KR20120039569A - Apparatus for preventing malicious codes using executive files - Google Patents
Apparatus for preventing malicious codes using executive files Download PDFInfo
- Publication number
- KR20120039569A KR20120039569A KR1020120009240A KR20120009240A KR20120039569A KR 20120039569 A KR20120039569 A KR 20120039569A KR 1020120009240 A KR1020120009240 A KR 1020120009240A KR 20120009240 A KR20120009240 A KR 20120009240A KR 20120039569 A KR20120039569 A KR 20120039569A
- Authority
- KR
- South Korea
- Prior art keywords
- executable file
- blocking
- file
- module
- agent system
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
Abstract
Description
본 발명은 악성 코드 차단에 관한 것으로, 더욱 상세하게는 에이전트 시스템 내 실행 파일들이 이동, 삭제, 변경 또는 생성되는 것을 차단하여 악성 코드를 포함한 실행 파일이 에이전트 시스템에 생성되거나 악성 코드에 의해 실행 파일들이 변경되는 것을 방지할 수 있는 실행 파일을 이용한 악성 코드 차단 장치 및 방법에 관한 것이다.
The present invention relates to blocking malicious code, and more particularly, to block executable files in an agent system from being moved, deleted, changed, or created so that executable files including malicious code are generated in the agent system or executable files are generated by malicious code. The present invention relates to a malicious code blocking device and method using an executable file that can be prevented from being changed.
일반적으로 전용 에이전트 시스템, 예컨대 전용 개인 컴퓨터 장비에 악성 코드 감염을 막기 위해서 안티바이러스 엔진을 갖고 있는 클라이언트용 안티바이러스 제품을 설치하여 악성 코드의 감염을 차단하고 있다. 악성 코드 감염을 막기 위해서 기존 안티바이러스 엔진은 개인용 컴퓨터에서 주기적으로 안티바이러스 엔진을 업데이트함과 더불어 시스템의 보안 업데이트가 필요하다.In general, in order to prevent malware infection on a dedicated agent system, such as a dedicated personal computer device, an antivirus product for a client having an antivirus engine is installed to prevent infection of malware. In order to prevent malware infection, existing anti-virus engines need to update their anti-virus engines regularly on their personal computers, as well as update their security.
한편, 관리자가 전용 기능을 갖는 컴퓨터 시스템에서 사용하는 악성 코드 차단 방법은 악성 코드 진단 프로그램과 병행하여 지정되지 않는 파일의 실행을 차단하는데, 여기서 지정되지 않는 파일의 실행을 차단하기 위하여 기존의 Secure OS가 설치된 시스템에서는 파일의 경로명, 파일명, 해쉬 등을 조합하여 규칙을 설정하고, 설정된 규칙에 맞지 않는 파일의 실행 또는 읽기를 차단한다.On the other hand, the malicious code blocking method used by the administrator on a computer system with a dedicated function blocks execution of an unspecified file in parallel with the malware diagnosis program. In order to block execution of an unspecified file, the existing Secure OS On the installed system, set the rule by combining the file's path name, file name, and hash, and block the execution or reading of the file that does not meet the set rule.
그러나, 상기와 같은 컴퓨터 시스템에서 악성 코드 진단 프로그램을 이용하여 악성 코드를 치료할 때 오진으로 인하여 컴퓨터 시스템에 필요한 파일을 삭제하는 경우가 종종 발생하기 때문에 컴퓨터 시스템에서 필요한 기능을 수행하지 못하는 문제점이 있을 뿐만 아니라 악성 코드에 의해 컴퓨터 시스템 내 파일들이 변경되는 문제점이 있다.
However, there is a problem in that the computer system cannot perform the necessary functions because the misdiagnosis often causes the deletion of files necessary for the computer system when the malicious code is used to repair the malicious code in the computer system. However, there is a problem that files in the computer system are changed by malicious code.
상기와 같은 문제점을 해결하기 위한 것으로서, 본 발명의 목적은 에이전트 시스템 내에 설치된 실행 파일의 이동, 삭제, 변경 또는 생성하는 것을 차단하는 차단 모드 상태에서 특정 실행 파일을 실행할 때 특정 실행 파일에 대한 악성 코드 감염 여부를 검사한 후 검사 완료된 특정 실행 파일의 DNA값과 데이터베이스에 저장된 원본 DNA값간의 비교를 통해 실행 파일을 실행하거나 차단함으로써, 별도의 복잡한 규칙 없이 악성 코드를 포함한 실행 파일이 생성되거나 악성 코드에 의해 실행 파일들이 변경되는 것을 방지할 수 있는 실행 파일을 이용한 악성 코드 차단 장치 및 방법을 제공하는데 있다. In order to solve the above problems, an object of the present invention is to provide malicious code for a specific executable file when executing the specific executable file in a blocking mode that blocks movement, deletion, change, or creation of the executable file installed in the agent system. Execution or blocking is executed by comparing the DNA value of the scanned specific executable file with the original DNA value stored in the database, and the executable file containing the malicious code is generated without any complicated rules. The present invention provides an apparatus and method for preventing malicious code using an executable file that can prevent the executable files from being changed.
본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
The objects of the present invention are not limited to the above-mentioned objects, and other objects not mentioned can be clearly understood by those skilled in the art from the following description.
본 발명의 목적을 달성하기 위해 본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치는, 에이전트 시스템 내 저장된 실행 파일 각각에 대한 원본 DNA값이 저장되어 있는 데이터베이스와, 상기 실행 파일들의 이동, 변경 또는 생성을 차단시키기 위한 차단 모드를 설정하며, 상기 차단 모드에서 상기 에이전트 시스템 내 임의의 실행 파일이 변경되는 경우 변경 전의 원본 실행 파일을 백업하는 차단 모듈과, 상기 에이전트 시스템 내 특정 실행 파일에 대한 실행 요청이 있는 경우 상기 특정 실행 파일의 DNA값과 상기 데이터베이스에 저장된 상기 특정 실행 파일의 원본 DNA값간의 비교하여 상기 특정 실행 파일을 실행 여부를 결정하며, 상기 특정 실행 파일이 상기 임의의 실행 파일인 경우 상기 백업된 원본 실행 파일을 복구하여 실행시키는 파일 실행 모듈을 포함한다.In order to achieve the object of the present invention, an apparatus for preventing malicious code using an executable file according to an embodiment of the present invention includes a database storing original DNA values for each executable file stored in an agent system, movement of the executable files, A blocking module for setting a blocking mode for blocking a change or creation, and when an executable file in the agent system is changed in the blocking mode, a blocking module for backing up the original executable file before the change, and for a specific executable file in the agent system When there is an execution request, it is determined whether to execute the specific executable file by comparing the DNA value of the specific executable file with the original DNA value of the specific executable file stored in the database, and wherein the specific executable file is the arbitrary executable file. If the original backup file is restored by running Contains file execution modules.
본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치는 상기 에이전트 시스템 내 실행 파일에 대한 업데이트 요청이 있는 경우 상기 에이전트 시스템 내 실행 파일 각각에 대한 DNA값과 데이터베이스간의 비교를 통해 상기 실행 파일들에 대한 변경 유무를 확인하여 상기 차단 모드를 해제 여부를 결정하는 차단 해제 모듈을 포함할 수 있다.The malicious code blocking apparatus using the executable file according to an embodiment of the present invention, when there is a request for updating the executable file in the agent system, compares the executable files by comparing the DNA value of each executable file in the agent system with a database. It may include a block release module for determining whether to release the blocking mode by checking the presence or absence of the change.
본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치에서 상기 차단 모듈은, 통신망을 통해 연결된 관리 서버의 요청에 따라 상기 차단 모드를 설정할 수 있다.In the apparatus for blocking malicious code using an executable file according to an embodiment of the present disclosure, the blocking module may set the blocking mode according to a request of a management server connected through a communication network.
본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치는, 상기 차단 모드 상태에서 상기 특정 실행 파일에 실행 요청이 있는 경우 상기 특정 실행 파일에 대한 악성 코드 검사를 수행한 후 상기 검사가 완료된 특정 실행 파일을 상기 파일 실행 모듈에 제공하는 악성 코드 검사 모듈을 더 포함할 수 있다.In the malicious code blocking apparatus using an executable file according to an embodiment of the present invention, when there is a request to execute the specific executable file in the blocking mode, the malicious code blocking apparatus performs a malicious code scan on the specific executable file, and then the specific scan is completed. It may further include a malicious code inspection module for providing an executable file to the file execution module.
본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치에서 상기 악성 코드 검사 모듈은 상기 특정 실행 파일에 대한 악성 코드 검사 결과에 의거하여 알림 메시지를 생성할 수 있다.In the malicious code blocking device using the executable file according to an embodiment of the present invention, the malicious code inspection module may generate a notification message based on a malicious code scan result for the specific executable file.
본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치에서 상기 알림 메시지는, 로그 발생, 알림창 생성 또는 이메일 형태로 생성될 수 있다.In the malicious code blocking device using an executable file according to an embodiment of the present invention, the notification message may be generated in the form of a log, a notification window, or an e-mail.
본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치에서 상기 파일 실행 모듈은, 상기 특정 실행 파일의 DNA값과 상기 데이터베이스에 저장된 원본 DNA값이 일치하지 않을 경우 상기 특정 실행 파일의 실행을 차단함과 더불어 통신망을 통해 연결된 관리 서버에 상기 특정 실행 파일의 DNA값을 전송하여 검사를 요청할 수 있다.In the malicious code blocking apparatus using the executable file according to an embodiment of the present invention, the file execution module blocks execution of the specific executable file when the DNA value of the specific executable file does not match the original DNA value stored in the database. In addition, the test may be requested by transmitting the DNA value of the specific executable file to a management server connected through a communication network.
본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치는, 상기 차단 모드에서 상기 에이전트 시스템의 관리자에 요청에 따라 임의의 실행 파일을 이동, 삭제, 생성 또는 변경할 수 있는 관리자 모드로 상기 에이전트 시스템을 설정하는 관리자 모듈을 더 포함할 수 있다.The malicious code blocking apparatus using an executable file according to an embodiment of the present invention, the agent system in the administrator mode that can move, delete, create or change any executable file in response to the administrator of the agent system in the blocking mode. It may further include an administrator module for setting the.
본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치는, 상기 차단 해제 모듈에 의해 상기 차단 모드가 해제된 후 상기 에이전트 시스템 내 실행 파일들이 업데이트됨에 따라 상기 업데이트된 실행 파일들의 DNA값을 이용하여 상기 데이터베이스를 업데이트시키는 업데이트 모듈을 더 포함할 수 있다.An apparatus for blocking malicious code using an executable file according to an embodiment of the present invention uses DNA values of the updated executable files as executable files in the agent system are updated after the blocking mode is released by the unblocking module. It may further include an update module for updating the database.
본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 장치에서 상기 차단 모듈은, 상기 데이터베이스가 업데이트되면 상기 에이전트 시스템을 상기 차단 모드로 재설정할 수 있다.In the malicious code blocking apparatus using an executable file according to an embodiment of the present invention, the blocking module may reset the agent system to the blocking mode when the database is updated.
다른 견지에서, 본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 방법은 에이전트 시스템이 구동되면, 실행 파일들의 이동, 삭제, 생성 또는 변경을 차단시키기 위한 차단 모드를 설정하는 단계와, 상기 에이전트 시스템에서 특정 실행 파일에 대한 실행 요청이 있는 경우 상기 특정 실행 파일에 대한 악성 코드 감염 여부를 검사하는 단계와, 상기 검사가 완료된 특정 실행 파일의 DNA값을 산출하는 단계와, 상기 산출된 DNA값과 상기 데이터베이스에 저장된 상기 특정 실행 파일의 원본 DNA값간을 비교하여 일치하지 않을 경우 상기 특정 실행 파일을 차단시키는 단계를 포함한다.In another aspect, the malicious code blocking method using an executable file according to an embodiment of the present invention, if the agent system is running, setting a blocking mode for blocking the movement, deletion, creation or change of the executable file, and the agent If there is a request for execution of a specific executable file in a system, checking whether the malicious code is infected with the specific executable file, calculating a DNA value of the specific executable file that has been scanned, the calculated DNA value, Comparing the original DNA values of the specific executable files stored in the database and blocking the specific executable files if they do not match.
본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 방법은 상기 차단 모드 상태에서 임의의 실행 파일에 대한 변경 요청이 있는지를 판단하는 단계와, 상기 변경 요청이 있는 경우 상기 임의의 실행 파일이 변경되기 전 원본 임의의 실행 파일을 백업한 후 상기 임의의 실행 파일을 변경하는 단계와, 상기 변경된 임의의 실행 파일에 대한 실행 요청이 있는 경우 상기 백업된 원본 임의의 실행 파일을 복구하여 실행시키는 단계를 더 포함할 수 있다.In the malicious code blocking method using an executable file according to an embodiment of the present invention, determining whether there is a change request for any executable file in the blocking mode state, and if the change request is received, the arbitrary executable file is changed. Backing up the original arbitrary executable file before the change and changing the arbitrary executable file, and recovering and executing the backed up original executable file if there is a request for execution of the changed arbitrary executable file. It may further include.
본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 방에서 상기 임의의 실행 파일을 복구시키는 단계는, 상기 변경된 임의의 실행 파일에 대한 실행 요청이 있는 경우 상기 변경된 임의의 실행 파일에 대한 악성 코드 감염 여부를 검사하는 단계와, 상기 변경된 임의의 실행 파일에 대한 DNA값과 상기 데이터베이스에 저장된 DNA값간의 비교를 통해 상기 변경된 임의의 실행 파일에 대한 삭제를 결정하는 단계와, 상기 백업된 원본 실행 파일을 복구하여 실행시키는 단계를 포함할 수 있다.Restoring the arbitrary executable file in the malicious code blocking room using the executable file according to an embodiment of the present invention, when there is an execution request for the changed arbitrary executable file, the malicious code for the changed arbitrary executable file Determining the deletion of the modified arbitrary executable file by comparing the DNA value of the modified arbitrary executable file with the DNA value stored in the database; It may include the step of restoring to run.
본 발명의 실시 예에 따른 실행 파일을 이용한 악성 코드 차단 방법에서 상기 악성 코드 감염 여부를 검사하는 단계는, 상기 변경된 임의의 실행 파일에 대한 악성 코드 감염 여부를 검사하며, 상기 검사 결과 상기 변경된 임의의 실행 파일이 악성 코드에 감염된 경우 이에 대한 알림 메시지만을 생성하여 상기 에이전트 시스템의 관리자에게 제공하는 단계를 더 포함할 수 있다.
In the malicious code blocking method using an executable file according to an embodiment of the present invention, the checking whether the malicious code is infected includes checking whether the malicious code is infected with the changed executable file, and as a result of the checking, the modified random file is detected. When the executable file is infected with malicious code, the method may further include generating only a notification message and providing the same to an administrator of the agent system.
본 발명은 에이전트 시스템 내 실행 파일들이 이동, 삭제, 변경 또는 생성되는 것을 차단함으로써, 악성 코드를 포함한 실행 파일이 생성되거나 악성 코드에 의해 실행 파일들이 변경되는 것을 방지할 수 있기 때문에 별도의 업데이트 없이 악성 코드로부터 시스템을 보호할 수 있는 효과가 있다.The present invention prevents executable files including malicious code from being created or modified by malicious codes by blocking moving, deleting, changing, or creating executable files in the agent system. The effect is to protect the system from code.
또한, 본 발명은 에이전트 시스템 내에 설치된 실행 파일을 이동, 삭제, 변경 또는 생성하는 것을 차단하고, 실행 파일을 실행할 때 데이터베이스에 저장된 원본 DNA값과 실행 파일의 DNA값간의 비교를 통해 실행 파일을 실행하거나 차단함으로써, 별도의 안티바이러스 엔진의 업데이트나 시스템의 업데이트 없이 적은 리소스로 에이전트 시스템의 보안성을 향상시킬 수 있다.
In addition, the present invention prevents moving, deleting, changing, or creating an executable file installed in an agent system, and executes the executable file through comparison between the original DNA value stored in the database and the DNA value of the executable file when executing the executable file; By blocking them, you can improve the security of your agent system with fewer resources without updating your antivirus engine or your system.
도 1은 본 발명의 실시 예에 따른 악성 코드 차단을 위한 악성 코드 차단 장치 및 그 주변 구성을 도시한 블록도이며,
도 2는 본 발명의 실시 예에 따른 악성 코드 차단 장치가 악성 코드를 차단하는 과정을 도시한 흐름도이다.1 is a block diagram showing a malicious code blocking device and its surrounding configuration for blocking malicious code according to an embodiment of the present invention,
2 is a flowchart illustrating a process of blocking malicious code by an apparatus for blocking malicious code according to an embodiment of the present invention.
본 발명의 목적 및 효과, 그리고 그것들을 달성하기 위한 기술적 구성들은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. The objects and effects of the present invention and the technical configurations for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The following terms are defined in consideration of the functions of the present invention, and may be changed according to the intentions or customs of the user, the operator, and the like.
본 발명은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CO-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. The present invention can be embodied as computer-readable codes on a computer-readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CO-ROM, magnetic tape, floppy disks, optical data storage devices, and the like, which may also be implemented in the form of carrier waves (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있다. 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. The present embodiments are merely provided to complete the disclosure of the present invention and to fully inform the scope of the invention to those skilled in the art, and the present invention is defined by the scope of the claims. It will be. Therefore, the definition should be based on the contents throughout this specification.
본 발명의 실시 예에서는 에이전트 시스템 내에 설치된 실행 파일을 이동, 삭제, 변경 또는 생성하는 것을 차단하고, 차단 모드 상태에서 특정 실행 파일을 실행할 때 특정 실행 파일에 대한 악성 코드 감염 여부를 검사한 후 검사 완료된 특정 실행 파일의 DNA값과 데이터베이스에 저장된 원본 DNA값간의 비교를 통해 실행 파일을 실행하거나 차단하는 실행 파일을 이용한 악성 코드 차단 장치 및 방법에 대해 설명한다.In an embodiment of the present invention, blocking the movement, deletion, change, or creation of an executable file installed in an agent system, and when the specific executable file is executed in the blocking mode, the malware is infected with the specific executable file and then scanned. This article describes a malicious code blocking device and method using an executable file that executes or blocks an executable file by comparing the DNA value of a specific executable file with an original DNA value stored in a database.
이하, 첨부된 도면을 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.Hereinafter, with reference to the accompanying drawings will be described an embodiment of the present invention;
도 1은 본 발명의 실시 예에 따른 악성 코드 차단을 위한 악성 코드 차단 장치 및 그 주변 구성을 도시한 블록도로서, 크게 에이전트 시스템에 설치되는 악성 코드 차단 장치(100) 및 에이전트 시스템과 유무선 통신망을 통해 연결된 관리 서버(150)로 구성된다.1 is a block diagram illustrating a malicious code blocking device and its surrounding configuration for blocking malicious code according to an embodiment of the present invention, the
에이전트 시스템은 저사양의 단말로서, 그 예로 공장 시스템을 관리하기 위한 단말, POS 시스템, 생산 관리 시스템 등을 들 수 있다. 이러한 에이전트 시스템에는 악성 코드 차단 장치(100)가 설치되는데, 이러한 악성 코드 차단 장치(100)는 차단 모듈(102), 파일 실행 모듈(104), 차단 해제 모듈(106), 관리자 모듈(108), 업데이트 모듈(110), 악성 코드 검사 모듈(112) 및 데이터베이스(114)를 포함한다.The agent system is a low specification terminal, and examples thereof include a terminal for managing a factory system, a POS system, a production management system, and the like. The
본 발명의 실시 예에 따른 데이터베이스(114)에는 에이전트 시스템 내에 저장된 실행 파일 각각에 대한 부분별 원본 DNA값이 저장되어 있다. 여기서, 실행 파일은 일반적인 EXE 파일, 실행 가능 코드를 갖는 스크립트 파일, 스크립트 기능을 갖고 있는 문서 파일 등을 들 수 있으며, DNA값은 CRC 기반의 해쉬 함수를 적용한 값을 그 예로 들 수 있다.In the
차단 모듈(102)은 에이전트 시스템 내 실행 파일들의 이동, 삭제, 생성 또는 변경을 차단시키기 위한 차단 모드를 설정하는 수단으로서, 에이전트 시스템이 초기 구동될 때 에이전트 시스템을 차단 모드로 설정하여 실행 파일들이 이동, 삭제, 생성 또는 변경되는 것을 차단시킨다. The
한편, 차단 모듈(102)은 차단 모드 상태에서 임의의 실행 파일이 변경되는 경우 변경 전 원본 임의의 실행 파일을 백업하고, 변경된 임의의 실행 파일에 대한 실행 요청이 있는 경우 변경된 임의의 실행 파일을 삭제하여 변경된 임의의 실행 파일이 실행되는 것을 차단시킨 후 백업된 원본 임의의 실행 파일을 파일 실행 모듈(104)에 제공함으로써, 백업된 원본 임의의 실행 파일을 실행시킨다.Meanwhile, the
차단 모듈(102)에서 변경된 임의의 실행 파일을 차단하는 방법으로는 변경된 임의의 실행 파일의 DNA값과 데이터베이스(114)에 저장된 DNA값간의 비교를 통해 일치하지 않을 경우 변경된 임의의 실행 파일을 차단시킨다.The
파일 실행 모듈(104)은 차단 모듈(102)로부터 제공받은 백업된 원본 임의의 실행 파일을 실행시키는데, 이때 백업된 원본 임의의 실행 파일과 데이터베이스(114)에 저장된 DNA값간의 비교를 통해 실행 여부를 결정한다.The
즉, 파일 실행 모듈(104)은 에이전트 시스템에서 특정 실행 파일에 대한 실행 요청이 있는 경우 동작하는 수단으로서, 특정 실행 파일의 DNA값을 산출한 후 산출된 DNA값과 데이터베이스(114)에 저장된 특정 실행 파일의 원본 DNA값간의 비교를 통해 특정 실행 파일의 변경 여부를 검사하고, 검사 결과를 토대로 특정 파일을 실행시키거나 실행을 차단한다.That is, the
또한, 파일 실행 모듈(104)은 특정 실행 파일의 DNA값과 데이터베이스(114)에 저장된 특정 실행 파일의 원본 DNA값이 일치하지 않을 경우 유무선 통신망을 통해 연결된 관리 서버(150)에 특정 실행 파일의 DNA값을 전송하여 특정 실행 파일에 대한 검사를 요청할 수 있다.In addition, the
차단 해제 모듈(106)은 에이전트 시스템 내 실행 파일에 대한 업데이트 요청 또는 에이전트 시스템의 관리자로부터 요청이 있는 경우 동작하는 수단으로서, 에이전트 시스템 내 실행 파일 각각에 대한 DNA값을 산출하고, 산출된 DNA값과 데이터베이스(114)에 저장된 원본 DNA값간의 비교를 통해 실행 파일 각각에 대한 변경 여부를 확인한 후 차단 모드를 해제시킨다.The
즉, 차단 해제 모듈(106)은 에이전트 시스템 내 실행 파일들이 변경되었는지를 데이터베이스(114)에 저장된 원본 DNA값과 에이전트 시스템 내 실행 파일들 각각의 DNA값간의 일치 여부를 통해 확인한 후 차단 모듈(102)에 의해 설정된 차단 모드 해제를 결정하며, 차단 모드 해제에 따라 관리자는 에이전트 시스템에 새로운 프로그램을 설치하거나 에이전트 시스템 내에 파일을 변경 또는 삭제시킬 수 있다.That is, the unblocking
관리자 모듈(108)은 에이전트 시스템이 차단 모드로 동작하는 상태에서 관리자의 요청에 따라 에이전트 시스템이 인지하지 못하는 악성 코드 파일의 치료 또는 삭제를 위해 특정 실행 파일에 대한 이동, 삭제, 생성 또는 변경할 수 있는 관리자 모드를 설정할 수 있는 인터페이스를 제공한다. The
다시 말해서, 관리자 모듈(108)은 차단 모드 상태에서 에이전트 시스템을 관리자 모드로 설정할 수 있는 인터페이스를 제공한다.In other words, the
업데이트 모듈(110)은 차단 해제 모듈(106)에 의해 차단 모드가 해제된 후 에이전트 시스템 내 실행 파일들이 업데이트됨에 따라 업데이트된 실행 파일들의 DNA값을 이용하여 데이터베이스(114)에 저장된 원본 DNA값을 업데이트시킨다. 이와 같이, 데이터베이스(114)의 업데이트가 완료됨에 따라 차단 모듈(102)은 에이전트 시스템을 차단 모드로 설정한다.The
악성 코드 검사 모듈(112)은 에이전트 시스템 내 특정 파일에 대한 실행 요청이 있거나 기 설정된 주기로 에이전트 시스템 내 파일들에 대한 악성 코드 검사를 수행하는 수단으로서, 그 예로서 안티바이러스 엔진을 들 수 있다.The malicious
본 발명의 실시 예에서 악성 코드 검사 모듈(112)은 에이전트 시스템 내 실행 파일이 변경되거나 특정 실행 파일에 대한 실행 요청이 있을 경우 변경된 실행 파일 또는 특정 실행 파일을 검사하여 악성 코드 감염 여부를 판단하고, 판단 결과에 의거하여 소정의 알림 메시지를 제공할 수 있는데, 이때 알림 메시지는 로그 생성, 알림창 생성 또는 관리자의 이메일로 이메일 전송을 통해 이루어질 수 있다.In an embodiment of the present invention, when the executable file in the agent system is changed or when there is a request for execution of a specific executable file, the malicious
일반적으로 에이전트 시스템이 차단 모드로 전환하는 과정에서 당시의 악성 코드 검사 모듈(112)에서 악성 코드로 판별되지 않고 정상 파일로 판별되었지만, 이후의 악성 코드 검사 모듈(112)의 엔진 업데이트로 악성 코드로 판별되거나 악성 코드 판별 기능이 잘못된 업데이트로 정상 파일을 악성 코드로 판별할 수 있다. 이런 경우를 대비해서 본 발명의 실시 예에 따른 악성 코드 검사 모듈(112)이 특정 파일에 대한 검사 결과를 알림 메시지 형태로 관리자에게 제공해줌으로써, 에이전트 시스템의 관리자가 관리자 모듈(108)을 통해 관리자 모드로 에이전트 시스템을 설정하여 차단 모드 상태에서 수동으로 에이전트 시스템 내 실행 파일을 이동, 삭제, 생성 또는 변경할 수 있다.In general, the agent system is determined to be a normal file instead of a malicious code in the
본 발명의 실시 예에서는 차단 모듈(102)이 자체적으로 차단 모드를 설정하는 것으로 예를 들어 설명하였지만, 유무선 통신망을 통해 연결된 관리 서버(150)로부터 제어에 의해 차단 모드를 설정할 수 있다. 여기서, 관리 서버(150)는 에이전트 시스템 악성 코드 검사 모듈(112)의 악성 코드 정보를 업데이트하기 위한 기능을 제공할 수 있는 안티바이러스 서비스 제공 업체에 의해 운영될 수 있으며, 다수의 에이전트 시스템을 관리할 수 있다. 즉, 관리 서버(150)는 다수의 에이전트 시스템에 차단 모드 설정을 요청할 수 있으며, 이에 따라 다수의 에이전트 시스템 내 악성 코드 차단 장치(100)는 차단 모드를 설정하여 실행 파일들이 이동, 삭제, 생성 또는 변경되는 것을 차단할 수 있다.In the exemplary embodiment of the present invention, the
본 발명의 실시 예에 따르면, 차단 모듈(102)을 이용하여 에이전트 시스템 내 실행 파일들이 이동, 삭제, 변경 또는 생성되는 것을 차단함으로써, 악성 코드가 포함된 실행 파일이 추가되거나 악성 코드에 의해 기존의 실행 파일들이 변경되는 것을 방지할 수 있다.According to an embodiment of the present invention, by blocking the execution files in the agent system to be moved, deleted, changed or created by using the
상기와 같은 구성을 갖는 악성 코드 차단 장치(100)가 동작하여 악성 코드를 차단하는 과정에 대해 도 2를 참조하여 설명한다.A process of blocking the malicious code by operating the malicious
도 2는 본 발명의 실시 예에 따른 악성 코드 차단 장치가 악성 코드를 차단하는 과정을 도시한 흐름도이다.2 is a flowchart illustrating a process of blocking malicious code by an apparatus for blocking malicious code according to an embodiment of the present invention.
도 2에 도시된 바와 같이, 에이전트 시스템의 악성 코드 차단 장치(100)는 실행 파일 각각에 대한 부분별 원본 DNA값을 산출한 후 이를 데이터베이스(114)에 저장한다(S200).As shown in FIG. 2, the malicious
그런 다음, 차단 모듈(102)은 실행 파일들이 이동, 삭제, 생성 또는 변경되는 것을 차단하기 위한 차단 모드를 설정한다(S202).Then, the
이후, 악성 코드 차단 장치(100)의 파일 실행 모듈(104)은 특정 실행 파일에 대한 실행 요청이 있는지를 판단한다(S204).Thereafter, the
S204의 판단 결과, 특정 실행 파일에 대한 실행 요청이 있는 경우 악성 코드 검사 모듈(112)은 기 설정된 안타바이러스 엔진을 이용하여 특정 실행 파일에 대한 악성 코드 감염 여부를 검사하고, 검사 결과에 의거하여 알림 메시지를 생성한 후 이를 에이전트 시스템의 관리자에게 제공한다. 예를 들어, 특정 실행 파일이 악성 코드에 감염된 경우 악성 코드 검사 모듈(112)은 특정 실행 파일을 치료, 즉 수정 또는 삭제하지 않고 특정 실행 파일이 악성 코드에 감염되었음을 알리는 알림 메시지만을 생성하여 에이전트 시스템의 관리자에게 제공한다. 악성 코드 검사 모듈(112)에 의해 검사 완료된 특정 실행 파일은 파일 실행 모듈(104)에 제공된다.As a result of the determination of S204, when there is an execution request for a specific executable file, the malicious
한편, 파일 실행 모듈(104)은 악성 코드 검사 완료된 특정 실행 파일의 DNA값을 산출(S206)한 후 산출된 DNA값과 데이터베이스(114)에 저장된 특정 실행 파일의 원본 DNA값간의 비교를 통해 일치하는지의 여부를 판단한다(S208). On the other hand, the
S208의 판단 결과, 산출된 DNA값과 원본 DNA값이 일치하는 경우 파일 실행 모듈(104)은 특정 실행 파일을 실행(S212)시키며, 그렇지 않을 경우 차단 모듈(102)은 특정 실행 파일에 대한 백업 파일이 존재하는지를 판단한다(S214).As a result of the determination of S208, when the calculated DNA value and the original DNA value match, the
S214의 판단 결과, 백업 파일이 존재할 경우 차단 모듈(102)은 특정 실행 파일을 삭제(S216)한 후 백업 파일을 파일 실행 모듈(104)에 제공하여 실행시킨다(S218).As a result of the determination of S214, when the backup file exists, the
한편, S214의 판단 결과, 백업 파일이 존재하지 않을 경우 차단 모듈(102)은 특정 실행 파일을 삭제시킨 후 특정 실행 파일의 DNA값을 유무선 통신망을 통해 관리 서버(150)에 전송하여 특정 실행 파일의 악성 코드 감염 여부에 대한 검사를 요청할 수 있다(S220).On the other hand, when the determination result of S214, if the backup file does not exist, the
다른 한편, 에이전트 시스템의 악성 코드 차단 장치(100)는 관리자로부터 에이전트 시스템 내 실행 파일에 대한 업데이트 요청이 있는지를 판단한다(S222).On the other hand, the malicious
S222의 판단 결과, 업데이트 요청이 있는 경우 차단 해제 모듈(106)은 에이전트 시스템 내 모든 실행 파일들에 대한 DNA값을 산출한 후 산출된 DNA값과 데이터베이스(114)에 저장된 원본 DNA값간의 비교를 통해 일치할 경우 차단 모듈(102)에 의해 설정된 차단 모드를 해제시키며, 이에 따라 관리자는 에이전트 시스템에 새로운 프로그램을 설치하거나 기존의 실행 파일의 이동, 삭제 또는 변경함으로써, 에이전트 시스템 내 실행 파일들을 업데이트시킬 수 있다. 실행 파일들에 대한 업데이트가 완료됨에 따라 업데이트 모듈(110)은 에이전트 시스템 내 업데이트된 실행 파일들을 이용하여 원본 DNA값을 산출한 후 이를 토대로 데이터베이스(114)를 업데이트시킨다(S224).As a result of the determination of S222, when there is an update request, the unblocking
이와 같이 업데이트가 완료(S226)됨에 따라 차단 모듈(102)은 에이전트 시스템 내 실행 파일들을 보호하기 위해 차단 모드를 다시 설정(S228)하며, 에이전트 시스템의 악성 코드 차단 장치(100)는 관리자로부터 악성 코드 검사 및 치료를 위한 차단 모드 해제 요청이 있는지를 판단한다(S230).As described above, as the update is completed (S226), the
S230의 판단 결과, 관리자로부터 차단 모드 해제 요청이 있는 경우 악성 코드 차단 장치(100)의 관리자 모듈(108)은 차단 모듈(102)에 의해 설정된 차단 모드를 해제시킴으로써, 관리자는 임의의 실행 파일을 이동, 삭제 또는 변경할 수 있다(S232).As a result of the determination in S230, when there is a request for releasing the blocking mode from the administrator, the
본 발명의 실시 예에 따르면, 에이전트 시스템 내에 설치된 실행 파일을 이동, 삭제, 변경 또는 생성하는 것을 차단하고, 실행 파일을 실행할 때 데이터베이스(114)에 저장된 원본 DNA값과 실행 파일의 DNA값간의 비교를 통해 실행 파일을 실행하거나 차단함으로써, 별도의 안티바이러스 엔진의 업데이트나 시스템의 업데이트 없이 적은 리소스로 에이전트 시스템의 보안성을 향상시킬 수 있다.According to an embodiment of the present invention, it is possible to block moving, deleting, changing, or generating an executable file installed in the agent system, and comparing the original DNA value stored in the
이상 본 발명의 구체적 실시 형태를 참조하여 본 발명을 설명하였으나, 이는 예시에 불과하며 본 발명의 범위를 제한하는 것이 아니다. 당업자는 본 발명의 범위를 벗어나지 않는 범위 내에서 설명된 실시형태들을 변경 또는 변형할 수 있다. 본 명세서에서 설명된 각 기능 블록들 또는 수단들은 프로그램 형식으로 구현될 수 있으며, 각각 별개로 구현되거나 2 이상이 하나로 통합되어 구현될 수 있다. 본 명세서 및 청구범위에서 별개인 것으로 설명된 모듈 등의 구성요소는 단순히 기능상 구별된 것으로 물리적으로는 하나의 수단으로 구현될 수 있으며, 단일한 것으로 설명된 수단 등의 구성요소도 수개의 구성요소의 결합으로 이루어질 수 있다. 또한 본 명세서에서 설명된 각 방법 단계들은 본 발명의 범위를 벗어나지 않고 그 순서가 변경될 수 있고, 다른 단계가 부가될 수 있다. 뿐만 아니라, 본 명세서에서 설명된 다양한 실시형태들은 각각 독립하여서뿐만 아니라 적절하게 결합되어 구현될 수도 있다. 따라서 본 발명의 범위는 설명된 실시형태가 아니라 첨부된 청구범위 및 그 균등물에 의해 정해져야 한다.
The present invention has been described above with reference to specific embodiments of the present invention, but this is only illustrative and does not limit the scope of the present invention. Those skilled in the art can change or modify the described embodiments without departing from the scope of the present invention. Each of the functional blocks or means described in the present specification may be implemented in a program form, and may be implemented separately, or two or more may be integrated into one. Components such as modules described as separate in the specification and claims may be merely functionally distinct and may be physically implemented by one means, and components such as means described as a single element may be divided into several components. It can be made in combination. In addition, each method step described herein may be changed in order without departing from the scope of the present invention, and other steps may be added. In addition, the various embodiments described herein may be implemented independently as well as each other as appropriate. Therefore, the scope of the invention should be defined by the appended claims and their equivalents, rather than by the described embodiments.
100 : 악성 코드 차단 장치 102 : 차단 모듈
104 : 파일 실행 모듈 106 : 차단 해제 모듈
108 : 관리자 모듈 110 : 업데이트 모듈
112 : 데이터베이스 150 : 관리 서버100: malware blocking device 102: blocking module
104: file execution module 106: unblocking module
108: manager module 110: update module
112: database 150: management server
Claims (1)
상기 실행 파일의 이동, 삭제, 생성 또는 변경을 차단시키기 위한 차단 모드를 설정하며, 상기 차단 모드에서 상기 에이전트 시스템 내 임의의 실행 파일이 변경되는 경우 상기 임의의 실행 파일의 변경 전 원본 실행 파일을 백업하는 차단 모듈과,
상기 에이전트 시스템 내 특정 실행 파일에 대한 실행 요청이 있는 경우 상기 특정 실행 파일에 대하여 해쉬 함수를 적용한 값을 포함하는 정보값과 상기 데이터베이스에 저장된 상기 특정 실행 파일의 원본 정보값을 비교하여 상기 특정 실행 파일의 실행 여부를 결정하는 파일 실행 모듈을 포함하되,
상기 실행 모듈은, 상기 특정 실행 파일이 상기 변경된 임의의 실행 파일인 경우, 상기 백업된 원본 실행 파일을 실행하는
실행 파일을 이용한 악성 코드 차단 장치.A database in which original information values including a hash function value are stored for each executable file stored in the agent system;
Set a blocking mode for blocking movement, deletion, creation or change of the executable file, and if any executable file in the agent system is changed in the blocking mode, back up the original executable file before changing the arbitrary executable file Blocking module,
When there is an execution request for a specific executable file in the agent system, the specific executable file is compared by comparing an information value including a value of applying a hash function to the specific executable file with an original information value of the specific executable file stored in the database. Includes a file run module that determines whether to run
The executable module executes the backed up original executable file when the specific executable file is any modified executable file.
Anti-malware device using executable file.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120009240A KR20120039569A (en) | 2012-01-30 | 2012-01-30 | Apparatus for preventing malicious codes using executive files |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120009240A KR20120039569A (en) | 2012-01-30 | 2012-01-30 | Apparatus for preventing malicious codes using executive files |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR20100020016A Division KR101138746B1 (en) | 2010-03-05 | 2010-03-05 | Apparatus and method for preventing malicious codes using executive files |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20120039569A true KR20120039569A (en) | 2012-04-25 |
Family
ID=46139850
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120009240A KR20120039569A (en) | 2012-01-30 | 2012-01-30 | Apparatus for preventing malicious codes using executive files |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20120039569A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10885229B2 (en) | 2017-09-20 | 2021-01-05 | Samsung Electronics Co., Ltd. | Electronic device for code integrity checking and control method thereof |
-
2012
- 2012-01-30 KR KR1020120009240A patent/KR20120039569A/en not_active Application Discontinuation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10885229B2 (en) | 2017-09-20 | 2021-01-05 | Samsung Electronics Co., Ltd. | Electronic device for code integrity checking and control method thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10984097B2 (en) | Methods and apparatus for control and detection of malicious content using a sandbox environment | |
EP3712793B1 (en) | Integrity assurance during runtime | |
US7398399B2 (en) | Apparatus, methods and computer programs for controlling performance of operations within a data processing system or network | |
US11579985B2 (en) | System and method of preventing malware reoccurrence when restoring a computing device using a backup image | |
US8612398B2 (en) | Clean store for operating system and software recovery | |
US7475427B2 (en) | Apparatus, methods and computer programs for identifying or managing vulnerabilities within a data processing network | |
US9467465B2 (en) | Systems and methods of risk based rules for application control | |
US9015829B2 (en) | Preventing and responding to disabling of malware protection software | |
US8533818B1 (en) | Profiling backup activity | |
RU2487405C1 (en) | System and method for correcting antivirus records | |
US20150172304A1 (en) | Secure backup with anti-malware scan | |
US20130067577A1 (en) | Malware scanning | |
US20130160126A1 (en) | Malware remediation system and method for modern applications | |
CN109565522B (en) | Detecting bulk operations associated with remotely stored content | |
CA2899909A1 (en) | Systems and methods for identifying and reporting application and file vulnerabilities | |
US11477232B2 (en) | Method and system for antivirus scanning of backup data at a centralized storage | |
JP2016513324A (en) | System and method for risk-based rules for application control | |
US7797727B1 (en) | Launching an application in a restricted user account | |
US8572730B1 (en) | Systems and methods for revoking digital signatures | |
US9740865B2 (en) | System and method for configuring antivirus scans | |
JP2016189201A (en) | Inoculator and antibody for computer security | |
US20230275916A1 (en) | Detecting malicious activity on an endpoint based on real-time system events | |
KR101138746B1 (en) | Apparatus and method for preventing malicious codes using executive files | |
KR20120039569A (en) | Apparatus for preventing malicious codes using executive files | |
KR20230169268A (en) | Endpoint detection and response to cybersecurity attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A107 | Divisional application of patent | ||
WITN | Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid |