1 |
1
모바일 환경에서 애플리케이션에 적용된 분석회피기법을 자동 인식하기 위한 장치에 있어서, 안드로이드에서 실행되는 실행코드를 APK의 형태로 압축하여 포함하고 있는 애플리케이션 파일을 언팩하여 DEX 파일과 ELF 파일을 추출하는 추출부, 상기 DEX 파일을 디컴파일한 후 파싱하는 DEX 파싱모듈과 ELF 파일을 디컴파일한 후 파싱하는 ELF 파싱 모듈을 포함하며, DEX 파싱모듈과 ELF 파싱 모듈로부터 문자열 시그니처, API 함수 시그니처, 그리고 바이너리 시그니처를 획득하는 파싱부, 상기 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 입력받으며, 상기 입력된 시그니처와 데이터베이스에 저장된 시그니처를 비교 분석하여 분석회피기법에 사용된 시그니처를 검출하는 검출부, 그리고상기 검출된 시그니처로부터 상기 애플리케이션에 적용된 분석회피 기법을 판별하는 판별부를 포함하며, 상기 검출부는,상기 DEX 파싱 모듈과 ELF 파싱 모듈로부터 추출된 하나 이상의 문자열 시그니처를 입력받고, 상기 입력된 하나 이상의 문자열 시그니처를 상기 데이터베이스에 저장된 문자열 시그니처와 비교하여 일치하는 문자열 시그니처를 검출하는 문자열 검출모듈, 상기 ELF 파싱 모듈로부터 추출된 하나 이상의 API 함수 시그니처를 입력받고, 상기 입력된 하나 이상의 API 함수 시그니처를 상기 데이터베이스에 저장된 API 함수 시그니처와 비교하여 일치하는 API 함수 시그니처를 검출하는 API 검출모듈, 그리고 상기 ELF 파싱 모듈로부터 추출된 하나 이상의 바이너리 시그니처를 입력받고, 상기 입력된 하나 이상의 바이너리 시그니처를 상기 데이터베이스에 기 저장된 바이너리 시그니처와 비교하여, 일치하는 바이너리 시그니처를 검출하는 바이너리 검출모듈을 포함하는 분석회피기법 자동 인식 장치
|
2 |
2
삭제
|
3 |
3
제1항에 있어서, 상기 파싱부는, 상기 추출된 DEX 파일을 분석하여 상기 DEX 파일에 포함된 하나 이상의 문자열 시그니처를 추출하는 DEX 파싱 모듈, 그리고상기 추출된 ELF 파일을 분석하여 상기 ELF 파일에 포함된 하나 이상의 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 추출하는 ELF 파싱 모듈를 포함하는 분석회피기법 자동 인식 장치
|
4 |
4
삭제
|
5 |
5
제1항에 있어서, 상기 데이터베이스는, 분석회피기법에 사용되는 소스코드에 대응하는 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 저장하는 분석회피기법 자동 인식 장치
|
6 |
6
제1항에 있어서, 상기 판별부는, 상기 검출된 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 통하여 상기 애플리케이션 파일에 적용된 분석회피기법의 종류 및 도구에 대한 정보를 판별하고, 판별 결과를 사용자가 인식할 수 있는 형태로 변환하여 출력하는 분석회피기법 자동 인식 장치
|
7 |
7
제6항에 있어서, 상기 판별 결과는 상기 애플리케이션 파일에 적용된 분석회피기법의 종류, 방식 및 도구를 포함하며, 상기 분석회피기법의 종류는, 안티 루팅 기법, 안티 디버깅 기법 그리고 안티 에뮬레이터 기법을 포함하며, 상기 분석회피기법의 방식은,문자열 방식, API 방식 및 바이너리 방식을 포함하고, 상기 분석회피기법에 적용된 도구는,모바일 환경에서 어플리케이션 생성 시에 사용된 프로그램을 나타내는 분석회피기법 자동 인식 장치
|
8 |
8
모바일 환경에서 분석회피기법 자동 인식 장치를 이용한 분석회피기법을 자동 인식하기 위한 방법에 있어서, 분석회피기법 자동 인식 장치를 통해 애플리케이션을 수신하고, 수신된 애플리케이션에 포함되며 APK의 형태로 압축한 실행코드를 언팩하여 DEX 파일과 ELF 파일을 추출하는 단계, 상기 DEX 파일을 디컴파일한 후 파싱하는 DEX 파싱모듈과 ELF 파일을 디컴파일한 후 파싱하는 ELF 파싱 모듈로부터 문자열 시그니처, API 함수 시그니처, 그리고 바이너리 시그니처를 획득하는 단계,상기 문자열 시그니처, API 함수 시그니처, 및 바이너리 시그니처를 입력받으며, 상기 입력된 시그니처와 데이터베이스에 저장된 시그니처를 비교분석하여 분석회피기법에 사용된 시그니처를 검출하는 단계, 그리고상기 검출된 시그니처로부터 상기 애플리케이션에 적용된 분석회피 기법을 판별하는 단계를 포함하며, 상기 시그니처를 검출하는 단계는,상기 DEX 파싱 모듈과 ELF 파싱 모듈로부터 추출된 하나 이상의 문자열 시그니처를 입력받고, 상기 입력된 하나 이상의 문자열 시그니처를 상기 데이터베이스에 저장된 문자열 시그니처와 비교하여 일치하는 문자열 시그니처를 검출하고, 상기 ELF 파싱 모듈로부터 추출된 하나 이상의 API 함수 시그니처를 입력받고, 상기 입력된 하나 이상의 API 함수 시그니처를 상기 데이터베이스에 저장된 API 함수 시그니처와 비교하여 일치하는 API 함수 시그니처를 검출하고,상기 ELF 파싱 모듈로부터 추출된 하나 이상의 바이너리 시그니처를 입력받고, 상기 입력된 하나 이상의 바이너리 시그니처를 상기 데이터베이스에 기 저장된 바이너리 시그니처와 비교하여, 일치하는 바이너리 시그니처를 검출하는 분석회피기법 자동 인식 방법
|
9 |
9
삭제
|
10 |
10
제8항에 있어서, 상기 시그니처를 획득하는 단계는, 파싱된 DEX 파일을 분석하여 상기 DEX 파일에 포함된 하나 이상의 문자열 시그니처를 획득하고,파싱된 ELF 파일을 분석하여 상기 ELF 파일에 포함된 하나 이상의 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 획득하는 분석회피기법 자동 인식 방법
|
11 |
11
삭제
|
12 |
12
제8항에 있어서, 상기 데이터베이스는, 분석회피기법에 사용되는 소스코드에 대응하는 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 저장하는 분석회피기법 자동 인식 방법
|
13 |
13
제8항에 있어서, 상기 분석회피 기법을 판별하는 단계는, 상기 검출된 문자열 시그니처, API 함수 시그니처 및 바이너리 시그니처를 통하여 상기 애플리케이션에 적용된 분석회피기법의 종류 및 도구에 대한 정보를 판별하고, 판별 결과를 사용자가 인식할 수 있는 형태로 변환하여 출력하는 분석회피기법 자동 인식 방법
|
14 |
14
제13항에 있어서, 상기 판별 결과는 상기 애플리케이션에 적용된 분석회피기법의 종류, 방식 및 도구를 포함하며, 상기 분석회피기법의 종류는, 안티 루팅 기법, 안티 디버깅 기법 그리고 안티 에뮬레이터 기법을 포함하며, 상기 분석회피기법의 방식은,문자열 방식, API 방식 및 바이너리 방식을 포함하고, 상기 분석회피기법에 적용된 도구는,모바일 환경에서 어플리케이션 생성 시에 사용된 프로그램을 나타내는 분석회피기법 자동 인식 방법
|