검출모듈, 그리고
    상기 ELF 파싱 모듈로부터 추출된 하나 이상의 바이너리 시그니처를 입력받고, 상기 입력된 하나 이상의 바이너리 시그니처를 상기 데이터베이스에 기 저장된 바이너리 시그니처와 비교하여, 일치하는 바이너리 시그니처를 검출하는 바이너리 검출모듈을 포함하는 분석회피기법 자동 인식 장치.
  2. 삭제
  3. 제1항에 있어서,
    상기 파싱부는,
    상기 추출된 DEX 파일을 분석하여 상기 DEX 파일에 포함된 하나 이상의 문자열 시그니처를 추출하는 DEX 파싱 모듈, 그리고
    상기 추출된 ELF 파일을 분석하여 상기 ELF 파일에 포함된 하나 이상의 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 추출하는 ELF 파싱 모듈를 포함하는 분석회피기법 자동 인식 장치.
  4. 삭제
  5. 제1항에 있어서,
    상기 데이터베이스는,
    분석회피기법에 사용되는 소스코드에 대응하는 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 저장하는 분석회피기법 자동 인식 장치.
  6. 제1항에 있어서,
    상기 판별부는,
    상기 검출된 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 통하여 상기 애플리케이션 파일에 적용된 분석회피기법의 종류 및 도구에 대한 정보를 판별하고, 판별 결과를 사용자가 인식할 수 있는 형태로 변환하여 출력하는 분석회피기법 자동 인식 장치.
  7. 제6항에 있어서,
    상기 판별 결과는 상기 애플리케이션 파일에 적용된 분석회피기법의 종류, 방식 및 도구를 포함하며,
    상기 분석회피기법의 종류는,
    안티 루팅 기법, 안티 디버깅 기법 그리고 안티 에뮬레이터 기법을 포함하며,
    상기 분석회피기법의 방식은,
    문자열 방식, API 방식 및 바이너리 방식을 포함하고,
    상기 분석회피기법에 적용된 도구는,
    모바일 환경에서 어플리케이션 생성 시에 사용된 프로그램을 나타내는 분석회피기법 자동 인식 장치.
  8. 모바일 환경에서 분석회피기법 자동 인식 장치를 이용한 분석회피기법을 자동 인식하기 위한 방법에 있어서,
    분석회피기법 자동 인식 장치를 통해 애플리케이션을 수신하고, 수신된 애플리케이션에 포함되며 APK의 형태로 압축한 실행코드를 언팩하여 DEX 파일과 ELF 파일을 추출하는 단계,
    상기 DEX 파일을 디컴파일한 후 파싱하는 DEX 파싱모듈과 ELF 파일을 디컴파일한 후 파싱하는 ELF 파싱 모듈로부터 문자열 시그니처, API 함수 시그니처, 그리고 바이너리 시그니처를 획득하는 단계,
    상기 문자열 시그니처, API 함수 시그니처, 및 바이너리 시그니처를 입력받으며, 상기 입력된 시그니처와 데이터베이스에 저장된 시그니처를 비교분석하여 분석회피기법에 사용된 시그니처를 검출하는 단계, 그리고
    상기 검출된 시그니처로부터 상기 애플리케이션에 적용된 분석회피 기법을 판별하는 단계를 포함하며,
    상기 시그니처를 검출하는 단계는,
    상기 DEX 파싱 모듈과 ELF 파싱 모듈로부터 추출된 하나 이상의 문자열 시그니처를 입력받고, 상기 입력된 하나 이상의 문자열 시그니처를 상기 데이터베이스에 저장된 문자열 시그니처와 비교하여 일치하는 문자열 시그니처를 검출하고,
    상기 ELF 파싱 모듈로부터 추출된 하나 이상의 API 함수 시그니처를 입력받고, 상기 입력된 하나 이상의 API 함수 시그니처를 상기 데이터베이스에 저장된 API 함수 시그니처와 비교하여 일치하는 API 함수 시그니처를 검출하고,
    상기 ELF 파싱 모듈로부터 추출된 하나 이상의 바이너리 시그니처를 입력받고, 상기 입력된 하나 이상의 바이너리 시그니처를 상기 데이터베이스에 기 저장된 바이너리 시그니처와 비교하여, 일치하는 바이너리 시그니처를 검출하는 분석회피기법 자동 인식 방법.
  9. 삭제
  10. 제8항에 있어서,
    상기 시그니처를 획득하는 단계는,
    파싱된 DEX 파일을 분석하여 상기 DEX 파일에 포함된 하나 이상의 문자열 시그니처를 획득하고,
    파싱된 ELF 파일을 분석하여 상기 ELF 파일에 포함된 하나 이상의 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 획득하는 분석회피기법 자동 인식 방법.
  11. 삭제
  12. 제8항에 있어서,
    상기 데이터베이스는,
    분석회피기법에 사용되는 소스코드에 대응하는 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 저장하는 분석회피기법 자동 인식 방법.
  13. 제8항에 있어서,
    상기 분석회피 기법을 판별하는 단계는,
    상기 검출된 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 통하여 상기 애플리케이션에 적용된 분석회피기법의 종류 및 도구에 대한 정보를 판별하고, 판별 결과를 사용자가 인식할 수 있는 형태로 변환하여 출력하는 분석회피기법 자동 인식 방법.
  14. 제13항에 있어서,
    상기 판별 결과는 상기 애플리케이션에 적용된 분석회피기법의 종류, 방식 및 도구를 포함하며,
    상기 분석회피기법의 종류는,
    안티 루팅 기법, 안티 디버깅 기법 그리고 안티 에뮬레이터 기법을 포함하며,
    상기 분석회피기법의 방식은,
    문자열 방식, API 방식 및 바이너리 방식을 포함하고,
    상기 분석회피기법에 적용된 도구는,
    모바일 환경에서 어플리케이션 생성 시에 사용된 프로그램을 나타내는 분석회피기법 자동 인식 방법.
KR1020180105835A 2017-11-16 2018-09-05 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법 Active KR101976992B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
PCT/KR2018/014602 WO2020050455A1 (ko) 2017-11-16 2018-11-26 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법
US17/262,745 US11934495B2 (en) 2017-11-16 2018-11-26 Device for automatically identifying anti-analysis techniques by using signature extraction and method therefor

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20170153307 2017-11-16
KR1020170153307 2017-11-16

Publications (1)

Publication Number Publication Date
KR101976992B1 true KR101976992B1 (ko) 2019-05-10

Family

ID=66580929

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180105835A Active KR101976992B1 (ko) 2017-11-16 2018-09-05 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법

Country Status (3)

Country Link
US (1) US11934495B2 (ko)
KR (1) KR101976992B1 (ko)
WO (1) WO2020050455A1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112699398A (zh) * 2021-01-28 2021-04-23 厦门立林科技有限公司 一种安卓应用关键数据的保护装置、方法、设备及可存储介质
KR102271273B1 (ko) 2020-11-26 2021-06-29 숭실대학교산학협력단 네이티브 코드 분석방지 우회를 위한 프로세스 래핑 방법, 이를 수행하기 위한 기록 매체 및 장치
US11886589B2 (en) 2020-11-26 2024-01-30 Foundation Of Soongsil University-Industry Cooperation Process wrapping method for evading anti-analysis of native codes, recording medium and device for performing the method

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150047940A (ko) * 2013-10-25 2015-05-06 삼성전자주식회사 어플리케이션 분석 방법 및 장치
KR20170068814A (ko) * 2015-12-10 2017-06-20 한국전자통신연구원 악성 모바일 앱 감지 장치 및 방법
KR20170088074A (ko) * 2016-01-22 2017-08-01 김동완 소프트웨어 분석을 위한 리버스 엔지니어링 협업 장치, 방법 및 시스템
KR20170089859A (ko) * 2014-11-28 2017-08-04 톰슨 라이센싱 애플리케이션 무결성의 검증을 제공하기 위한 방법 및 디바이스

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101093410B1 (ko) 2010-03-22 2011-12-14 주식회사 엔씨소프트 코드실행 알림기능을 이용한 악성 프로그램 탐지 방법
US9349006B2 (en) * 2010-11-29 2016-05-24 Beijing Qihoo Technology Company Limited Method and device for program identification based on machine learning
US9672355B2 (en) * 2011-09-16 2017-06-06 Veracode, Inc. Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security
WO2014142430A1 (ko) * 2013-03-15 2014-09-18 주식회사 에스이웍스 안드로이드에서의 dex파일 바이너리 난독화 방법
KR101558652B1 (ko) 2013-06-04 2015-10-08 한양대학교 산학협력단 바이너리 정보의 시각화를 이용한 악성 코드 분석 및 변종 탐지 방법, 그 방법을 수행하는 장치
WO2015038944A1 (en) 2013-09-12 2015-03-19 Virsec Systems, Inc. Automated runtime detection of malware
KR101518420B1 (ko) 2014-11-11 2015-05-07 주식회사 에스이웍스 안드로이드 플랫폼에서의 apk 파일 관리 장치 및 방법
US10372905B1 (en) * 2014-12-12 2019-08-06 Amazon Technologies, Inc. Preventing unauthorized software execution
KR101574652B1 (ko) * 2015-01-14 2015-12-11 한국인터넷진흥원 모바일 침해사고 분석시스템 및 방법
KR101623096B1 (ko) 2015-05-13 2016-05-23 주식회사 에스이웍스 안드로이드 플랫폼에서의 apk 파일 관리 장치 및 방법
KR101724412B1 (ko) 2015-09-23 2017-04-10 한국전자통신연구원 확장 코드를 이용한 어플리케이션 분석 장치 및 방법
US10121004B2 (en) * 2015-10-07 2018-11-06 Electronics And Telecommunications Research Institute Apparatus and method for monitoring virtual machine based on hypervisor
KR20170060280A (ko) * 2015-11-24 2017-06-01 한국전자통신연구원 탐지 규칙 자동 생성 장치 및 방법
KR102582580B1 (ko) * 2016-01-19 2023-09-26 삼성전자주식회사 악성 코드 분석을 위한 전자 장치 및 이의 방법
US10785255B1 (en) * 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
RU2637997C1 (ru) * 2016-09-08 2017-12-08 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносного кода в файле

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150047940A (ko) * 2013-10-25 2015-05-06 삼성전자주식회사 어플리케이션 분석 방법 및 장치
KR20170089859A (ko) * 2014-11-28 2017-08-04 톰슨 라이센싱 애플리케이션 무결성의 검증을 제공하기 위한 방법 및 디바이스
KR20170068814A (ko) * 2015-12-10 2017-06-20 한국전자통신연구원 악성 모바일 앱 감지 장치 및 방법
KR20170088074A (ko) * 2016-01-22 2017-08-01 김동완 소프트웨어 분석을 위한 리버스 엔지니어링 협업 장치, 방법 및 시스템

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102271273B1 (ko) 2020-11-26 2021-06-29 숭실대학교산학협력단 네이티브 코드 분석방지 우회를 위한 프로세스 래핑 방법, 이를 수행하기 위한 기록 매체 및 장치
US11886589B2 (en) 2020-11-26 2024-01-30 Foundation Of Soongsil University-Industry Cooperation Process wrapping method for evading anti-analysis of native codes, recording medium and device for performing the method
CN112699398A (zh) * 2021-01-28 2021-04-23 厦门立林科技有限公司 一种安卓应用关键数据的保护装置、方法、设备及可存储介质

Also Published As

Publication number Publication date
WO2020050455A1 (ko) 2020-03-12
US11934495B2 (en) 2024-03-19
US20210141875A1 (en) 2021-05-13

Similar Documents

Publication Publication Date Title
US10007789B2 (en) Apparatus and method for detecting malware code by generating and analyzing behavior pattern
CN106845171B (zh) 一种Android应用程序代码保护机制鉴别方法
US20060005166A1 (en) Method, system and program product for determining java software code plagiarism and infringement
US9959276B2 (en) Static feature extraction from structured files
KR101976992B1 (ko) 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법
CN108763928A (zh) 一种开源软件漏洞分析方法、装置和存储介质
KR20170068814A (ko) 악성 모바일 앱 감지 장치 및 방법
KR102006242B1 (ko) 바이너리 파일에 기초하여 오픈소스 소프트웨어 패키지를 식별하는 방법 및 시스템
US10726357B2 (en) Cross-platform program analysis using machines learning based on universal features
CN110619213A (zh) 基于多模型特征的恶意软件识别方法、系统及相关装置
CN112632529A (zh) 漏洞识别方法、设备、存储介质及装置
KR101926142B1 (ko) 프로그램 분석 장치 및 방법
CN116305247B (zh) 一种车载应用软件过程数据的敏感信息检测方法及系统
US20230062297A1 (en) Systems and methods for code repository embedding for tagging and summarization tasks using attention on multiple code domains
KR102418212B1 (ko) 아키텍처에 무관한 프로그램 함수 유사도 측정 방법
CN110704308B (zh) 一种多级特征提取方法
KR102286451B1 (ko) 자연어 처리 기반 난독화된 식별자 인식 방법, 이를 수행하기 위한 기록 매체 및 장치
CN115292203B (zh) 一种源代码分析方法及装置
CN114547628B (zh) 漏洞检测方法及装置
CN113114679B (zh) 报文的识别方法、装置、电子设备及介质
CN113496034A (zh) Vba脚本混淆检测方法、装置、设备及可读存储介质
CN112613290A (zh) 单证模板生成方法、装置、设备及存储介质
CN112163217A (zh) 恶意软件变种识别方法、装置、设备及计算机存储介质
KR101711092B1 (ko) 실행파일 복원 장치 및 방법
KR102833935B1 (ko) Pdf 파일로부터 악성 코드를 탐지하기 위한 구조 분석 및 학습 데이터 생성 방법 및 이를 수행하는 시스템

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20180905

PA0201 Request for examination
PA0302 Request for accelerated examination

Patent event date: 20180921

Patent event code: PA03022R01D

Comment text: Request for Accelerated Examination

Patent event date: 20180905

Patent event code: PA03021R01I

Comment text: Patent Application

PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20181101

Patent event code: PE09021S01D

PE0902 Notice of grounds for rejection

Comment text: Final Notice of Reason for Refusal

Patent event date: 20190212

Patent event code: PE09021S02D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20190501

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20190502

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20190502

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20220329

Start annual number: 4

End annual number: 4

PR1001 Payment of annual fee

Payment date: 20230321

Start annual number: 5

End annual number: 5

PR1001 Payment of annual fee

Payment date: 20240403

Start annual number: 6

End annual number: 6