KR20120039569A - Apparatus for preventing malicious codes using executive files - Google Patents

Apparatus for preventing malicious codes using executive files Download PDF

Info

Publication number
KR20120039569A
KR20120039569A KR1020120009240A KR20120009240A KR20120039569A KR 20120039569 A KR20120039569 A KR 20120039569A KR 1020120009240 A KR1020120009240 A KR 1020120009240A KR 20120009240 A KR20120009240 A KR 20120009240A KR 20120039569 A KR20120039569 A KR 20120039569A
Authority
KR
South Korea
Prior art keywords
executable file
blocking
file
module
agent system
Prior art date
Application number
KR1020120009240A
Other languages
Korean (ko)
Inventor
이재한
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR1020120009240A priority Critical patent/KR20120039569A/en
Publication of KR20120039569A publication Critical patent/KR20120039569A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Abstract

PURPOSE: A device for preventing malicious codes using executive files is provided to prevent generation of executive files including malicious codes or changes of executive files due to the malicious codes, thereby protecting a system from the malicious codes without a separate update process. CONSTITUTION: A database(114) stores an original information value. The original information value includes a value to which a hash function is applied to executive files stored in an agent system. A blocking module(102) sets a blocking mode for moving, deleting, generating, or changing the executive files. The blocking module backs an original executive file up when the executive file is changed in the blocking mode. A file executing module(104) compares an information value including a value to which a hash function is applied with an original information value of the database to determine execution of a specific execution file.

Description

실행 파일을 이용한 악성 코드 차단 장치{APPARATUS FOR PREVENTING MALICIOUS CODES USING EXECUTIVE FILES}Anti-malware device using executable file {APPARATUS FOR PREVENTING MALICIOUS CODES USING EXECUTIVE FILES}

본 발명은 악성 코드 차단에 관한 것으로, 더욱 상세하게는 에이전트 시스템 내 실행 파일들이 이동, 삭제, 변경 또는 생성되는 것을 차단하여 악성 코드를 포함한 실행 파일이 에이전트 시스템에 생성되거나 악성 코드에 의해 실행 파일들이 변경되는 것을 방지할 수 있는 실행 파일을 이용한 악성 코드 차단 장치 및 방법에 관한 것이다.
The present invention relates to blocking malicious code, and more particularly, to block executable files in an agent system from being moved, deleted, changed, or created so that executable files including malicious code are generated in the agent system or executable files are generated by malicious code. The present invention relates to a malicious code blocking device and method using an executable file that can be prevented from being changed.

일반적으로 전용 에이전트 시스템, 예컨대 전용 개인 컴퓨터 장비에 악성 코드 감염을 막기 위해서 안티바이러스 엔진을 갖고 있는 클라이언트용 안티바이러스 제품을 설치하여 악성 코드의 감염을 차단하고 있다. 악성 코드 감염을 막기 위해서 기존 안티바이러스 엔진은 개인용 컴퓨터에서 주기적으로 안티바이러스 엔진을 업데이트함과 더불어 시스템의 보안 업데이트가 필요하다.In general, in order to prevent malware infection on a dedicated agent system, such as a dedicated personal computer device, an antivirus product for a client having an antivirus engine is installed to prevent infection of malware. In order to prevent malware infection, existing anti-virus engines need to update their anti-virus engines regularly on their personal computers, as well as update their security.

한편, 관리자가 전용 기능을 갖는 컴퓨터 시스템에서 사용하는 악성 코드 차단 방법은 악성 코드 진단 프로그램과 병행하여 지정되지 않는 파일의 실행을 차단하는데, 여기서 지정되지 않는 파일의 실행을 차단하기 위하여 기존의 Secure OS가 설치된 시스템에서는 파일의 경로명, 파일명, 해쉬 등을 조합하여 규칙을 설정하고, 설정된 규칙에 맞지 않는 파일의 실행 또는 읽기를 차단한다.On the other hand, the malicious code blocking method used by the administrator on a computer system with a dedicated function blocks execution of an unspecified file in parallel with the malware diagnosis program. In order to block execution of an unspecified file, the existing Secure OS On the installed system, set the rule by combining the file's path name, file name, and hash, and block the execution or reading of the file that does not meet the set rule.

그러나, 상기와 같은 컴퓨터 시스템에서 악성 코드 진단 프로그램을 이용하여 악성 코드를 치료할 때 오진으로 인하여 컴퓨터 시스템에 필요한 파일을 삭제하는 경우가 종종 발생하기 때문에 컴퓨터 시스템에서 필요한 기능을 수행하지 못하는 문제점이 있을 뿐만 아니라 악성 코드에 의해 컴퓨터 시스템 내 파일들이 변경되는 문제점이 있다.
However, there is a problem in that the computer system cannot perform the necessary functions because the misdiagnosis often causes the deletion of files necessary for the computer system when the malicious code is used to repair the malicious code in the computer system. However, there is a problem that files in the computer system are changed by malicious code.

상기와 같은 문제점을 해결하기 위한 것으로서, 본 발명의 목적은 에이전트 시스템 내에 설치된 실행 파일의 이동, 삭제, 변경 또는 생성하는 것을 차단하는 차단 모드 상태에서 특정 실행 파일을 실행할 때 특정 실행 파일에 대한 악성 코드 감염 여부를 검사한 후 검사 완료된 특정 실행 파일의 DNA값과 데이터베이스에 저장된 원본 DNA값간의 비교를 통해 실행 파일을 실행하거나 차단함으로써, 별도의 복잡한 규칙 없이 악성 코드를 포함한 실행 파일이 생성되거나 악성 코드에 의해 실행 파일들이 변경되는 것을 방지할 수 있는 실행 파일을 이용한 악성 코드 차단 장치 및 방법을 제공하는데 있다. In order to solve the above problems, an object of the present invention is to provide malicious code for a specific executable file when executing the specific executable file in a blocking mode that blocks movement, deletion, change, or creation of the executable file installed in the agent system. Execution or blocking is executed by comparing the DNA value of the scanned specific executable file with the original DNA value stored in the database, and the executable file containing the malicious code is generated without any complicated rules. The present invention provides an apparatus and method for preventing malicious code using an executable file that can prevent the executable files from being changed.

본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
The objects of the present invention are not limited to the above-mentioned objects, and other objects not mentioned can be clearly understood by those skilled in the art from the following description.

본 발명의 목적을 달성하기 위해 본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치는, 에이전트 시스템 내 저장된 실행 파일 각각에 대한 원본 DNA값이 저장되어 있는 데이터베이스와, 상기 실행 파일들의 이동, 변경 또는 생성을 차단시키기 위한 차단 모드를 설정하며, 상기 차단 모드에서 상기 에이전트 시스템 내 임의의 실행 파일이 변경되는 경우 변경 전의 원본 실행 파일을 백업하는 차단 모듈과, 상기 에이전트 시스템 내 특정 실행 파일에 대한 실행 요청이 있는 경우 상기 특정 실행 파일의 DNA값과 상기 데이터베이스에 저장된 상기 특정 실행 파일의 원본 DNA값간의 비교하여 상기 특정 실행 파일을 실행 여부를 결정하며, 상기 특정 실행 파일이 상기 임의의 실행 파일인 경우 상기 백업된 원본 실행 파일을 복구하여 실행시키는 파일 실행 모듈을 포함한다.In order to achieve the object of the present invention, an apparatus for preventing malicious code using an executable file according to an embodiment of the present invention includes a database storing original DNA values for each executable file stored in an agent system, movement of the executable files, A blocking module for setting a blocking mode for blocking a change or creation, and when an executable file in the agent system is changed in the blocking mode, a blocking module for backing up the original executable file before the change, and for a specific executable file in the agent system When there is an execution request, it is determined whether to execute the specific executable file by comparing the DNA value of the specific executable file with the original DNA value of the specific executable file stored in the database, and wherein the specific executable file is the arbitrary executable file. If the original backup file is restored by running Contains file execution modules.

본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치는 상기 에이전트 시스템 내 실행 파일에 대한 업데이트 요청이 있는 경우 상기 에이전트 시스템 내 실행 파일 각각에 대한 DNA값과 데이터베이스간의 비교를 통해 상기 실행 파일들에 대한 변경 유무를 확인하여 상기 차단 모드를 해제 여부를 결정하는 차단 해제 모듈을 포함할 수 있다.The malicious code blocking apparatus using the executable file according to an embodiment of the present invention, when there is a request for updating the executable file in the agent system, compares the executable files by comparing the DNA value of each executable file in the agent system with a database. It may include a block release module for determining whether to release the blocking mode by checking the presence or absence of the change.

본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치에서 상기 차단 모듈은, 통신망을 통해 연결된 관리 서버의 요청에 따라 상기 차단 모드를 설정할 수 있다.In the apparatus for blocking malicious code using an executable file according to an embodiment of the present disclosure, the blocking module may set the blocking mode according to a request of a management server connected through a communication network.

본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치는, 상기 차단 모드 상태에서 상기 특정 실행 파일에 실행 요청이 있는 경우 상기 특정 실행 파일에 대한 악성 코드 검사를 수행한 후 상기 검사가 완료된 특정 실행 파일을 상기 파일 실행 모듈에 제공하는 악성 코드 검사 모듈을 더 포함할 수 있다.In the malicious code blocking apparatus using an executable file according to an embodiment of the present invention, when there is a request to execute the specific executable file in the blocking mode, the malicious code blocking apparatus performs a malicious code scan on the specific executable file, and then the specific scan is completed. It may further include a malicious code inspection module for providing an executable file to the file execution module.

본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치에서 상기 악성 코드 검사 모듈은 상기 특정 실행 파일에 대한 악성 코드 검사 결과에 의거하여 알림 메시지를 생성할 수 있다.In the malicious code blocking device using the executable file according to an embodiment of the present invention, the malicious code inspection module may generate a notification message based on a malicious code scan result for the specific executable file.

본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치에서 상기 알림 메시지는, 로그 발생, 알림창 생성 또는 이메일 형태로 생성될 수 있다.In the malicious code blocking device using an executable file according to an embodiment of the present invention, the notification message may be generated in the form of a log, a notification window, or an e-mail.

본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치에서 상기 파일 실행 모듈은, 상기 특정 실행 파일의 DNA값과 상기 데이터베이스에 저장된 원본 DNA값이 일치하지 않을 경우 상기 특정 실행 파일의 실행을 차단함과 더불어 통신망을 통해 연결된 관리 서버에 상기 특정 실행 파일의 DNA값을 전송하여 검사를 요청할 수 있다.In the malicious code blocking apparatus using the executable file according to an embodiment of the present invention, the file execution module blocks execution of the specific executable file when the DNA value of the specific executable file does not match the original DNA value stored in the database. In addition, the test may be requested by transmitting the DNA value of the specific executable file to a management server connected through a communication network.

본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치는, 상기 차단 모드에서 상기 에이전트 시스템의 관리자에 요청에 따라 임의의 실행 파일을 이동, 삭제, 생성 또는 변경할 수 있는 관리자 모드로 상기 에이전트 시스템을 설정하는 관리자 모듈을 더 포함할 수 있다.The malicious code blocking apparatus using an executable file according to an embodiment of the present invention, the agent system in the administrator mode that can move, delete, create or change any executable file in response to the administrator of the agent system in the blocking mode. It may further include an administrator module for setting the.

본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치는, 상기 차단 해제 모듈에 의해 상기 차단 모드가 해제된 후 상기 에이전트 시스템 내 실행 파일들이 업데이트됨에 따라 상기 업데이트된 실행 파일들의 DNA값을 이용하여 상기 데이터베이스를 업데이트시키는 업데이트 모듈을 더 포함할 수 있다.An apparatus for blocking malicious code using an executable file according to an embodiment of the present invention uses DNA values of the updated executable files as executable files in the agent system are updated after the blocking mode is released by the unblocking module. It may further include an update module for updating the database.

본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치에서 상기 차단 모듈은, 상기 데이터베이스가 업데이트되면 상기 에이전트 시스템을 상기 차단 모드로 재설정할 수 있다.In the malicious code blocking apparatus using an executable file according to an embodiment of the present invention, the blocking module may reset the agent system to the blocking mode when the database is updated.

다른 견지에서, 본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 방법은 에이전트 시스템이 구동되면, 실행 파일들의 이동, 삭제, 생성 또는 변경을 차단시키기 위한 차단 모드를 설정하는 단계와, 상기 에이전트 시스템에서 특정 실행 파일에 대한 실행 요청이 있는 경우 상기 특정 실행 파일에 대한 악성 코드 감염 여부를 검사하는 단계와, 상기 검사가 완료된 특정 실행 파일의 DNA값을 산출하는 단계와, 상기 산출된 DNA값과 상기 데이터베이스에 저장된 상기 특정 실행 파일의 원본 DNA값간을 비교하여 일치하지 않을 경우 상기 특정 실행 파일을 차단시키는 단계를 포함한다.In another aspect, the malicious code blocking method using an executable file according to an embodiment of the present invention, if the agent system is running, setting a blocking mode for blocking the movement, deletion, creation or change of the executable file, and the agent If there is a request for execution of a specific executable file in a system, checking whether the malicious code is infected with the specific executable file, calculating a DNA value of the specific executable file that has been scanned, the calculated DNA value, Comparing the original DNA values of the specific executable files stored in the database and blocking the specific executable files if they do not match.

본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 방법은 상기 차단 모드 상태에서 임의의 실행 파일에 대한 변경 요청이 있는지를 판단하는 단계와, 상기 변경 요청이 있는 경우 상기 임의의 실행 파일이 변경되기 전 원본 임의의 실행 파일을 백업한 후 상기 임의의 실행 파일을 변경하는 단계와, 상기 변경된 임의의 실행 파일에 대한 실행 요청이 있는 경우 상기 백업된 원본 임의의 실행 파일을 복구하여 실행시키는 단계를 더 포함할 수 있다.In the malicious code blocking method using an executable file according to an embodiment of the present invention, determining whether there is a change request for any executable file in the blocking mode state, and if the change request is received, the arbitrary executable file is changed. Backing up the original arbitrary executable file before the change and changing the arbitrary executable file, and recovering and executing the backed up original executable file if there is a request for execution of the changed arbitrary executable file. It may further include.

본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 방에서 상기 임의의 실행 파일을 복구시키는 단계는, 상기 변경된 임의의 실행 파일에 대한 실행 요청이 있는 경우 상기 변경된 임의의 실행 파일에 대한 악성 코드 감염 여부를 검사하는 단계와, 상기 변경된 임의의 실행 파일에 대한 DNA값과 상기 데이터베이스에 저장된 DNA값간의 비교를 통해 상기 변경된 임의의 실행 파일에 대한 삭제를 결정하는 단계와, 상기 백업된 원본 실행 파일을 복구하여 실행시키는 단계를 포함할 수 있다.Restoring the arbitrary executable file in the malicious code blocking room using the executable file according to an embodiment of the present invention, when there is an execution request for the changed arbitrary executable file, the malicious code for the changed arbitrary executable file Determining the deletion of the modified arbitrary executable file by comparing the DNA value of the modified arbitrary executable file with the DNA value stored in the database; It may include the step of restoring to run.

본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 방법에서 상기 악성 코드 감염 여부를 검사하는 단계는, 상기 변경된 임의의 실행 파일에 대한 악성 코드 감염 여부를 검사하며, 상기 검사 결과 상기 변경된 임의의 실행 파일이 악성 코드에 감염된 경우 이에 대한 알림 메시지만을 생성하여 상기 에이전트 시스템의 관리자에게 제공하는 단계를 더 포함할 수 있다.
In the malicious code blocking method using an executable file according to an embodiment of the present invention, the checking whether the malicious code is infected includes checking whether the malicious code is infected with the changed executable file, and as a result of the checking, the modified random file is detected. When the executable file is infected with malicious code, the method may further include generating only a notification message and providing the same to an administrator of the agent system.

본 발명은 에이전트 시스템 내 실행 파일들이 이동, 삭제, 변경 또는 생성되는 것을 차단함으로써, 악성 코드를 포함한 실행 파일이 생성되거나 악성 코드에 의해 실행 파일들이 변경되는 것을 방지할 수 있기 때문에 별도의 업데이트 없이 악성 코드로부터 시스템을 보호할 수 있는 효과가 있다.The present invention prevents executable files including malicious code from being created or modified by malicious codes by blocking moving, deleting, changing, or creating executable files in the agent system. The effect is to protect the system from code.

또한, 본 발명은 에이전트 시스템 내에 설치된 실행 파일을 이동, 삭제, 변경 또는 생성하는 것을 차단하고, 실행 파일을 실행할 때 데이터베이스에 저장된 원본 DNA값과 실행 파일의 DNA값간의 비교를 통해 실행 파일을 실행하거나 차단함으로써, 별도의 안티바이러스 엔진의 업데이트나 시스템의 업데이트 없이 적은 리소스로 에이전트 시스템의 보안성을 향상시킬 수 있다.
In addition, the present invention prevents moving, deleting, changing, or creating an executable file installed in an agent system, and executes the executable file through comparison between the original DNA value stored in the database and the DNA value of the executable file when executing the executable file; By blocking them, you can improve the security of your agent system with fewer resources without updating your antivirus engine or your system.

도 1은 본 발명의 실시 예에 따른 악성 코드 차단을 위한 악성 코드 차단 장치 및 그 주변 구성을 도시한 블록도이며,
도 2는 본 발명의 실시 예에 따른 악성 코드 차단 장치가 악성 코드를 차단하는 과정을 도시한 흐름도이다.1 is a block diagram showing a malicious code blocking device and its surrounding configuration for blocking malicious code according to an embodiment of the present invention,
2 is a flowchart illustrating a process of blocking malicious code by an apparatus for blocking malicious code according to an embodiment of the present invention.

본 발명의 목적 및 효과, 그리고 그것들을 달성하기 위한 기술적 구성들은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. The objects and effects of the present invention and the technical configurations for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The following terms are defined in consideration of the functions of the present invention, and may be changed according to the intentions or customs of the user, the operator, and the like.

본 발명은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CO-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. The present invention can be embodied as computer-readable codes on a computer-readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CO-ROM, magnetic tape, floppy disks, optical data storage devices, and the like, which may also be implemented in the form of carrier waves (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있다. 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. The present embodiments are merely provided to complete the disclosure of the present invention and to fully inform the scope of the invention to those skilled in the art, and the present invention is defined by the scope of the claims. It will be. Therefore, the definition should be based on the contents throughout this specification.

본 발명의 실시 예에서는 에이전트 시스템 내에 설치된 실행 파일을 이동, 삭제, 변경 또는 생성하는 것을 차단하고, 차단 모드 상태에서 특정 실행 파일을 실행할 때 특정 실행 파일에 대한 악성 코드 감염 여부를 검사한 후 검사 완료된 특정 실행 파일의 DNA값과 데이터베이스에 저장된 원본 DNA값간의 비교를 통해 실행 파일을 실행하거나 차단하는 실행 파일을 이용한 악성 코드 차단 장치 및 방법에 대해 설명한다.In an embodiment of the present invention, blocking the movement, deletion, change, or creation of an executable file installed in an agent system, and when the specific executable file is executed in the blocking mode, the malware is infected with the specific executable file and then scanned. This article describes a malicious code blocking device and method using an executable file that executes or blocks an executable file by comparing the DNA value of a specific executable file with an original DNA value stored in a database.

이하, 첨부된 도면을 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.Hereinafter, with reference to the accompanying drawings will be described an embodiment of the present invention;

도 1은 본 발명의 실시 예에 따른 악성 코드 차단을 위한 악성 코드 차단 장치 및 그 주변 구성을 도시한 블록도로서, 크게 에이전트 시스템에 설치되는 악성 코드 차단 장치(100) 및 에이전트 시스템과 유무선 통신망을 통해 연결된 관리 서버(150)로 구성된다.1 is a block diagram illustrating a malicious code blocking device and its surrounding configuration for blocking malicious code according to an embodiment of the present invention, the malware blocking device 100 and the agent system and the wired and wireless communication network largely installed in the agent system It consists of a management server 150 connected through.

에이전트 시스템은 저사양의 단말로서, 그 예로 공장 시스템을 관리하기 위한 단말, POS 시스템, 생산 관리 시스템 등을 들 수 있다. 이러한 에이전트 시스템에는 악성 코드 차단 장치(100)가 설치되는데, 이러한 악성 코드 차단 장치(100)는 차단 모듈(102), 파일 실행 모듈(104), 차단 해제 모듈(106), 관리자 모듈(108), 업데이트 모듈(110), 악성 코드 검사 모듈(112) 및 데이터베이스(114)를 포함한다.The agent system is a low specification terminal, and examples thereof include a terminal for managing a factory system, a POS system, a production management system, and the like. The anti-malware device 100 is installed in such an agent system. The anti-malware device 100 may include a blocking module 102, a file execution module 104, an unblocking module 106, an administrator module 108, Update module 110, malware inspection module 112, and database 114.

본 발명의 실시 예에 따른 데이터베이스(114)에는 에이전트 시스템 내에 저장된 실행 파일 각각에 대한 부분별 원본 DNA값이 저장되어 있다. 여기서, 실행 파일은 일반적인 EXE 파일, 실행 가능 코드를 갖는 스크립트 파일, 스크립트 기능을 갖고 있는 문서 파일 등을 들 수 있으며, DNA값은 CRC 기반의 해쉬 함수를 적용한 값을 그 예로 들 수 있다.In the database 114 according to an embodiment of the present invention, original DNA values of parts of each executable file stored in the agent system are stored. Here, the executable file may include a general EXE file, a script file having executable code, a document file having a script function, and the like, and the DNA value may be a value obtained by applying a CRC-based hash function.

차단 모듈(102)은 에이전트 시스템 내 실행 파일들의 이동, 삭제, 생성 또는 변경을 차단시키기 위한 차단 모드를 설정하는 수단으로서, 에이전트 시스템이 초기 구동될 때 에이전트 시스템을 차단 모드로 설정하여 실행 파일들이 이동, 삭제, 생성 또는 변경되는 것을 차단시킨다. The blocking module 102 is a means for setting a blocking mode for blocking movement, deletion, creation, or change of executable files in the agent system. When the agent system is initially started, the blocking module 102 moves the executable files by setting the agent system to the blocking mode. Blocks deletion, creation, or change

한편, 차단 모듈(102)은 차단 모드 상태에서 임의의 실행 파일이 변경되는 경우 변경 전 원본 임의의 실행 파일을 백업하고, 변경된 임의의 실행 파일에 대한 실행 요청이 있는 경우 변경된 임의의 실행 파일을 삭제하여 변경된 임의의 실행 파일이 실행되는 것을 차단시킨 후 백업된 원본 임의의 실행 파일을 파일 실행 모듈(104)에 제공함으로써, 백업된 원본 임의의 실행 파일을 실행시킨다.Meanwhile, the blocking module 102 backs up the original arbitrary executable file before the change when any executable file is changed in the blocking mode state, and deletes the changed executable file when there is an execution request for the changed executable file. By blocking the execution of the changed arbitrary executable file, and then providing the backed up original arbitrary executable file to the file execution module 104 to execute the backed up original arbitrary executable file.

차단 모듈(102)에서 변경된 임의의 실행 파일을 차단하는 방법으로는 변경된 임의의 실행 파일의 DNA값과 데이터베이스(114)에 저장된 DNA값간의 비교를 통해 일치하지 않을 경우 변경된 임의의 실행 파일을 차단시킨다.The blocking module 102 may block any executable file that has not been changed by comparing the DNA value of the changed executable file with the DNA value stored in the database 114. .

파일 실행 모듈(104)은 차단 모듈(102)로부터 제공받은 백업된 원본 임의의 실행 파일을 실행시키는데, 이때 백업된 원본 임의의 실행 파일과 데이터베이스(114)에 저장된 DNA값간의 비교를 통해 실행 여부를 결정한다.The file execution module 104 executes the backed up original arbitrary executable file provided from the blocking module 102, and executes the execution by comparing the backed up original arbitrary executable file with the DNA value stored in the database 114. Decide

즉, 파일 실행 모듈(104)은 에이전트 시스템에서 특정 실행 파일에 대한 실행 요청이 있는 경우 동작하는 수단으로서, 특정 실행 파일의 DNA값을 산출한 후 산출된 DNA값과 데이터베이스(114)에 저장된 특정 실행 파일의 원본 DNA값간의 비교를 통해 특정 실행 파일의 변경 여부를 검사하고, 검사 결과를 토대로 특정 파일을 실행시키거나 실행을 차단한다.That is, the file execution module 104 is a means for operating when there is a request for execution of a specific executable file in the agent system, and after calculating the DNA value of the specific executable file, the calculated DNA value and the specific execution stored in the database 114. By comparing the original DNA values of the files, it checks whether a specific executable file has been changed and executes or blocks the execution of the specific file based on the test result.

또한, 파일 실행 모듈(104)은 특정 실행 파일의 DNA값과 데이터베이스(114)에 저장된 특정 실행 파일의 원본 DNA값이 일치하지 않을 경우 유무선 통신망을 통해 연결된 관리 서버(150)에 특정 실행 파일의 DNA값을 전송하여 특정 실행 파일에 대한 검사를 요청할 수 있다.In addition, the file execution module 104 is a DNA of a specific executable file to the management server 150 connected through a wired or wireless communication network if the DNA value of the specific executable file and the original DNA value of the specific executable file stored in the database 114 does not match You can send a value to request a scan for a particular executable.

차단 해제 모듈(106)은 에이전트 시스템 내 실행 파일에 대한 업데이트 요청 또는 에이전트 시스템의 관리자로부터 요청이 있는 경우 동작하는 수단으로서, 에이전트 시스템 내 실행 파일 각각에 대한 DNA값을 산출하고, 산출된 DNA값과 데이터베이스(114)에 저장된 원본 DNA값간의 비교를 통해 실행 파일 각각에 대한 변경 여부를 확인한 후 차단 모드를 해제시킨다.The unblocking module 106 is a means that operates when an update request for an executable file in an agent system or a request from an administrator of the agent system is requested. The unblocking module 106 calculates a DNA value for each executable file in the agent system, The blocking mode is released after checking whether each of the executable files has been changed by comparing the original DNA values stored in the database 114.

즉, 차단 해제 모듈(106)은 에이전트 시스템 내 실행 파일들이 변경되었는지를 데이터베이스(114)에 저장된 원본 DNA값과 에이전트 시스템 내 실행 파일들 각각의 DNA값간의 일치 여부를 통해 확인한 후 차단 모듈(102)에 의해 설정된 차단 모드 해제를 결정하며, 차단 모드 해제에 따라 관리자는 에이전트 시스템에 새로운 프로그램을 설치하거나 에이전트 시스템 내에 파일을 변경 또는 삭제시킬 수 있다.That is, the unblocking module 106 checks whether the executable files in the agent system have been changed by checking whether the original DNA value stored in the database 114 and the DNA value of each of the executable files in the agent system match. It determines the release of the blocking mode set by the administrator, and according to the release of the blocking mode, the administrator can install a new program or change or delete files in the agent system.

관리자 모듈(108)은 에이전트 시스템이 차단 모드로 동작하는 상태에서 관리자의 요청에 따라 에이전트 시스템이 인지하지 못하는 악성 코드 파일의 치료 또는 삭제를 위해 특정 실행 파일에 대한 이동, 삭제, 생성 또는 변경할 수 있는 관리자 모드를 설정할 수 있는 인터페이스를 제공한다. The administrator module 108 may move, delete, create, or change a specific executable file for the treatment or deletion of malicious code files that the agent system does not recognize at the request of the administrator while the agent system operates in the blocking mode. Provides an interface for setting the administrator mode.

다시 말해서, 관리자 모듈(108)은 차단 모드 상태에서 에이전트 시스템을 관리자 모드로 설정할 수 있는 인터페이스를 제공한다.In other words, the manager module 108 provides an interface for setting the agent system to the manager mode in the blocked mode.

업데이트 모듈(110)은 차단 해제 모듈(106)에 의해 차단 모드가 해제된 후 에이전트 시스템 내 실행 파일들이 업데이트됨에 따라 업데이트된 실행 파일들의 DNA값을 이용하여 데이터베이스(114)에 저장된 원본 DNA값을 업데이트시킨다. 이와 같이, 데이터베이스(114)의 업데이트가 완료됨에 따라 차단 모듈(102)은 에이전트 시스템을 차단 모드로 설정한다.The update module 110 updates the original DNA values stored in the database 114 using the DNA values of the executable files updated as the executable files in the agent system are updated after the blocking mode is released by the unblocking module 106. Let's do it. In this manner, as the update of the database 114 is completed, the blocking module 102 sets the agent system to the blocking mode.

악성 코드 검사 모듈(112)은 에이전트 시스템 내 특정 파일에 대한 실행 요청이 있거나 기 설정된 주기로 에이전트 시스템 내 파일들에 대한 악성 코드 검사를 수행하는 수단으로서, 그 예로서 안티바이러스 엔진을 들 수 있다.The malicious code checking module 112 is a means for performing a malicious code checking on files in the agent system at a predetermined cycle or a request for execution of a specific file in the agent system.

본 발명의 실시 예에서 악성 코드 검사 모듈(112)은 에이전트 시스템 내 실행 파일이 변경되거나 특정 실행 파일에 대한 실행 요청이 있을 경우 변경된 실행 파일 또는 특정 실행 파일을 검사하여 악성 코드 감염 여부를 판단하고, 판단 결과에 의거하여 소정의 알림 메시지를 제공할 수 있는데, 이때 알림 메시지는 로그 생성, 알림창 생성 또는 관리자의 이메일로 이메일 전송을 통해 이루어질 수 있다.In an embodiment of the present invention, when the executable file in the agent system is changed or when there is a request for execution of a specific executable file, the malicious code scan module 112 determines whether the malicious code is infected by examining the changed executable file or the specific executable file, Based on the determination result, a predetermined notification message may be provided. In this case, the notification message may be generated by generating a log, generating a notification window, or sending an email to an administrator's email.

일반적으로 에이전트 시스템이 차단 모드로 전환하는 과정에서 당시의 악성 코드 검사 모듈(112)에서 악성 코드로 판별되지 않고 정상 파일로 판별되었지만, 이후의 악성 코드 검사 모듈(112)의 엔진 업데이트로 악성 코드로 판별되거나 악성 코드 판별 기능이 잘못된 업데이트로 정상 파일을 악성 코드로 판별할 수 있다. 이런 경우를 대비해서 본 발명의 실시 예에 따른 악성 코드 검사 모듈(112)이 특정 파일에 대한 검사 결과를 알림 메시지 형태로 관리자에게 제공해줌으로써, 에이전트 시스템의 관리자가 관리자 모듈(108)을 통해 관리자 모드로 에이전트 시스템을 설정하여 차단 모드 상태에서 수동으로 에이전트 시스템 내 실행 파일을 이동, 삭제, 생성 또는 변경할 수 있다.In general, the agent system is determined to be a normal file instead of a malicious code in the malware inspection module 112 at the time of switching to the blocking mode, but the engine update of the malware inspection module 112 afterwards results in malicious code. Malware can be identified as a malicious file with an incorrect update. In this case, the malware inspection module 112 according to an embodiment of the present invention provides the administrator with a scan result for a specific file in the form of a notification message, so that the administrator of the agent system uses the administrator module 108 in the administrator mode. By setting the agent system, you can manually move, delete, create, or change the executable files in the agent system in the blocking mode.

본 발명의 실시 예에서는 차단 모듈(102)이 자체적으로 차단 모드를 설정하는 것으로 예를 들어 설명하였지만, 유무선 통신망을 통해 연결된 관리 서버(150)로부터 제어에 의해 차단 모드를 설정할 수 있다. 여기서, 관리 서버(150)는 에이전트 시스템 악성 코드 검사 모듈(112)의 악성 코드 정보를 업데이트하기 위한 기능을 제공할 수 있는 안티바이러스 서비스 제공 업체에 의해 운영될 수 있으며, 다수의 에이전트 시스템을 관리할 수 있다. 즉, 관리 서버(150)는 다수의 에이전트 시스템에 차단 모드 설정을 요청할 수 있으며, 이에 따라 다수의 에이전트 시스템 내 악성 코드 차단 장치(100)는 차단 모드를 설정하여 실행 파일들이 이동, 삭제, 생성 또는 변경되는 것을 차단할 수 있다.In the exemplary embodiment of the present invention, the blocking module 102 sets the blocking mode by itself, for example. However, the blocking module 102 may set the blocking mode by control from the management server 150 connected through the wired / wireless communication network. Here, the management server 150 may be operated by an antivirus service provider that may provide a function for updating the malware information of the agent system malware inspection module 112, and manage a plurality of agent systems. Can be. That is, the management server 150 may request a plurality of agent systems to set a blocking mode, and accordingly, the malicious code blocking apparatus 100 of the plurality of agent systems sets a blocking mode to move, delete, or create executable files. You can block changes.

본 발명의 실시 예에 따르면, 차단 모듈(102)을 이용하여 에이전트 시스템 내 실행 파일들이 이동, 삭제, 변경 또는 생성되는 것을 차단함으로써, 악성 코드가 포함된 실행 파일이 추가되거나 악성 코드에 의해 기존의 실행 파일들이 변경되는 것을 방지할 수 있다.According to an embodiment of the present invention, by blocking the execution files in the agent system to be moved, deleted, changed or created by using the blocking module 102, an executable file containing malicious code is added or existing by the malicious code. You can prevent the executables from changing.

상기와 같은 구성을 갖는 악성 코드 차단 장치(100)가 동작하여 악성 코드를 차단하는 과정에 대해 도 2를 참조하여 설명한다.A process of blocking the malicious code by operating the malicious code blocking device 100 having the above configuration will be described with reference to FIG. 2.

도 2는 본 발명의 실시 예에 따른 악성 코드 차단 장치가 악성 코드를 차단하는 과정을 도시한 흐름도이다.2 is a flowchart illustrating a process of blocking malicious code by an apparatus for blocking malicious code according to an embodiment of the present invention.

도 2에 도시된 바와 같이, 에이전트 시스템의 악성 코드 차단 장치(100)는 실행 파일 각각에 대한 부분별 원본 DNA값을 산출한 후 이를 데이터베이스(114)에 저장한다(S200).As shown in FIG. 2, the malicious code blocking apparatus 100 of the agent system calculates an original DNA value for each part of each executable file and stores the original DNA value in the database 114 (S200).

그런 다음, 차단 모듈(102)은 실행 파일들이 이동, 삭제, 생성 또는 변경되는 것을 차단하기 위한 차단 모드를 설정한다(S202).Then, the blocking module 102 sets a blocking mode for blocking execution files from being moved, deleted, created or changed (S202).

이후, 악성 코드 차단 장치(100)의 파일 실행 모듈(104)은 특정 실행 파일에 대한 실행 요청이 있는지를 판단한다(S204).Thereafter, the file execution module 104 of the malicious code blocking apparatus 100 determines whether there is a request for executing a specific execution file (S204).

S204의 판단 결과, 특정 실행 파일에 대한 실행 요청이 있는 경우 악성 코드 검사 모듈(112)은 기 설정된 안타바이러스 엔진을 이용하여 특정 실행 파일에 대한 악성 코드 감염 여부를 검사하고, 검사 결과에 의거하여 알림 메시지를 생성한 후 이를 에이전트 시스템의 관리자에게 제공한다. 예를 들어, 특정 실행 파일이 악성 코드에 감염된 경우 악성 코드 검사 모듈(112)은 특정 실행 파일을 치료, 즉 수정 또는 삭제하지 않고 특정 실행 파일이 악성 코드에 감염되었음을 알리는 알림 메시지만을 생성하여 에이전트 시스템의 관리자에게 제공한다. 악성 코드 검사 모듈(112)에 의해 검사 완료된 특정 실행 파일은 파일 실행 모듈(104)에 제공된다.As a result of the determination of S204, when there is an execution request for a specific executable file, the malicious code scanning module 112 checks whether a malicious code is infected with the specific executable file using a preset antivirus engine, and notifies based on the scan result. Create a message and provide it to the manager of the agent system. For example, if a particular executable file is infected with malicious code, the malware inspection module 112 generates only a notification message indicating that the specific executable file is infected with malware without cleaning, ie, modifying or deleting the specific executable file. Should be provided to the administrator. The specific executable file checked by the malicious code inspection module 112 is provided to the file execution module 104.

한편, 파일 실행 모듈(104)은 악성 코드 검사 완료된 특정 실행 파일의 DNA값을 산출(S206)한 후 산출된 DNA값과 데이터베이스(114)에 저장된 특정 실행 파일의 원본 DNA값간의 비교를 통해 일치하는지의 여부를 판단한다(S208). On the other hand, the file execution module 104 calculates the DNA value of the specific executable file that has been scanned for malicious code (S206), and compares the calculated DNA value with the original DNA value of the specific executable file stored in the database 114 by comparison. It is determined whether or not (S208).

S208의 판단 결과, 산출된 DNA값과 원본 DNA값이 일치하는 경우 파일 실행 모듈(104)은 특정 실행 파일을 실행(S212)시키며, 그렇지 않을 경우 차단 모듈(102)은 특정 실행 파일에 대한 백업 파일이 존재하는지를 판단한다(S214).As a result of the determination of S208, when the calculated DNA value and the original DNA value match, the file execution module 104 executes a specific executable file (S212), otherwise the blocking module 102 performs a backup file for the specific executable file. It is determined whether there exists (S214).

S214의 판단 결과, 백업 파일이 존재할 경우 차단 모듈(102)은 특정 실행 파일을 삭제(S216)한 후 백업 파일을 파일 실행 모듈(104)에 제공하여 실행시킨다(S218).As a result of the determination of S214, when the backup file exists, the blocking module 102 deletes a specific execution file (S216) and then provides the backup file to the file execution module 104 to execute it (S218).

한편, S214의 판단 결과, 백업 파일이 존재하지 않을 경우 차단 모듈(102)은 특정 실행 파일을 삭제시킨 후 특정 실행 파일의 DNA값을 유무선 통신망을 통해 관리 서버(150)에 전송하여 특정 실행 파일의 악성 코드 감염 여부에 대한 검사를 요청할 수 있다(S220).On the other hand, when the determination result of S214, if the backup file does not exist, the blocking module 102 deletes the specific executable file and transmits the DNA value of the specific executable file to the management server 150 through the wired or wireless communication network to the specific executable file. It may request a test for malware infection (S220).

다른 한편, 에이전트 시스템의 악성 코드 차단 장치(100)는 관리자로부터 에이전트 시스템 내 실행 파일에 대한 업데이트 요청이 있는지를 판단한다(S222).On the other hand, the malicious code blocking device 100 of the agent system determines from the administrator whether there is an update request for the executable file in the agent system (S222).

S222의 판단 결과, 업데이트 요청이 있는 경우 차단 해제 모듈(106)은 에이전트 시스템 내 모든 실행 파일들에 대한 DNA값을 산출한 후 산출된 DNA값과 데이터베이스(114)에 저장된 원본 DNA값간의 비교를 통해 일치할 경우 차단 모듈(102)에 의해 설정된 차단 모드를 해제시키며, 이에 따라 관리자는 에이전트 시스템에 새로운 프로그램을 설치하거나 기존의 실행 파일의 이동, 삭제 또는 변경함으로써, 에이전트 시스템 내 실행 파일들을 업데이트시킬 수 있다. 실행 파일들에 대한 업데이트가 완료됨에 따라 업데이트 모듈(110)은 에이전트 시스템 내 업데이트된 실행 파일들을 이용하여 원본 DNA값을 산출한 후 이를 토대로 데이터베이스(114)를 업데이트시킨다(S224).As a result of the determination of S222, when there is an update request, the unblocking module 106 calculates DNA values for all executable files in the agent system and then compares the calculated DNA values with original DNA values stored in the database 114. If there is a match, the blocking mode set by the blocking module 102 is released. Accordingly, the administrator can update the executable files in the agent system by installing a new program or moving, deleting or changing an existing executable file on the agent system. have. As the update of the executable files is completed, the update module 110 calculates an original DNA value using the updated executable files in the agent system and updates the database 114 based on the original DNA value (S224).

이와 같이 업데이트가 완료(S226)됨에 따라 차단 모듈(102)은 에이전트 시스템 내 실행 파일들을 보호하기 위해 차단 모드를 다시 설정(S228)하며, 에이전트 시스템의 악성 코드 차단 장치(100)는 관리자로부터 악성 코드 검사 및 치료를 위한 차단 모드 해제 요청이 있는지를 판단한다(S230).As described above, as the update is completed (S226), the blocking module 102 resets the blocking mode to protect the executable files in the agent system (S228), and the malicious code blocking device 100 of the agent system receives the malicious code from the administrator. It is determined whether there is a request for release of the blocking mode for examination and treatment (S230).

S230의 판단 결과, 관리자로부터 차단 모드 해제 요청이 있는 경우 악성 코드 차단 장치(100)의 관리자 모듈(108)은 차단 모듈(102)에 의해 설정된 차단 모드를 해제시킴으로써, 관리자는 임의의 실행 파일을 이동, 삭제 또는 변경할 수 있다(S232).As a result of the determination in S230, when there is a request for releasing the blocking mode from the administrator, the administrator module 108 of the malicious code blocking apparatus 100 releases the blocking mode set by the blocking module 102, such that the administrator moves any executable file. , Can be deleted or changed (S232).

본 발명의 실시 예에 따르면, 에이전트 시스템 내에 설치된 실행 파일을 이동, 삭제, 변경 또는 생성하는 것을 차단하고, 실행 파일을 실행할 때 데이터베이스(114)에 저장된 원본 DNA값과 실행 파일의 DNA값간의 비교를 통해 실행 파일을 실행하거나 차단함으로써, 별도의 안티바이러스 엔진의 업데이트나 시스템의 업데이트 없이 적은 리소스로 에이전트 시스템의 보안성을 향상시킬 수 있다.According to an embodiment of the present invention, it is possible to block moving, deleting, changing, or generating an executable file installed in the agent system, and comparing the original DNA value stored in the database 114 with the DNA value of the executable file when executing the executable file. By running or blocking executable files, you can improve the security of the agent system with fewer resources without updating the antivirus engine or updating the system.

이상 본 발명의 구체적 실시 형태를 참조하여 본 발명을 설명하였으나, 이는 예시에 불과하며 본 발명의 범위를 제한하는 것이 아니다. 당업자는 본 발명의 범위를 벗어나지 않는 범위 내에서 설명된 실시형태들을 변경 또는 변형할 수 있다. 본 명세서에서 설명된 각 기능 블록들 또는 수단들은 프로그램 형식으로 구현될 수 있으며, 각각 별개로 구현되거나 2 이상이 하나로 통합되어 구현될 수 있다. 본 명세서 및 청구범위에서 별개인 것으로 설명된 모듈 등의 구성요소는 단순히 기능상 구별된 것으로 물리적으로는 하나의 수단으로 구현될 수 있으며, 단일한 것으로 설명된 수단 등의 구성요소도 수개의 구성요소의 결합으로 이루어질 수 있다. 또한 본 명세서에서 설명된 각 방법 단계들은 본 발명의 범위를 벗어나지 않고 그 순서가 변경될 수 있고, 다른 단계가 부가될 수 있다. 뿐만 아니라, 본 명세서에서 설명된 다양한 실시형태들은 각각 독립하여서뿐만 아니라 적절하게 결합되어 구현될 수도 있다. 따라서 본 발명의 범위는 설명된 실시형태가 아니라 첨부된 청구범위 및 그 균등물에 의해 정해져야 한다.
The present invention has been described above with reference to specific embodiments of the present invention, but this is only illustrative and does not limit the scope of the present invention. Those skilled in the art can change or modify the described embodiments without departing from the scope of the present invention. Each of the functional blocks or means described in the present specification may be implemented in a program form, and may be implemented separately, or two or more may be integrated into one. Components such as modules described as separate in the specification and claims may be merely functionally distinct and may be physically implemented by one means, and components such as means described as a single element may be divided into several components. It can be made in combination. In addition, each method step described herein may be changed in order without departing from the scope of the present invention, and other steps may be added. In addition, the various embodiments described herein may be implemented independently as well as each other as appropriate. Therefore, the scope of the invention should be defined by the appended claims and their equivalents, rather than by the described embodiments.

100 : 악성 코드 차단 장치 102 : 차단 모듈
104 : 파일 실행 모듈 106 : 차단 해제 모듈
108 : 관리자 모듈 110 : 업데이트 모듈
112 : 데이터베이스 150 : 관리 서버100: malware blocking device 102: blocking module
104: file execution module 106: unblocking module
108: manager module 110: update module
112: database 150: management server

Claims (1)

에이전트 시스템 내 저장된 실행 파일 각각에 대하여 해쉬 함수를 적용한 값을 포함하는 원본 정보값이 저장되어 있는 데이터베이스와,
상기 실행 파일의 이동, 삭제, 생성 또는 변경을 차단시키기 위한 차단 모드를 설정하며, 상기 차단 모드에서 상기 에이전트 시스템 내 임의의 실행 파일이 변경되는 경우 상기 임의의 실행 파일의 변경 전 원본 실행 파일을 백업하는 차단 모듈과,
상기 에이전트 시스템 내 특정 실행 파일에 대한 실행 요청이 있는 경우 상기 특정 실행 파일에 대하여 해쉬 함수를 적용한 값을 포함하는 정보값과 상기 데이터베이스에 저장된 상기 특정 실행 파일의 원본 정보값을 비교하여 상기 특정 실행 파일의 실행 여부를 결정하는 파일 실행 모듈을 포함하되,
상기 실행 모듈은, 상기 특정 실행 파일이 상기 변경된 임의의 실행 파일인 경우, 상기 백업된 원본 실행 파일을 실행하는
실행 파일을 이용한 악성 코드 차단 장치.A database in which original information values including a hash function value are stored for each executable file stored in the agent system;
Set a blocking mode for blocking movement, deletion, creation or change of the executable file, and if any executable file in the agent system is changed in the blocking mode, back up the original executable file before changing the arbitrary executable file Blocking module,
When there is an execution request for a specific executable file in the agent system, the specific executable file is compared by comparing an information value including a value of applying a hash function to the specific executable file with an original information value of the specific executable file stored in the database. Includes a file run module that determines whether to run
The executable module executes the backed up original executable file when the specific executable file is any modified executable file.
Anti-malware device using executable file.
KR1020120009240A 2012-01-30 2012-01-30 Apparatus for preventing malicious codes using executive files KR20120039569A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120009240A KR20120039569A (en) 2012-01-30 2012-01-30 Apparatus for preventing malicious codes using executive files

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120009240A KR20120039569A (en) 2012-01-30 2012-01-30 Apparatus for preventing malicious codes using executive files

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR20100020016A Division KR101138746B1 (en) 2010-03-05 2010-03-05 Apparatus and method for preventing malicious codes using executive files

Publications (1)

Publication Number Publication Date
KR20120039569A true KR20120039569A (en) 2012-04-25

Family

ID=46139850

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120009240A KR20120039569A (en) 2012-01-30 2012-01-30 Apparatus for preventing malicious codes using executive files

Country Status (1)

Country Link
KR (1) KR20120039569A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10885229B2 (en) 2017-09-20 2021-01-05 Samsung Electronics Co., Ltd. Electronic device for code integrity checking and control method thereof

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10885229B2 (en) 2017-09-20 2021-01-05 Samsung Electronics Co., Ltd. Electronic device for code integrity checking and control method thereof

Similar Documents

Publication Publication Date Title
US10984097B2 (en) Methods and apparatus for control and detection of malicious content using a sandbox environment
EP3712793B1 (en) Integrity assurance during runtime
US7398399B2 (en) Apparatus, methods and computer programs for controlling performance of operations within a data processing system or network
US11579985B2 (en) System and method of preventing malware reoccurrence when restoring a computing device using a backup image
US8612398B2 (en) Clean store for operating system and software recovery
US7475427B2 (en) Apparatus, methods and computer programs for identifying or managing vulnerabilities within a data processing network
US9467465B2 (en) Systems and methods of risk based rules for application control
US9015829B2 (en) Preventing and responding to disabling of malware protection software
US8533818B1 (en) Profiling backup activity
RU2487405C1 (en) System and method for correcting antivirus records
US20150172304A1 (en) Secure backup with anti-malware scan
US20130067577A1 (en) Malware scanning
US20130160126A1 (en) Malware remediation system and method for modern applications
CN109565522B (en) Detecting bulk operations associated with remotely stored content
CA2899909A1 (en) Systems and methods for identifying and reporting application and file vulnerabilities
US11477232B2 (en) Method and system for antivirus scanning of backup data at a centralized storage
JP2016513324A (en) System and method for risk-based rules for application control
US7797727B1 (en) Launching an application in a restricted user account
US8572730B1 (en) Systems and methods for revoking digital signatures
US9740865B2 (en) System and method for configuring antivirus scans
JP2016189201A (en) Inoculator and antibody for computer security
US20230275916A1 (en) Detecting malicious activity on an endpoint based on real-time system events
KR101138746B1 (en) Apparatus and method for preventing malicious codes using executive files
KR20120039569A (en) Apparatus for preventing malicious codes using executive files
KR20230169268A (en) Endpoint detection and response to cybersecurity attacks

Legal Events

Date Code Title Description
A107 Divisional application of patent
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid