KR101064940B1 - Method and Apparatus for Longtime-Maintaining Reexamination Protecting Information for Malicious Code, and Computer Readable Recording Medium Containing Program thereof - Google Patents

Method and Apparatus for Longtime-Maintaining Reexamination Protecting Information for Malicious Code, and Computer Readable Recording Medium Containing Program thereof Download PDF

Info

Publication number
KR101064940B1
KR101064940B1 KR1020090035072A KR20090035072A KR101064940B1 KR 101064940 B1 KR101064940 B1 KR 101064940B1 KR 1020090035072 A KR1020090035072 A KR 1020090035072A KR 20090035072 A KR20090035072 A KR 20090035072A KR 101064940 B1 KR101064940 B1 KR 101064940B1
Authority
KR
South Korea
Prior art keywords
tag
file
list
rescan
prevention
Prior art date
Application number
KR1020090035072A
Other languages
Korean (ko)
Other versions
KR20100116392A (en
Inventor
황규범
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR1020090035072A priority Critical patent/KR101064940B1/en
Publication of KR20100116392A publication Critical patent/KR20100116392A/en
Application granted granted Critical
Publication of KR101064940B1 publication Critical patent/KR101064940B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition

Abstract

본 발명은 악성 코드 진단 엔진의 시그너처 리스트(signature list)가 업데이트 되더라도 태그(TAG) 검증 결과에 따라 이미 검사된 파일에 대한 재검사 방지 정보를 유지할 수 있도록 하여 진단 속도를 높일 수 있는 악성 코드 재검사 방지 정보의 장시간 운용 기술에 관한 것이다. 본 발명의 일 측면은 진단 엔진에 의한 감염 여부 검사가 이루어진 하나 이상의 파일에 대하여 상기 파일의 태그(TAG)인 제 1 태그를 포함하는 재검사 방지 리스트를 생성하고, 상기 진단 엔진의 하나 이상의 시그너처에 대하여 상기 시그너처의 태그인 제 2 태그를 포함하는 시그너처 리스트를 생성하고, 상기 시그너처 리스트의 업데이트 시 추가되는 시그너처의 제 2 태그와 상기 재검사 방지 리스트의 각 파일의 제 1 태그를 비교하며, 상기 비교 결과 상기 제 1 태그와 상기 제 2 태그가 동일한 경우 상기 파일을 상기 재검사 방지 리스트에서 삭제하는 악성 코드 재검사 방지 정보의 장시간 운용 방법을 제공한다. 본 발명에 의하면, 악성 코드에 대한 방어가 강화되고, 진단 엔진의 시그너처 업데이트 시에도 재검사 방지 정보를 선택적으로 유지함으로써 진단 속도가 향상되는 효과가 있다.According to the present invention, even when the signature list of the malware diagnosis engine is updated, it is possible to maintain rescan prevention information on a file that has already been scanned according to a tag (TAG) verification result, thereby increasing the speed of diagnosis. It is about long time operation technology. According to an aspect of the present invention, a rescan prevention list including a first tag which is a tag TAG of the file is generated for at least one file that has been scanned for infection by a diagnostic engine, and at least one signature of the diagnostic engine is generated. Generate a signature list including a second tag that is a tag of the signature, compare a second tag of a signature added when the signature list is updated, and a first tag of each file of the re-examination prevention list; When the first tag and the second tag is the same, it provides a long time operation method of the malicious code re-scan prevention information for deleting the file from the re-scan prevention list. According to the present invention, defense against malicious code is strengthened, and diagnostic speed is improved by selectively maintaining rescan prevention information even when the signature of the diagnostic engine is updated.

악성 코드, 시그너처, 업데이트, 재검사 방지 정보, 화이트 리스트, 태그 Malware, Signatures, Updates, Anti-Rescan Information, White Lists, Tags

Description

악성 코드 재검사 방지 정보의 장시간 운용 방법, 장치 및 그 방법을 실행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체{Method and Apparatus for Longtime-Maintaining Reexamination Protecting Information for Malicious Code, and Computer Readable Recording Medium Containing Program thereof}Method and Apparatus for Longtime-Maintaining Reexamination Protecting Information for Malicious Code, and Computer Readable Recording Medium Containing Program about}

본 발명은 악성 코드 재검사 방지 정보의 장시간 운용 방법, 장치 및 그 방법을 실행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다. 구체적으로 본 발명은, 악성 코드 진단 엔진의 시그니처 리스트가 업데이트 되더라도 태그(TAG) 검증 결과에 따라 이미 검사된 파일에 대한 재검사 방지 정보를 유지할 수 있도록 하여 진단 속도를 높일 수 있는 악성 코드 재검사 방지 정보의 장시간 운용 기술에 관한 것이다.The present invention relates to a computer-readable recording medium having recorded thereon a method, a device and a program for executing the method for preventing malicious code rescanning. Specifically, even if the signature list of the malware diagnosis engine is updated, it is possible to maintain rescan prevention information on a file that has already been scanned according to a tag (TAG) verification result, thereby increasing the speed of diagnosis. It relates to a long time operation technology.

오늘날 컴퓨터 사용자들은 바이러스(virus)를 비롯하여 다양한 종류의 악성 코드(malicious code)의 위협에 직면해 있다. 이에 많은 사용자들이 자신의 시스템을 이러한 위협으로부터 보호하기 위하여 악성 코드 감염 여부를 진단하고 치료하는 프로그램을 사용하고 있다.Today's computer users face the threat of various kinds of malicious code, including viruses. Many users are using programs to diagnose and repair malware infections in order to protect their systems from these threats.

악성 코드 진단 엔진은 메모리 등에 상주하여 실시간 감시를 수행하거나 사 용자의 명령에 의하여 시스템에 저장된 파일에 대하여 기본 또는 정밀 검사를 수행한다. 이 때 매번 진단이 수행될 때마다 실제로 모든 파일을 검사한다면 진단 시간이 상당히 길어지게 된다. 따라서 진단 엔진들은 화이트 리스트(white list)라고도 불리우는 재검사 방지 정보를 운용하여 불필요한 재검사 횟수를 줄임으로써 일반적인 검사에서의 진단 속도를 높이고 있다. 이렇듯 파일 검사에 있어서 검사된 파일에 대한 재검사 방지는 진단 성능 확보에 있어서 중요한 요소가 되었다.The malware diagnosis engine resides in memory and performs real-time monitoring or performs basic or detailed inspection of files stored in the system by user's command. In this case, if you actually check all the files every time the diagnosis is performed, the diagnosis time becomes considerably longer. Therefore, diagnostic engines increase the speed of diagnosis in general tests by reducing the number of unnecessary retests by operating retest prevention information, also called a white list. As such, preventing rescanning of scanned files has become an important factor in securing diagnostic performance.

종래의 재검사 방지 기술은 파일명, 크기, 파일 작성 또는 수정 날짜 등 외형적인 파일 관련 정보에 주로 의존해 왔다. 재검사 방지 정보 및 파일 시스템 내의 이러한 정보 또는 그 해쉬(hash) 값을 비교하여 해당 파일의 검사 여부를 결정한다. 이러한 정보들에 변화가 없으면 재검사 없이 스킵(skip)하고, 이러한 정보들에 변화가 생긴 경우에만 재검사를 하는 것이다. 그러나 바이러스 중에는 감염 파일 크기를 늘리지 않고, 파일 작성 또는 수정 날짜를 감염 전 날짜로 되돌려 놓는 것들이 있다. 종래 기술에 의하면 이러한 바이러스에 감염된 파일은 재검사 방지 정보에서 삭제되어야 함에도 불구하고 계속 재검사 방지 정보에 남아 있게 되어 엔진의 진단 대상에서 제외되는 경우가 있었다.Conventional rescanning techniques have relied heavily on external file-related information such as file name, size, file creation or modification date. The rescan prevention information and this information in the file system or its hash value are compared to determine whether to check the file. If there is no change in this information, it is skipped without retesting and retesting only if there is a change in this information. However, some viruses do not increase the size of the infected file, but instead return the file creation or modification date back to the pre-infection date. According to the prior art, even though a file infected with such a virus should be deleted from the rescan protection information, the file remains in the rescan protection information and thus is excluded from diagnosis of the engine.

또한, 종래 기술에서는 재검사 방지 정보에 포함된 샘플이 신종 악성 코드일 가능성에 대비하여, 진단 엔진을 업데이트 할 경우 재검사 방지 정보를 초기화해 왔다. 스킵(skip)해야 할 파일에 대한 재검사 방지 정보는 사용자의 시스템 내에서 작성되는 것이므로, 재검사 방지 정보의 생성 당시 알지 못했던 신종 악성 코드 또는 미진단 샘플이 있을 경우 악성 코드가 정상 파일로 둔갑하는 것처럼 되기 때문이다. 따라서 종래 기술에서는 악성 코드 진단에 필요한 정보인 시그너처(signature) 또는 진단 엔진 자체의 업데이트 시 이러한 재검사 방지 정보를 초기화(reset)하지 않을 수 없었다. 최근 진단 엔진의 업데이트 주기가 점점 단축되어 1일 1회 이상의 업데이트가 이루어지는 경우도 많은데, 재검사 방지 정보의 잦은 초기화로 인해 진단 성능이 저하되는 문제점이 있었다.In addition, the prior art has initialized the rescan prevention information when the diagnostic engine is updated in preparation for the possibility that the sample included in the rescan prevention information is a new malicious code. The rescan protection information for the files to be skipped is created in the user's system, so if there is new malicious code or undiagnosed samples that were not known at the time of the rescanning information creation, the malicious code will be turned into a normal file. Because. Therefore, in the prior art, it is necessary to reset such rescanning prevention information when updating signatures or diagnostic engines, which are information required for malicious code diagnosis. In recent years, the update cycle of the diagnosis engine is gradually shortened, so that the update is performed more than once a day. However, there is a problem that the diagnostic performance is deteriorated due to frequent initialization of the rescan prevention information.

본 발명은 이러한 문제점을 해결하기 위한 것으로, 실제 파일의 중요 정보를 태그로 포함시켜 감염 파일의 크기나 수정 날짜를 변화시키지 않는 바이러스에 대한 시그널(signal)을 추가함으로써 시스템 방어를 강화하는 것을 목적으로 한다.The present invention has been made to solve this problem, and aims to strengthen the system defense by adding a signal against a virus that does not change the size or modification date of the infected file by including important information of the actual file as a tag. do.

또한, 진단 엔진의 시그너처 업데이트 시에도 재검사 방지 정보를 매번 초기화하지 않고 선택적으로 유지함으로써 진단 성능을 향상시키는 것을 목적으로 한다.In addition, it is an object of the present invention to improve diagnostic performance by selectively maintaining the retest prevention information without initializing each time even when updating the signature of the diagnostic engine.

상기 목적을 달성하기 위하여 본 발명의 제 1 측면은, 진단 엔진에 의한 감염 여부 검사가 이루어진 하나 이상의 파일에 대하여 상기 파일의 태그(TAG)인 제 1 태그를 포함하는 재검사 방지 리스트를 생성하고, 상기 진단 엔진의 하나 이상의 시그너처에 대하여 상기 시그너처의 태그인 제 2 태그를 포함하는 시그너처 리스트를 생성하고, 상기 시그너처 리스트의 업데이트 시 추가되는 시그너처의 제 2 태그와 상기 재검사 방지 리스트의 각 파일의 제 1 태그를 비교하며, 상기 비교 결과 상기 제 1 태그와 상기 제 2 태그가 동일한 경우 상기 파일을 상기 재검사 방지 리스트에서 삭제하는 악성 코드 재검사 방지 정보의 장시간 운용 방법을 제공한다.In order to achieve the above object, a first aspect of the present invention is to generate a rescan prevention list including a first tag that is a tag TAG of the file for one or more files that have been scanned for infection by a diagnostic engine, Generate a signature list including a second tag that is a tag of the signature for one or more signatures of a diagnostic engine, and add a second tag of the signature added when the signature list is updated and a first tag of each file of the re-examination prevention list Compared to, if the first tag and the second tag is the same as a result of providing a long-term operating method of the malicious code re-scan prevention information to delete the file from the re-scan prevention list.

또한, 상기 태그는 상기 파일 또는 시그너처의 일부를 가공한 값을 포함하는 악성 코드 재검사 방지 정보의 장시간 운용 방법을 제공한다.In addition, the tag provides a method for long-term operation of the malicious code re-scan prevention information including a value of processing a part of the file or signature.

또한, 상기 파일 또는 시그너처의 일부는 MZ 헤더, PE 헤더, EP(Entry Point) 영역 또는 파일 뒷 부분 중 어느 하나 이상을 포함하는 악성 코드 재검사 방지 정보의 장시간 운용 방법을 제공한다.In addition, a part of the file or signature provides a long-term operation method of anti-malware rescan prevention information including any one or more of an MZ header, a PE header, an entry point (EP) area, or a back part of the file.

또한, 상기 가공은 CRC32를 포함하는 함수 또는 해쉬 함수에 의하여 이루어지는 악성 코드 재검사 방지 정보의 장시간 운용 방법을 제공한다.In addition, the above process provides a method for long-term operation of the malicious code re-check prevention information made by a function including a CRC32 or a hash function.

또한, 상기 비교 결과 상기 제 1 태그와 상기 제 2 태그가 상이한 경우 상기 파일을 상기 재검사 방지 리스트에 남겨두는 악성 코드 재검사 방지 정보의 장시간 운용 방법을 제공한다.In addition, when the first tag and the second tag is different as a result of the comparison provides a long-term operation method of the malicious code re-scan prevention information to leave the file on the re-scan prevention list.

또한, 상기 진단 엔진의 언로드 시 상기 재검사 방지 리스트 또는 상기 시그너처 리스트 중 어느 하나 이상을 저장하며, 상기 진단 엔진의 로드 시 상기 재검사 방지 리스트 또는 상기 시그너처 리스트 중 어느 하나 이상을 업데이트하는 악성 코드 재검사 방지 정보의 장시간 운용 방법을 제공한다.In addition, when the diagnostic engine is unloaded, any one or more of the rescanning prevention list or the signature list is stored, and when reloading the diagnostic engine, malicious code rescanning prevention information is updated at least one of the rescanning prevention list or the signature list. It provides a long time operation method of.

또한, 상기 진단 엔진의 업데이트에서 바이러스 진단 코드가 추가된 경우 상기 진단 엔진의 첫 번째 실행 시 상기 재검사 방지 리스트에 등록된 파일에 대한 감염 여부 검사를 수행하는 악성 코드 재검사 방지 정보의 장시간 운용 방법을 제공한다.In addition, when a virus diagnosis code is added in an update of the diagnosis engine, a method for long-term operation of anti-malware rescan prevention information for performing an infection check on a file registered in the rescan prevention list at the first execution of the diagnosis engine is provided. do.

또한, 상기 등록된 파일에 대한 감염 여부 검사는 상기 파일의 헤더, EP 영역 또는 프로그램 끝 영역 중 어느 하나 이상에 대하여 이루어지는 악성 코드 재검사 방지 정보의 장시간 운용 방법을 제공한다.In addition, the infection check for the registered file provides a long-term operation method of anti-malware re-scanning information performed on at least one of a header, an EP area, or a program end area of the file.

상기 목적을 달성하기 위하여 본 발명의 제 2 측면은, 상기 어느 하나의 방법을 실행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체를 제공한다.In order to achieve the above object, a second aspect of the present invention provides a computer-readable recording medium having recorded thereon a program for executing any one of the above methods.

상기 목적을 달성하기 위하여 본 발명의 제 3 측면은, 진단 엔진에 의한 감염 여부 검사가 이루어진 하나 이상의 파일에 대하여 상기 파일의 태그(TAG)인 제 1 태그를 포함하는 재검사 방지 리스트를 저장하는 재검사 방지 리스트 저장부와, 상기 진단 엔진의 하나 이상의 시그너처에 대하여 상기 시그너처의 태그인 제 2 태그를 포함하는 시그너처 리스트에 있어서 상기 시그너처 리스트의 업데이트 시 추가되는 시그너처의 제 2 태그와 상기 재검사 방지 리스트의 각 파일의 제 1 태그를 비교하는 태그 비교부, 및 상기 비교 결과 상기 제 1 태그와 상기 제 2 태그가 동일한 경우 상기 파일을 상기 재검사 방지 리스트에서 삭제하는 재검사 방지 리스트 관리부를 포함하는 악성 코드 재검사 방지 정보의 장시간 운용 장치를 제공한다.In order to achieve the above object, a third aspect of the present invention provides a rescan prevention for storing a rescan prevention list including a first tag which is a tag TAG of the file, for at least one file that has been scanned for infection by a diagnosis engine. A signature list including a list storage unit and a second tag which is a tag of the signature with respect to one or more signatures of the diagnostic engine, each file of the signature and the second tag of the signature added upon updating of the signature list; A tag comparison unit for comparing the first tag of the anti-malware rescanning prevention information, and a rescanning prevention list management unit for deleting the file from the rescanning prevention list when the first tag and the second tag are the same as the comparison result. Providing a long time operating device.

또한, 상기 태그는 상기 파일 또는 시그너처의 일부를 가공한 값을 포함하는 악성 코드 재검사 방지 정보의 장시간 운용 장치를 제공한다.In addition, the tag provides a device for a long time operation of the malicious code re-scan prevention information including a value of processing a part of the file or signature.

또한, 상기 파일 또는 시그너처의 일부는 MZ 헤더, PE 헤더, EP영역 또는 파일 뒷 부분 중 어느 하나 이상을 포함하는 악성 코드 재검사 방지 정보의 장시간 운용 장치를 제공한다.In addition, a portion of the file or signature provides a long-term operation device of the malicious code re-scan prevention information including any one or more of an MZ header, a PE header, an EP area, or the back of the file.

또한, 상기 가공은 CRC32를 포함하는 함수 또는 해쉬 함수에 의하여 이루어 지는 악성 코드 재검사 방지 정보의 장시간 운용 장치를 제공한다.In addition, the processing provides a device for a long time operation of the malicious code re-scan prevention information made by a function including a CRC32 or a hash function.

또한, 상기 진단 엔진의 업데이트에서 바이러스 진단 코드가 추가된 경우 상기 진단 엔진의 첫 번째 실행 시 상기 재검사 방지 리스트에 등록된 파일에 대한 감염 여부 검사를 수행하는 감염 여부 검사부를 포함하는 악성 코드 재검사 방지 정보의 장시간 운용 장치를 제공한다.In addition, when a virus diagnosis code is added in an update of the diagnosis engine, malware rescan prevention information including an infection check unit that performs an infection check on a file registered in the rescan prevention list when the diagnosis engine is first executed. Provides a long time operating device.

또한, 상기 등록된 파일에 대한 감염 여부 검사는 상기 파일의 헤더, EP 영역 또는 프로그램 끝 영역 중 어느 하나 이상에 대하여 이루어지는 악성 코드 재검사 방지 정보의 장시간 운용 장치를 제공한다.In addition, the infection check for the registered file provides a long-term operation device of the anti-malware re-scanning information performed on at least one of the header, the EP area, or the program end area of the file.

본 발명에 의하면, 재검사 방지 정보 및 시그너처에 태그를 추가하여 시그널로 이용함으로써 악성 코드에 대한 방어가 강화되는 효과가 있다.According to the present invention, by adding a tag to the rescan prevention information and signature and using it as a signal, defense against malicious code can be enhanced.

또한, 진단 엔진의 시그너처 업데이트 시에도 재검사 방지 정보를 선택적으로 유지함으로써 진단 속도가 향상되는 효과가 있다.In addition, the diagnostic speed is improved by selectively maintaining the retest prevention information even when the signature of the diagnostic engine is updated.

이하 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. The following terms are defined in consideration of the functions of the present invention, and may be changed according to the intentions or customs of the user, the operator, and the like. Therefore, the definition should be based on the contents throughout this specification.

도 1은 종래 기술에서 시그너처 리스트 업데이트 전후의 재검사 방지 리스트의 사용을 도시한 것이다. 도 1a는 업데이트 전, 도 1b는 업데이트 후의 상황을 나타낸다.1 illustrates the use of a recheck prevention list before and after signature list update in the prior art. Figure 1a before the update, Figure 1b shows the situation after the update.

먼저 도 1a를 참조한다. 파일 리스트(110)는 사용자 시스템 내에 존재하는 파일의 목록을 나타낸다. explorer.exe(111)를 비롯한 파일들의 파일명, 크기, 종류, 수정한 날짜 등에 관한 정보가 나열되어 있다. 이러한 파일에 대하여 진단 엔진이 감염 여부 검사를 수행하고 나면, 이들 중 악성 코드에 감염되지 않은 파일에 대하여 재검사 방지 리스트(120)가 생성된다.Reference is first made to FIG. 1A. File list 110 represents a list of files that exist within a user system. Lists the file name, size, type, modified date, etc. of files including explorer.exe (111). After the diagnosis engine performs an infection check on the files, the rescan prevention list 120 is generated for the files not infected with the malicious code.

종래 기술에서는 일반적인 진단 수행 시, 파일 리스트(110)와 재검사 방지 리스트(120)를 참조하여 재검사 방지 리스트(120)에 존재하는 정보들이 변경되지 않은 경우 검사를 스킵(skip)했다. 예를 들면, 파일 리스트(110) 내의 explorer.exe(111)와 재검사 방지 리스트(120) 내의 explorer.exe(121)의 파일명, 크기, 수정한 날짜 등을 비교한다. 파일 리스트(110) 내의 explorer.exe(111)의 수정한 날짜가 2009-03-10 오후 2:30인데, 재검사 방지 리스트(120) 내의 explorer.exe(121)의 수정한 날짜는 2008-04-14 오전 11:27 인 경우, 비교 결과 양자는 상이하므로 최종 검사 후 explorer.exe(111) 파일에 어떠한 변화가 일어난 것으로 판단할 수 있다. 이러한 경우 explorer.exe(111) 파일을 재검사 대상으로 취급하여 검사를 스킵하지 않고 시그니처 리스트(130)를 참조하여 실제 진단을 수행한다. 시그니처 리스트(130)에는 Win-Trojan/OnelineGameHack(131) 등의 시그니처가 포함되어 있음을 확인할 수 있다.In the related art, when a general diagnosis is performed, a check is skipped when the information on the rescan prevention list 120 is not changed with reference to the file list 110 and the rescan prevention list 120. For example, file names, sizes, modified dates, and the like of explorer.exe 111 in the file list 110 and explorer.exe 121 in the rescan prevention list 120 are compared. The modified date of the explorer.exe (111) in the file list 110 is 2/30/2009 2:30 PM, and the modified date of the explorer.exe (121) in the anti-rescan list 120 is 2008-04-10. In the case of 11:27 AM, since the comparison results are different, it can be determined that any change has occurred in the explorer.exe (111) file after the final inspection. In this case, the explorer.exe (111) file is treated as a rescan target, and the actual diagnosis is performed by referring to the signature list 130 without skipping the scan. It can be seen that the signature list 130 includes signatures such as Win-Trojan / OnelineGameHack 131.

다음으로 도 1b를 참조한다. 도 1a의 기존 시그니처 리스트(130)에 포함되어 있던 Win-Trojan/OnelineGameHack(131) 시그니처 외에도 Win-Spyware/Agent(132) 시그니처가 추가되었음을 알 수 있다. 종래의 기술에서는 시그니처 업데이트 시 상술한 문제점 때문에 재검사 방지 리스트(120)를 초기화(125)한다. 초기화(125) 결과 재검사 방지 리스트(120)에는 아무런 정보도 남아 있지 않게 된다. 따라서 진단 엔진은 재검사 방지 리스트에 참조할 정보가 없기 때문에, 파일 리스트(110)의 각 파일을 시그너처 리스트(130)의 시그너처를 직접 참조하면서 진단을 수행하게 된다.Next, reference is made to FIG. 1B. In addition to the Win-Trojan / OnelineGameHack 131 signature included in the existing signature list 130 of FIG. 1A, it can be seen that the Win-Spyware / Agent 132 signature has been added. In the related art, the retest prevention list 120 is initialized 125 because of the above-described problems when updating a signature. As a result of the initialization 125, no information remains in the re-check prevention list 120. Therefore, since there is no information to be referred to in the rescan prevention list, the diagnosis engine performs diagnosis while directly referring to the signature of the signature list 130 for each file of the file list 110.

도 2는 본 발명의 일 실시예에 따른 시그니처 리스트 업데이트 전후의 재검사 방지 리스트의 사용을 도시한 것이다. 도 2a는 업데이트 전, 도 2b는 업데이트 후의 상황을 나타낸다.2 illustrates the use of an anti-rescan list before and after updating a signature list according to an embodiment of the present invention. Figure 2a before the update, Figure 2b shows the situation after the update.

먼저 도 2a를 참조한다. 파일 리스트(110)는 도 1a에 도시한 종래 기술의 경우와 차이가 없다. 그러나 재검사 방지 리스트(120) 및 시그너처 리스트(130)에 태그(TAG)에 관한 정보가 추가되었다는 점이 다르다. 태그는 실제 파일의 일부의 정보를 읽어서 그 정보 또는 그 정보의 가공 결과를 기록한 것이다. 여기서 실제 파일의 일부는 파일의 MZ 헤더(header), PE 헤더, EP 영역, 파일 뒷 부분 등 악성 코드 감염 여부에 따라 변경이 이루어지는 파일의 정보가 기록된 부분이 될 수 있다. 가공 과정에서는 CRC32 등의 함수 또는 해쉬 함수(hash function)가 사용될 수 있으며, 스트링(string), 상수 값 등이 지정될 수도 있다. 태그의 구조에 대해서는 뒤에서 자세히 설명한다. First, reference is made to FIG. 2A. The file list 110 is no different from that of the prior art shown in Fig. 1A. However, the difference between the information about the tag TAG is added to the re-check prevention list 120 and the signature list 130. The tag reads information of a part of the actual file and records the information or the processing result of the information. Here, a part of the actual file may be a part in which information of the file that is changed depending on whether or not a malicious code is infected, such as a MZ header, a PE header, an EP area, or the back of the file, may be recorded. In the process, a function such as CRC32 or a hash function may be used, and a string, a constant value, or the like may be specified. The structure of the tags is described in detail later.

우선 explorer.exe(221)의 태그는 28BF8D22, ie7.exe의 태그는 549A93E9, 깃털.bmp의 태그는 80CA8F54임을 확인할 수 있다. 본 실시예에서 태그는 각 파일의 지정된 일부의 정보를 CRC32 함수를 이용하여 가공한 결과 값으로 생성할 수 있다. 시그너처 리스트(130)의 Win-Trojan/OnelineGameHack.B(231)에도 43A47C25라는 태그가 추가되었음을 확인할 수 있다. 재검사 방지 리스트(120)를 참조하여 스킵 여부를 결정할 때, 파일 리스트(110) 및 재검사 방지 리스트(120)의 태그 정보를 일종의 시그널(signal)로 활용할 수 있다. 파일 리스트(110) 내의 explorer.exe(111)와 재검사 방지 리스트(120) 내의 explorer.exe(121)의 수정한 날짜가 상이하다는 점을 비교하는 것에 추가하여, 양자의 태그를 비교하여 스킵 여부를 결정할 수도 있는 것이다. 그러한 경우 감염 파일의 크기나 수정 날짜를 변화시키지 않는 바이러스에 대한 시스템 방어를 강화할 수 있게 된다. 파일 리스트(110)의 태그는 사용자가 확인 가능하도록 구현될 수도 있다.First, the tag of explorer.exe 221 is 28BF8D22, the tag of ie7.exe is 549A93E9, and the tag of feather.bmp is 80CA8F54. In the present embodiment, the tag may generate the information of the designated part of each file as a processed value by using the CRC32 function. It can be seen that the tag 43A47C25 is added to Win-Trojan / OnelineGameHack.B 231 of the signature list 130. When determining whether to skip with reference to the retest prevention list 120, the tag information of the file list 110 and the retest prevention list 120 may be used as a signal. In addition to comparing that the modified dates of explorer.exe (111) in the file list (110) and explorer.exe (121) in the rescan prevention list (120) are different, compare the tags of both to see whether or not to skip. You can decide. In that case, you can strengthen your system's defense against viruses that do not change the size or modification date of the infected file. The tag of the file list 110 may be implemented so that the user can check it.

다음으로 도 2b를 참조한다. 도 1b에서와 마찬가지로, 종래의 시그너처 리스트(130)에 Win-Spyware/Agent.B(232) 시그니처가 추가되었음을 알 수 있다. 종래의 기술에서는 시그니처 업데이트 시 재검사 방지 리스트(120)를 초기화(125)하여 재검사 방지 리스트(120)에는 아무런 정보도 남아 있지 않게 된다. 그러나 본 발명에 의하면 진단 엔진 또는 시그너처가 업데이트 되더라도 재검사 방지 리스트(120)는 일괄적으로 초기화되지 않는다. 본 발명의 일 실시예는 시그너처 리스트(130)의 추가된 시그너처(232)의 태그와 재검사 방지 리스트(120)의 각 파일의 태그를 비교하여 재검사 방지 정보의 유지 여부를 결정한다. 진단 엔진 또는 시그 너처의 업데이트 시 재검사 방지 정보 중 업데이트 된 시그너처와 충돌되는 정보만을 선택적으로 삭제하는 것이다.Next, reference is made to FIG. 2B. As shown in FIG. 1B, it can be seen that the Win-Spyware / Agent.B 232 signature is added to the conventional signature list 130. According to the related art, the retest prevention list 120 is initialized 125 when the signature is updated so that no information remains in the retest prevention list 120. However, according to the present invention, even when the diagnosis engine or signature is updated, the retest prevention list 120 is not collectively initialized. An embodiment of the present invention compares the tag of the added signature 232 of the signature list 130 with the tag of each file of the rescan prevention list 120 to determine whether to maintain the rescan prevention information. When updating the diagnosis engine or signature, only re-inspection information that is in conflict with the updated signature is selectively deleted.

예를 들어, Win-Spyware/Agent.B(232)의 태그는 28BF8D22로, 재검사 방지 리스트(120)의 explorer.exe(221)의 태그인 28BF8D22와 동일한 경우가 있을 수 있다. 이것은 재검사 방지 리스트(120) 내의 explorer.exe(221) 파일이 악성 코드 Win-Spyware/Agent.B (232)에 감염되었을 확률이 높은 상황으로 판단된다. 이러한 경우 재검사 방지 리스트(120)에서 explorer.exe(221)만을 삭제하고, 시그너처 리스트(130)에 존재하는 어떤 시그너처의 태그와도 일치하지 않는 태그를 가진 다른 파일들은 재검사 방지 리스트(120)에 잔류시킬 수 있다. 재검사 방지 리스트(120)는 메모리(memory) 또는 디스크(disk) 등에 저장될 수 있으며, 진단 엔진이 로드(load)될 때 다시 사용될 수 있다.For example, the tag of Win-Spyware / Agent.B 232 may be 28BF8D22, which may be the same as 28BF8D22 which is a tag of explorer.exe 221 of the rescan prevention list 120. This is judged to be a situation in which the explorer.exe 221 file in the rescan prevention list 120 has a high probability of being infected with the malicious code Win-Spyware / Agent.B 232. In this case, only explorer.exe 221 is deleted from the rescan prevention list 120, and other files with a tag that does not match any tag of the signature existing in the signature list 130 remain in the rescan prevention list 120. You can. The retest prevention list 120 may be stored in a memory or a disk and used again when the diagnostic engine is loaded.

한편, 진단 엔진 업데이트 시, 시그너처뿐만 아니라 바이러스 진단 코드가 추가적으로 포함되는 경우에는 또 다른 실시예가 있을 수 있다. 진단 엔진의 첫 번째 실행과 두 번째 이후 실행에 대하여, 재검사 방지 리스트에 등록된 파일에 대한 감염 여부 검사에 있어서의 스킵 여부를 달리 판단하는 것이다. 첫 번째 실행에 대하여, 헤더, EP(Entry Point) 영역, 프로그램 끝 영역 중 어느 하나 이상에 대한 체크(check) 검사를 실시하여 안전성 여부를 확인할 수 있다. 한편 두 번째 이후 실행에 대하여는, 기본 정보에 대한 검사만을 수행하여 진단 효율성을 높일 수 있다. 여기서 기본 정보는 파일명, 크기, 작성 또는 수정한 날짜, 태그 등을 포함할 수 있다. 바이러스 진단 코드가 추가적으로 포함되지 않고 단순하게 시그 니처만을 추가하는 업데이트의 경우에도 파일의 기본 정보에 대한 검사만을 수행하고 스킵할 수 있다. 이러한 실시예의 구성을 통하여 빈번한 검사가 이루어지는 샘플은 최초의 체크 검사 이후 그 이상의 검사를 실시하지 않아 진단 성능을 증대시킬 수 있게 된다.Meanwhile, when the diagnostic engine is updated, a virus diagnosis code may be additionally included in addition to the signature, there may be another embodiment. For the first execution of the diagnostic engine and the second and subsequent executions, it is determined differently whether to skip the infection check for the file registered in the rescan prevention list. For the first execution, a check check may be performed on at least one of a header, an entry point (EP) area, and a program end area to confirm safety. On the other hand, in the second and subsequent executions, only the basic information may be examined to increase diagnostic efficiency. The basic information may include a file name, size, date created or modified, a tag, and the like. In the case of an update that does not include additional virus diagnostic code and simply adds a signature, it can only check and skip the basic information of the file. Through the configuration of this embodiment, a sample that is frequently tested may not perform more tests after the first check test, thereby increasing diagnostic performance.

또한, 진단 엔진의 언로드(unload) 시 재검사 방지 리스트(120) 또는 시그너처 리스트(130) 중 어느 하나 이상을 저장하며, 진단 엔진의 로드(load) 시 재검사 방지 리스트(120) 또는 시그너처 리스트(130) 중 어느 하나 이상을 업데이트하도록 구현될 수도 있다.Also, at least one of the retest prevention list 120 or the signature list 130 is stored when the diagnostic engine is unloaded, and the retest prevention list 120 or the signature list 130 is loaded when the diagnostic engine is loaded. It may be implemented to update any one or more of the above.

도 3은 본 발명의 일 실시예에 따른 태그의 구성을 도시한 것이다.3 illustrates a configuration of a tag according to an embodiment of the present invention.

태그(310)는 파일 또는 시그너처의 일부 중 대표 값으로부터 생성된 부분인 TAG1, TAG2와 상세 값으로부터 생성된 부분인 TAG3, TAG4로 구분될 수 있다. 대표 값 및 상세 값으로부터 생성된 부분은 각각 위치에 해당하는 정보와 값에 해당하는 정보 부분으로 구성된다. 대표 값의 위치에 대한 태그를 TAG1(311), 대표 값의 값(value)에 대한 태그를 TAG2(312), 상세 값의 위치에 대한 태그를 TAG3(313), 상세 값의 값에 대한 태그를 TAG4(314)라고 할 수 있다. 실시예에 따라 파일 또는 시그너처의 일부의 가공은 CRC32 함수에 의하여 수행할 수 있다. CRC32 함수를 사용하는 경우 기존의 체크 섬에 비하여 정확도가 높으면서 해쉬 함수에 비해서는 데이터 크기가 32bit 등으로 작아 효율이 높다. 대표 값의 태그는 MZ 헤더, PE 헤더, EP(Entry Point) 영역 또는 파일 뒷 부분 중 어느 하나 이상의 가공 결과인 체크 섬(check sum) 값으로 구현될 수 있다.The tag 310 may be divided into TAG1 and TAG2, which are parts generated from the representative value, of a part of the file or signature, and TAG3 and TAG4, which are parts generated from the detailed value. The portion generated from the representative value and the detail value is composed of the information corresponding to the position and the information corresponding to the value, respectively. Tag for the position of the representative value TAG1 (311), tag for the value of the representative value (TAG2 312), tag for the position of the detail value TAG3 (313), tag for the value of the detail value It may be referred to as TAG4 (314). In some embodiments, the processing of the file or part of the signature may be performed by a CRC32 function. In the case of using the CRC32 function, the accuracy is higher than that of the conventional checksum and the data size is 32 bit, etc., higher than the hash function, resulting in high efficiency. The tag of the representative value may be implemented as a check sum value that is a result of processing of any one or more of an MZ header, a PE header, an entry point (EP) area, or the back of the file.

도 4 는 본 발명의 일 실시예에 따른 재검사 방지 정보의 장시간 운용 방법의 각 단계를 도시한 흐름도이다.4 is a flowchart illustrating each step of the long-term operation method of the re-examination prevention information according to an embodiment of the present invention.

먼저, 감염 여부 검사가 이루어진 파일의 태그인 제 1 태그를 포함하는 재검사 방지 리스트를 생성하고(S410), 진단 엔진의 시그너처의 태그인 제 2 태그를 포함하는 시그너터 리스트를 생성한다(S420). 시그너처 리스트의 업데이트 시, 추가되는 시그너처의 제 2 태그와 재검사 방지 리스트의 제 1 태그를 비교한다(S430). 비교 결과가 동일한 파일은 재검사 방지 리스트에서 삭제하고(S440), 비교 결과가 상이한 파일은 재검사 방지 리스트에 잔류시킨다(S445). 이러한 흐름을 통하여 재검사 방지 정보를 장시간 운용할 수 있게 된다.First, a rescan prevention list including a first tag, which is a tag of a file on which an infection has been checked, is generated (S410), and a signature list including a second tag, which is a tag of a signature of a diagnosis engine, is generated (S420). When updating the signature list, the second tag of the signature to be added is compared with the first tag of the recheck prevention list (S430). Files having the same comparison result are deleted from the rescanning prevention list (S440), and files having different comparison results are left in the rescanning prevention list (S445). Through this flow, it is possible to operate the retest prevention information for a long time.

도 5는 본 발명의 일 실시예에 따른 재검사 방지 정보 장시간 운용 장치의 개략적인 구조를 도시한 블록도이다.5 is a block diagram illustrating a schematic structure of a re-test prevention information long time operation apparatus according to an embodiment of the present invention.

파일 저장부(410)에는 사용자 시스템의 파일이 저장되며, 감염 여부 검사부(420)는 진단 엔진을 로드하여 파일 저장부(410)에 저장된 파일에 대한 검사를 실시한다. 재검사 방지 리스트 저장부(430)는 진단 엔진에 의한 감염 여부 검사가 이루어진 하나 이상의 파일에 대하여 그 파일의 태그(TAG)인 제 1 태그를 포함하는 재검사 방지 리스트를 저장한다.The file storage unit 410 stores a file of the user system, and the infection check unit 420 loads a diagnostic engine to check a file stored in the file storage unit 410. The rescan prevention list storage unit 430 stores a rescan prevention list including a first tag, which is a tag TAG of the file, for at least one file that has been scanned for infection by a diagnosis engine.

시그너처 관리 서버(440)는 신종 악성 코드에 대한 진단 엔진의 시그너처를 업데이트 하는 등 시그너처의 관리를 수행한다. 시그너처 리스트 저장부(450)는 진단 엔진의 하나 이상의 시그너처에 대하여 그 시그너처의 태그인 제 2 태그를 포함하는 시그너처 리스트를 저장한다. 시그너처 리스트 저장부(450)는 사용자 시스 템 또는 시그너처 관리 서버 중 어느 쪽에서도 구현될 수 있다. 태그 비교부(460)는 시그너처 리스트의 업데이트 시 추가되는 시그너처의 제 2 태그와 재검사 방지 리스트의 각 파일의 제 1 태그를 비교한다. 비교 결과를 전송 받은 재검사 방지 리스트 관리부(470)는 비교 결과가 동일한 파일을 재검사 방지 리스트에서 삭제한다.The signature management server 440 manages signatures, such as updating signatures of diagnostic engines for new malicious codes. The signature list storage unit 450 stores a signature list including one or more signatures of the diagnostic engine, the second tag being a tag of the signature. The signature list storage unit 450 may be implemented in either the user system or the signature management server. The tag comparison unit 460 compares the second tag of the signature added when the signature list is updated with the first tag of each file of the rescan prevention list. The rescan prevention list management unit 470 which has received the comparison result deletes the file having the same comparison result from the rescan prevention list.

상술한 본 발명의 실시예들의 모듈, 기능 블록들 또는 수단들은 전자 회로, 집적 회로, ASIC (Application Specific Integrated Circuit) 등 공지된 다양한 소자들로 구현될 수 있으며, 각각 별개로 구현되거나 2 이상이 하나로 통합되어 구현될 수 있다.Modules, functional blocks or means of the embodiments of the present invention described above may be implemented in a variety of known elements such as electronic circuits, integrated circuits, ASICs (Application Specific Integrated Circuit), each implemented separately or two or more It can be integrated.

이상과 같이 본 발명의 이해를 위하여 그 실시예를 기술하였으나, 당업자라면 알 수 있듯이, 본 발명은 본 명세서에서 기술된 특정 실시예에 한정되는 것이 아니라, 본 발명의 범주를 벗어나지 않는 범위 내에서 다양하게 변형, 변경 및 대체될 수 있다. 예를 들어, 문자 대신 기타 LCD 등 디스플레이에 의해 표시될 수 있는 그림, 영상 등에도 본 발명의 기술이 적용될 수 있다. 따라서, 본 발명의 진정한 사상 및 범주에 속하는 모든 변형 및 변경을 특허청구범위에 의하여 모두 포괄하고자 한다.Although the embodiments have been described for the understanding of the present invention as described above, it will be understood by those skilled in the art, the present invention is not limited to the specific embodiments described herein, but variously without departing from the scope of the present invention. May be modified, changed and replaced. For example, the technique of the present invention may be applied to a picture, an image, etc., which may be displayed by a display such as an LCD instead of a character. Therefore, it is intended that the present invention cover all modifications and variations that fall within the true spirit and scope of the present invention.

도 1은 종래 기술에서 시그너처 리스트 업데이트 전후의 재검사 방지 리스트의 사용을 도시한 것이다.1 illustrates the use of a recheck prevention list before and after signature list update in the prior art.

도 2는 본 발명의 일 실시예에 따른 시그너처 리스트 업데이트 전후의 재검사 방지 리스트의 사용을 도시한 것이다.2 illustrates the use of a re-examination prevention list before and after updating a signature list according to an embodiment of the present invention.

도 3은 본 발명의 일 실시예에 의한 태그의 구성을 도시한 것이다.3 illustrates a structure of a tag according to an embodiment of the present invention.

도 4 는 본 발명의 일 실시예에 따른 재검사 방지 정보의 장시간 운용 방법의 각 단계를 도시한 흐름도이다.4 is a flowchart illustrating each step of the long-term operation method of the re-examination prevention information according to an embodiment of the present invention.

도 5 는 본 발명의 일 실시예에 따른 재검사 방지 정보의 장시간 운용 장치의 개략적인 구조를 도시한 블록도이다.5 is a block diagram illustrating a schematic structure of a device for a long time operation of re-test prevention information according to an exemplary embodiment of the present invention.

Claims (15)

진단 엔진에 의한 감염 여부 검사가 이루어진 하나 이상의 파일에 대하여 상기 파일의 태그(TAG)인 제 1 태그를 포함하는 재검사 방지 리스트를 생성하고,Generating a rescan prevention list including a first tag which is a tag of the file for at least one file that has been scanned for infection by a diagnostic engine, 상기 진단 엔진의 하나 이상의 시그너처에 대하여 상기 시그너처의 태그인 제 2 태그를 포함하는 시그너처 리스트를 생성하고,Generate a signature list for one or more signatures of the diagnostic engine, the signature list comprising a second tag that is a tag of the signature, 상기 시그너처 리스트의 업데이트 시 추가되는 시그너처의 제 2 태그와 상기 재검사 방지 리스트의 각 파일의 제 1 태그를 비교하며,Comparing the second tag of the signature added when the signature list is updated with the first tag of each file of the recheck prevention list; 상기 비교 결과 상기 제 1 태그와 상기 제 2 태그가 동일한 경우 상기 파일을 상기 재검사 방지 리스트에서 삭제하되,If the first tag and the second tag is the same as a result of the comparison, the file is deleted from the rescan prevention list, 상기 진단 엔진의 언로드 시 상기 재검사 방지 리스트 또는 상기 시그너처 리스트 중 어느 하나 이상을 저장하며,At least one of the re-check prevention list or the signature list is stored when the diagnostic engine is unloaded. 상기 진단 엔진의 로드 시 상기 재검사 방지 리스트 또는 상기 시그너처 리스트 중 어느 하나 이상을 업데이트하는Updating any one or more of the retest prevention list or the signature list when the diagnostic engine is loaded 악성 코드 재검사 방지 정보의 장시간 운용 방법.How to use malware rescan prevention information for a long time. 제 1항에 있어서,The method of claim 1, 상기 태그는 상기 파일 또는 시그너처의 일부를 가공한 값을 포함하는The tag includes a value that processes a portion of the file or signature. 악성 코드 재검사 방지 정보의 장시간 운용 방법.How to use malware rescan prevention information for a long time. 제 2항에 있어서,3. The method of claim 2, 상기 파일 또는 시그너처의 일부는 MZ 헤더, PE 헤더, EP 영역 또는 파일 뒷 부분 중 어느 하나 이상을 포함하는The portion of the file or signature comprises at least one of an MZ header, a PE header, an EP region, or the back of the file. 악성 코드 재검사 방지 정보의 장시간 운용 방법.How to use malware rescan prevention information for a long time. 제 2항에 있어서,3. The method of claim 2, 상기 가공은 CRC32를 포함하는 함수 또는 해쉬 함수에 의하여 이루어지는The processing is accomplished by a function or hash function containing CRC32. 악성 코드 재검사 방지 정보의 장시간 운용 방법.How to use malware rescan prevention information for a long time. 제 1항에 있어서,The method of claim 1, 상기 비교 결과 상기 제 1 태그와 상기 제 2 태그가 상이한 경우 상기 파일을 상기 재검사 방지 리스트에 남겨두는If the first tag and the second tag are different from each other as a result of the comparison, 악성 코드 재검사 방지 정보의 장시간 운용 방법.How to use malware rescan prevention information for a long time. 삭제delete 제 1 항에 있어서,The method of claim 1, 상기 진단 엔진의 업데이트에서 바이러스 진단 코드가 추가된 경우 상기 진단 엔진의 첫 번째 실행 시 상기 재검사 방지 리스트에 등록된 파일에 대한 감염 여부 검사를 수행하는When a virus diagnosis code is added in an update of the diagnosis engine, the first execution of the diagnosis engine performs an infection check on a file registered in the rescan prevention list. 악성 코드 재검사 방지 정보의 장시간 운용 방법.How to use malware rescan prevention information for a long time. 제 7항에 있어서,The method of claim 7, wherein 상기 등록된 파일에 대한 감염 여부 검사는 상기 파일의 헤더, EP 영역 또는 프로그램 끝 영역 중 어느 하나 이상에 대하여 이루어지는The infection check of the registered file is performed on at least one of a header, an EP area, and a program end area of the file. 악성 코드 재검사 방지 정보의 장시간 운용 방법.How to use malware rescan prevention information for a long time. 제1항 내지 제5항, 제7항 또는 제8항 중 어느 한 항에 기재된 방법을 실행하는 프로그램이 기록된A program for executing the method according to any one of claims 1 to 5, 7 or 8 is recorded. 컴퓨터로 읽을 수 있는 기록매체.Computer-readable recording media. 진단 엔진에 의한 감염 여부 검사가 이루어진 하나 이상의 파일에 대하여 상기 파일의 태그(TAG)인 제 1 태그를 포함하는 재검사 방지 리스트를 저장하는 재검사 방지 리스트 저장부와,A rescan prevention list storage unit configured to store a rescan prevention list including a first tag which is a tag TAG of the file, for at least one file that has been scanned for infection by a diagnosis engine; 상기 진단 엔진의 하나 이상의 시그너처에 대하여 상기 시그너처의 태그인 제 2 태그를 포함하는 시그너처 리스트에 있어서 상기 시그너처 리스트의 업데이트 시 추가되는 시그너처의 제 2 태그와 상기 재검사 방지 리스트의 각 파일의 제 1 태그를 비교하는 태그 비교부와,In a signature list including a second tag that is a tag of the signature for one or more signatures of the diagnostic engine, the second tag of the signature added when the signature list is updated and the first tag of each file of the recheck prevention list With the tag comparison part to compare, 상기 비교 결과 상기 제 1 태그와 상기 제 2 태그가 동일한 경우 상기 파일을 상기 재검사 방지 리스트에서 삭제하는 재검사 방지 리스트 관리부와,A rescan prevention list manager for deleting the file from the rescan prevention list when the first tag and the second tag are the same as the comparison result; 상기 진단 엔진의 업데이트에서 바이러스 진단 코드가 추가된 경우 상기 진단 엔진의 첫 번째 실행 시 상기 재검사 방지 리스트에 등록된 파일에 대한 감염 여부 검사를 수행하는 감염 여부 검사부If the virus diagnosis code is added in the update of the diagnosis engine, an infection check unit that performs an infection check on a file registered in the rescan prevention list at the first execution of the diagnosis engine 를 포함하는 악성 코드 재검사 방지 정보의 장시간 운용 장치.Long-term operating device of the malware re-scan prevention information, including. 제 10항에 있어서,The method of claim 10, 상기 태그는 상기 파일 또는 시그너처의 일부를 가공한 값을 포함하는The tag includes a value that processes a portion of the file or signature. 악성 코드 재검사 방지 정보의 장시간 운용 장치.Prolonged operation of malware rescan prevention information. 제 11항에 있어서,The method of claim 11, 상기 파일 또는 시그너처의 일부는 MZ 헤더, PE 헤더, EP 영역 또는 파일 뒷 부분 중 어느 하나 이상을 포함하는The portion of the file or signature comprises at least one of an MZ header, a PE header, an EP region, or the back of the file. 악성 코드 재검사 방지 정보의 장시간 운용 장치.Prolonged operation of malware rescan prevention information. 제 11항에 있어서,The method of claim 11, 상기 가공은 CRC32를 포함하는 함수 또는 해쉬 함수에 의하여 이루어지는The processing is accomplished by a function or hash function containing CRC32. 악성 코드 재검사 방지 정보의 장시간 운용 장치.Prolonged operation of malware rescan prevention information. 삭제delete 제 10항에 있어서,The method of claim 10, 상기 등록된 파일에 대한 감염 여부 검사는 상기 파일의 헤더, EP 영역 또는 프로그램 끝 영역 중 어느 하나 이상에 대하여 이루어지는The infection check of the registered file is performed on at least one of a header, an EP area, and a program end area of the file. 악성 코드 재검사 방지 정보의 장시간 운용 장치.Prolonged operation of malware rescan prevention information.
KR1020090035072A 2009-04-22 2009-04-22 Method and Apparatus for Longtime-Maintaining Reexamination Protecting Information for Malicious Code, and Computer Readable Recording Medium Containing Program thereof KR101064940B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090035072A KR101064940B1 (en) 2009-04-22 2009-04-22 Method and Apparatus for Longtime-Maintaining Reexamination Protecting Information for Malicious Code, and Computer Readable Recording Medium Containing Program thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090035072A KR101064940B1 (en) 2009-04-22 2009-04-22 Method and Apparatus for Longtime-Maintaining Reexamination Protecting Information for Malicious Code, and Computer Readable Recording Medium Containing Program thereof

Publications (2)

Publication Number Publication Date
KR20100116392A KR20100116392A (en) 2010-11-01
KR101064940B1 true KR101064940B1 (en) 2011-09-15

Family

ID=43403402

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090035072A KR101064940B1 (en) 2009-04-22 2009-04-22 Method and Apparatus for Longtime-Maintaining Reexamination Protecting Information for Malicious Code, and Computer Readable Recording Medium Containing Program thereof

Country Status (1)

Country Link
KR (1) KR101064940B1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101277623B1 (en) * 2012-01-27 2013-06-21 주식회사 안랩 White list synchronization server and client device
KR101337216B1 (en) * 2012-02-21 2013-12-05 주식회사 안랩 Computer system and siglature verification server
KR102042045B1 (en) * 2017-08-22 2019-11-08 주식회사 하우리 Apparatus, method and system for detecting malicious code
WO2020189822A1 (en) * 2019-03-20 2020-09-24 주식회사 하우리 Diagnosis apparatus, diagnosis method, and diagnosis system for malicious code in cloud environment

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070083930A1 (en) * 2005-10-11 2007-04-12 Jim Dumont Method, telecommunications node, and computer data signal message for optimizing virus scanning
KR100832088B1 (en) 2006-04-24 2008-05-27 주식회사 리미트정보통신 Signature Graph Hybrid Intrusion Detection System
KR20090052596A (en) * 2007-11-21 2009-05-26 한국전자통신연구원 A method and a device for malware detection

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070083930A1 (en) * 2005-10-11 2007-04-12 Jim Dumont Method, telecommunications node, and computer data signal message for optimizing virus scanning
KR100832088B1 (en) 2006-04-24 2008-05-27 주식회사 리미트정보통신 Signature Graph Hybrid Intrusion Detection System
KR20090052596A (en) * 2007-11-21 2009-05-26 한국전자통신연구원 A method and a device for malware detection

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
WAVScanner: 웹기반 안티 바이러스 스캐너 설계 및 구현, 한국인터넷정보학회 제5권제3호, pp.11-24(2004.06.)*

Also Published As

Publication number Publication date
KR20100116392A (en) 2010-11-01

Similar Documents

Publication Publication Date Title
US9679136B2 (en) Method and system for discrete stateful behavioral analysis
Pietraszek et al. Defending against injection attacks through context-sensitive string evaluation
RU2551820C2 (en) Method and apparatus for detecting viruses in file system
US10055585B2 (en) Hardware and software execution profiling
JP4732484B2 (en) Exploit code analysis method and apparatus in non-executable file using virtual environment
RU2531861C1 (en) System and method of assessment of harmfullness of code executed in addressing space of confidential process
US11159541B2 (en) Program, information processing device, and information processing method
US8316448B2 (en) Automatic filter generation and generalization
JP5265061B1 (en) Malicious file inspection apparatus and method
CN109583202B (en) System and method for detecting malicious code in address space of process
US8307434B2 (en) Method and system for discrete stateful behavioral analysis
CN103150506B (en) The method and apparatus that a kind of rogue program detects
US20070152854A1 (en) Forgery detection using entropy modeling
US20060185016A1 (en) System, computer program product and method of selecting sectors of a hard disk on which to perform a virus scan
US20150302191A1 (en) Program execution apparatus and program analysis apparatus
US8595836B2 (en) Functional patching/hooking detection and prevention
KR20090075861A (en) On demand virus scan
KR101064940B1 (en) Method and Apparatus for Longtime-Maintaining Reexamination Protecting Information for Malicious Code, and Computer Readable Recording Medium Containing Program thereof
KR101327740B1 (en) apparatus and method of collecting action pattern of malicious code
CN113312623B (en) Process detection method and device in access control, electronic equipment and storage medium
KR101183096B1 (en) Apparatus and method for inspecting malicious code
JP2018195155A (en) Program, information processing apparatus, and information processing method
US20210157925A1 (en) Selective runtime activation of anti-rop defense
CN116010946A (en) Data processing method and device, electronic equipment and storage medium
CN115221513A (en) Malicious file detection method, device, equipment and storage medium

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150907

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160907

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170907

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190909

Year of fee payment: 9