GN⁺: LLM4Decompile - LLM을 활용한 바이너리 코드 디컴파일 기술

• 대규모 언어 모델을 이용한 리버스 엔지니어링

1. LLM4Decompile 및 Decompile-Eval 소개

• 우리의 목표는 최초의 디컴파일 전용 오픈 소스 LLM을 생성 및 출시하고, 재컴파일 가능성 및 재실행 가능성에 초점을 맞춘 최초의 디컴파일 벤치마크를 구축하여 그 기능을 평가하는 것
• AnghaBench에서 수집한 백만 개의 C 코드 샘플을 GCC를 사용하여 어셈블리 코드로 컴파일하고, 이를 통해 40억 토큰의 어셈블리-소스 쌍 데이터셋을 구성함.
• 이 데이터셋을 사용하여 선도적인 코드 LLM인 DeepSeek-Coder 모델을 미세조정하고, HumanEval 질문과 테스트 샘플을 기반으로 평가 벤치마크인 Decompile-Eval을 구축함.
• 평가는 디컴파일된 코드가 성공적으로 재컴파일될 수 있는지, 테스트 케이스의 모든 단언을 통과할 수 있는지의 두 가지 관점에서 이루어짐.

2. 평가 결과

메트릭

• 재컴파일 가능성과 재실행 가능성은 디컴파일 과정의 효과를 검증하는 중요한 지표임.
• 디컴파일된 코드가 재컴파일될 수 있다면, 구문적 무결성의 강력한 증거를 제공함.
• 구문만으로는 원래 프로그램과 의미적으로 동일하다는 것을 보장하지 않으므로, 재실행 가능성은 의미적 정확성을 평가하는 중요한 척도임.
• 재컴파일 가능성과 재실행 가능성은 구문 복구와 의미 보존을 나타내며, 이는 사용 가능하고 견고한 디컴파일에 필수적임.

3. 모델 사용 방법

• LLM4Decompile은 13억에서 330억 개의 파라미터를 가진 모델을 포함하며, 이 모델들은 Hugging Face에서 사용할 수 있음.
• 모델 예시: llm4decompile-1.3b, llm4decompile-6.7b, llm4decompile-33b, llm4decompile-6.7b-nsp, llm4decompile-6.7b-uo
• NSP 모델은 어셈블리 코드로 훈련되었으며, 평균 재실행 가능성은 약 0.17임.
• UO 모델은 최적화 수준(O0~O3)에 대한 사전 지식 없이 훈련되었으며, 평균 재실행 가능성은 약 0.21임.
• 모델 사용 예시: C 코드를 바이너리로 컴파일하고, 바이너리를 어셈블리 지시사항으로 디스어셈블하며, LLM4Decompile을 사용하여 어셈블리 지시사항을 C로 번역함.

4. Decompile-Eval 사용 방법

• 데이터는 llm4decompile/decompile-eval/decompile-eval.json에 JSON 리스트 형식으로 저장되어 있음.
• 단일 GPU와 단일 프로세스에서 평가를 실행하는 방법과 TGI(10배 빠른 속도, 다중 GPU 및 멀티 프로세스 지원)를 사용하는 방법이 제공됨.

5. 진행 중

• LLM4Binary: 어셈블리 코드와 C 코드로 모델을 사전 훈련하기 위해 더 큰 데이터셋을 포함할 계획임.
• Decompiler-ALL: 더 많은 언어/플랫폼 및 설정을 지원하기 위한 계획임(예: 여러 함수 디컴파일).

6. 라이선스

• MIT 라이선스

GN⁺의 의견

• LLM4Decompile은 기존의 바이너리 디컴파일 방식에 비해 혁신적인 접근 방식을 제시하며, 특히 대규모 언어 모델을 활용하여 더 정확하고 효율적인 디컴파일을 가능하게 함.
• 이 기술은 소프트웨어 보안 분야에서 매우 유용할 수 있으며, 악성 코드 분석이나 레거시 시스템의 유지보수에 도움을 줄 수 있음.
• 디컴파일된 코드의 재실행 가능성이 완벽하지 않다는 점은 이 기술이 아직 개선의 여지가 있음을 시사함. 실제 환경에서의 정확도와 효율성을 높이기 위한 추가 연구가 필요함.
• 유사한 기능을 제공하는 기존의 도구로는 Ghidra나 IDA Pro와 같은 상용 및 오픈소스 디컴파일러가 있으나, LLM4Decompile은 머신러닝을 기반으로 한 새로운 접근 방식을 제공함.
• 이 기술을 도입할 때는 훈련 데이터의 질과 범위, 모델의 정확도, 실행 속도 등을 고려해야 하며, 선택함으로써 얻을 수 있는 이점은 높은 정확도와 유연성이지만, 대규모 모델의 복잡성과 컴퓨팅 자원의 요구량이 단점으로 작용할 수 있음.