論文の概要: Pushan: Trace-Free Deobfuscation of Virtualization-Obfuscated Binaries
- arxiv url: http://arxiv.org/abs/2603.18355v1
- Date: Wed, 18 Mar 2026 23:37:39 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-03-20 17:19:05.882616
- Title: Pushan: Trace-Free Deobfuscation of Virtualization-Obfuscated Binaries
- Title(参考訳): Pushan: 仮想化のトレース不要な難読化-obfuscatedバイナリ
- Authors: Ashwin Sudhir, Zion Leonahenahe Basque, Wil Gibbs, Ati Priya Bajaj, Pulkit Singh Singaria, Mitchell Zakocs, Jie Hu, Moritz Schloegel, Tiffany Bao, Adam Doupe, Yan Shoshitaishvili, Ruoyu Wang,
- Abstract要約: 既存の自動難読化技術には3つの大きな欠点がある。
それらは実行トレースのみで動作するため、難読化バイナリ内のすべてのロジックをリカバリすることができない。
PUSHANはトレースフリーであり、パス制約の蓄積を避ける。
これは、保護されたコードを高品質なCの擬似コードに分解して、効果的な分析を可能にする最初のアプローチである。
- 参考スコア(独自算出の注目度): 18.483613577646974
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: In the ever-evolving battle against malware, binary obfuscation techniques are a formidable barrier to effective analysis by both human security analysts and automated systems. In particular, virtualization or VM-based obfuscation is one of the strongest protection mechanisms that evade automated analysis. Despite widespread use of virtualization, existing automated deobfuscation techniques suffer from three major drawbacks. First, they only work on execution traces, which prevents them from recovering all logic in an obfuscated binary. Second, they depend on dynamic symbolic execution, which is expensive and does not scale in practice. Third, they cannot generate "well-formed" code, which prevents existing binary decompilers from generating human-friendly output. This paper introduces PUSHAN, a novel and generic technique for deobfuscating virtualization-obfuscated binaries while overcoming the limitations of existing techniques. PUSHAN is trace-free and avoids path-constraint accumulation by using VPC-sensitive, constraint-free symbolic emulation to recover a complete CFG of the virtualized function. It is the first approach that also decompiles the protected code into high-quality C pseudocode to enable effective analysis. Crucially, PUSHAN circumvents reliance on path satisfiability, a known NP-hard problem that hampers scalability. We evaluate PUSHAN on more than 1,000 binaries, including targets protected by academic state of the art (Tigress) and commercial-strength obfuscators VMProtect and Themida. PUSHAN successfully deobfuscates these binaries, retrieves their complete CFGs, and decompiles them to C pseudocode. We further demonstrate applicability by analyzing a previously unanalyzed VMProtect-obfuscated malware sample from VirusTotal, where our decompiled output enables LLM-assisted code simplification, reuse, and program understanding.
- Abstract(参考訳): マルウェアとの戦いが絶え間なく続いている中で、バイナリ難読化技術は、人間のセキュリティアナリストと自動化システムの両方による効果的な分析にとって、重大な障壁となっている。
特に、仮想化やVMベースの難読化は、自動分析を回避する最も強力な保護メカニズムの1つです。
仮想化が広く使われているにもかかわらず、既存の自動難読化技術には3つの大きな欠点がある。
まず、それらは実行トレースのみで動作するため、難読化バイナリ内のすべてのロジックをリカバリすることができない。
第二に、それらは動的シンボリック実行に依存します。
コードを生成することはできないため、既存のバイナリデコンパイラが人間に優しい出力を生成するのを防ぐことができる。
本稿では,既存の手法の限界を克服しつつ,仮想化を難読化するための新しい汎用的手法であるPUSHANを紹介する。
PUSHANは、トレースフリーであり、VPCに敏感で制約のないシンボルエミュレーションを使用して、仮想関数の完全なCFGを復元することにより、パス制約の蓄積を避ける。
これは、保護されたコードを高品質なCの擬似コードに分解して、効果的な分析を可能にする最初のアプローチである。
重要なことは、PUSHANは、拡張性を損なう既知のNPハード問題であるパス満足度に依存することを回避している。
我々は,1000以上のバイナリ上でPUSHANを評価し,学術的最先端(Tigress)と商業的強度の難燃剤VMProtectとThemidaによって保護されたターゲットを含む。
PUSHANはこれらのバイナリを分解し、完全なCFGを取得し、Cの擬似コードに分解する。
さらに、VirusTotalの未解析のVMProtect-obfuscatedのマルウェアサンプルを分析し、LCMによるコードの単純化、再利用、プログラム理解を可能にした。
関連論文リスト
- Static Detection of Core Structures in Tigress Virtualization-Based Obfuscation Using an LLVM Pass [4.7664516965746335]
本稿では,静的解析により,仮想化による難読化の構造成分を同定することを目的とする。
実験の結果,コンパイラ最適化がなければ,提案したLLVM Passが主要な仮想化オプション全体にわたって,すべてのコア構造を検出することができた。
論文 参考訳(メタデータ) (2026-01-19T10:15:59Z) - Context-Guided Decompilation: A Step Towards Re-executability [50.71992919223209]
バイナリ逆コンパイルは、ソフトウェアセキュリティ分析、リバースエンジニアリング、マルウェア理解において重要な役割を果たす。
大規模言語モデル (LLMs) の最近の進歩により、ニューラルデコンパイルが可能になったが、生成されたコードは一般的に意味論的にのみ使用可能である。
In-context Learning(ICL)を活用して,再実行可能なソースコードを生成するためのILC4Decompを提案する。
論文 参考訳(メタデータ) (2025-11-03T17:21:39Z) - "Digital Camouflage": The LLVM Challenge in LLM-Based Malware Detection [0.0]
大規模言語モデル(LLM)がマルウェア検出のための有望なツールとして登場した。
しかし、逆コンパイラレベルの難読化の下での信頼性はまだ発見されていない。
本研究は,コンパイラレベルの難読化技術に対する3つの最先端LCMのロバスト性を実証的に評価する。
論文 参考訳(メタデータ) (2025-09-20T12:47:36Z) - Decompiling Smart Contracts with a Large Language Model [51.49197239479266]
Etherscanの78,047,845のスマートコントラクトがデプロイされているにも関わらず(2025年5月26日現在)、わずか767,520 (1%)がオープンソースである。
この不透明さは、オンチェーンスマートコントラクトバイトコードの自動意味解析を必要とする。
バイトコードを可読でセマンティックに忠実なSolidityコードに変換する,先駆的な逆コンパイルパイプラインを導入する。
論文 参考訳(メタデータ) (2025-06-24T13:42:59Z) - ReF Decompile: Relabeling and Function Call Enhanced Decompile [50.86228893636785]
逆コンパイルの目標は、コンパイルされた低レベルコード(アセンブリコードなど)を高レベルプログラミング言語に変換することである。
このタスクは、脆弱性識別、マルウェア分析、レガシーソフトウェアマイグレーションなど、さまざまなリバースエンジニアリングアプリケーションをサポートする。
論文 参考訳(メタデータ) (2025-02-17T12:38:57Z) - ShadowCode: Towards (Automatic) External Prompt Injection Attack against Code LLMs [56.46702494338318]
本稿では,コード指向の大規模言語モデルに対する(自動)外部プロンプトインジェクションという,新たな攻撃パラダイムを紹介する。
コードシミュレーションに基づいて誘導摂動を自動生成する,シンプルで効果的な方法であるShadowCodeを提案する。
3つの人気のあるプログラミング言語にまたがる31の脅威ケースを発生させるため、13の異なる悪意のある目標に対して本手法を評価した。
論文 参考訳(メタデータ) (2024-07-12T10:59:32Z) - FoC: Figure out the Cryptographic Functions in Stripped Binaries with LLMs [51.898805184427545]
削除されたバイナリの暗号関数を抽出するFoCと呼ばれる新しいフレームワークを提案する。
まず、自然言語における暗号関数のセマンティクスを要約するために、バイナリ大言語モデル(FoC-BinLLM)を構築した。
次に、FoC-BinLLM上にバイナリコード類似モデル(FoC-Sim)を構築し、変更に敏感な表現を作成し、データベース内の未知の暗号関数の類似実装を検索する。
論文 参考訳(メタデータ) (2024-03-27T09:45:33Z) - Code Polymorphism Meets Code Encryption: Confidentiality and Side-Channel Protection of Software Components [0.0]
PolEnは、サイドチャネル攻撃を効果的に軽減するために、対策を組み合わせるツールチェーンとプロセッサアーキテクチャである。
コード暗号化はプロセッサ拡張によってサポートされ、マシン命令はCPU内でのみ復号化される。
プログラムの可観測環境を定期的に変更し、攻撃者が予測できないようにする。
論文 参考訳(メタデータ) (2023-10-11T09:16:10Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。