숨겨진 인터페이스를 드러내기: LLM 기반의 유형 추론을 통한 macOS 개인 프레임워크 역공학

Exposing Hidden Interfaces: LLM-Guided Type Inference for Reverse Engineering macOS Private Frameworks

macOS의 개인 프레임워크는 중요한 서비스와 데몬을 지원하지만, 문서화되지 않고 스트립된 바이너리 형태로만 배포되어 보안 분석을 어렵게 만듭니다. 본 논문에서는 MOTIF라는 에이전트 기반 프레임워크를 제시합니다. MOTIF는 도구 지원 분석과 Objective-C 유형 추론에 특화된 미세 조정된 대규모 언어 모델을 통합합니다. 에이전트는 런타임 메타데이터 추출, 바이너리 검사 및 제약 조건 확인을 관리하며, 모델은 후보 메서드 시그니처를 생성하고, 이를 검증 및 개선하여 컴파일 가능한 헤더 파일을 만듭니다. 공개 프레임워크를 기반으로 구축된 벤치마크인 MOTIF-Bench에서 MOTIF는 기본 정적 분석 도구에 비해 시그니처 복구율을 15%에서 86%로 향상시켰으며, 도구 사용 정확도와 추론 안정성에서도 일관된 성능 향상을 보였습니다. 개인 프레임워크에 대한 사례 연구 결과, 재구성된 헤더 파일이 컴파일 및 링크되어 후속 보안 연구 및 취약점 분석을 용이하게 합니다. MOTIF는 불투명한 바이너리를 분석 가능한 인터페이스로 변환하여 macOS 내부 구조의 체계적인 감사에 대한 확장 가능한 기반을 제공합니다.

Private macOS frameworks underpin critical services and daemons but remain undocumented and distributed only as stripped binaries, complicating security analysis. We present MOTIF, an agentic framework that integrates tool-augmented analysis with a finetuned large language model specialized for Objective-C type inference. The agent manages runtime metadata extraction, binary inspection, and constraint checking, while the model generates candidate method signatures that are validated and refined into compilable headers. On MOTIF-Bench, a benchmark built from public frameworks with groundtruth headers, MOTIF improves signature recovery from 15% to 86% compared to baseline static analysis tooling, with consistent gains in tool-use correctness and inference stability. Case studies on private frameworks show that reconstructed headers compile, link, and facilitate downstream security research and vulnerability studies. By transforming opaque binaries into analyzable interfaces, MOTIF establishes a scalable foundation for systematic auditing of macOS internals.