멀웨어 분석가가 디컴파일된 코드를 분석할 때, 단일 디컴파일러 뷰에 의존하는 기존 방식은 취약합니다. Ghidra와 RetDec 두 디컴파일러를 활용한 멀티 뷰 방식이 악성코드 F1 점수를 향상시킵니다. 두 디컴파일러는 서로 다른 오류를 범하며, 상호 보완적인 증거를 제공합니다.
연구진은 벤치마크를 구축하여, 각 샘플을 Ghidra와 RetDec로 컴파일 및 디컴파일하여 매칭된 pseudo-C 뷰를 얻었습니다. 다양한 LLM 모델을 통해 멀티 뷰를 제공했을 때 악성코드 F1 점수가 향상되는 것을 확인했습니다.
멀티 디컴파일러 프롬프팅은 훈련 없이도 실제 환경에서 LLM 기반 멀웨어 트라이아주를 개선하는 간단한 방법입니다.