DOI QR코드

DOI QR Code

Anti-VM기법을 활용한 프로그램동작환경 탐지연구

A detection of program operating environment using Anti-VM method

  • 김경민 (한양대학교 컴퓨터공학과) ;
  • 박용수 (한양대학교 컴퓨터공학과)
  • Kim, Gyeong-Min (Division of Computer Science & Engineering, Hanyang University) ;
  • Park, Yong-su (Division of Computer Science & Engineering, Hanyang University)
  • 발행 : 2016.10.27

초록

가상머신을 탐지하는 기법을 이용하여 현재 프로그램이 동작하는 플랫폼과 운영환경을 알아내는 방법을 제안한다. 가상머신 탐지기법으로 데렉 소더(Derek Soeder, eEye Digital Security)를 사용한다. 이 기법은 예외 명령어를 이용해 프로그램이 가상머신과 네이티브머신 환경에서 작동중인지 알아낸다. 가상머신의 코드 세그먼트 레지스트 영역은 네이티브머신보다 불명확 하다. 이런 메모리 주소체계의 차이를 이용한 가상머신탐지 기법이다. 더 응용하여 프로그램의 작동환경이 디버거(인텔 Pin, Olly dbg)인지 가상머신(VMware, QEMU)인지 혹은 네이티브머신(os: windows7 sp3)인지 구분하는 방안을 제안한다.

키워드