JP2016522511A - システムを保護するためのファイルセキュリティ用の管理装置と管理方法 - Google Patents
システムを保護するためのファイルセキュリティ用の管理装置と管理方法 Download PDFInfo
- Publication number
- JP2016522511A JP2016522511A JP2016519429A JP2016519429A JP2016522511A JP 2016522511 A JP2016522511 A JP 2016522511A JP 2016519429 A JP2016519429 A JP 2016519429A JP 2016519429 A JP2016519429 A JP 2016519429A JP 2016522511 A JP2016522511 A JP 2016522511A
- Authority
- JP
- Japan
- Prior art keywords
- file
- inflow
- security
- drive
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims abstract description 80
- 238000012544 monitoring process Methods 0.000 claims abstract description 135
- 238000000926 separation method Methods 0.000 claims abstract description 67
- 238000006243 chemical reaction Methods 0.000 claims abstract description 44
- 238000012545 processing Methods 0.000 claims abstract description 32
- 238000000034 method Methods 0.000 claims abstract description 28
- 230000008569 process Effects 0.000 claims abstract description 17
- 230000007257 malfunction Effects 0.000 abstract description 3
- 238000004891 communication Methods 0.000 description 17
- 230000000694 effects Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 7
- 238000012790 confirmation Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 238000007796 conventional method Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 230000002411 adverse Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 229960005486 vaccine Drugs 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/80—Information retrieval; Database structures therefor; File system structures therefor of semi-structured data, e.g. markup language structured data such as SGML, XML or HTML
- G06F16/84—Mapping; Conversion
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本発明は、外部流入ファイルを実行させる各種システムを悪意のあるコードなどから保護し、前記システムからのデータ流出および誤作動などを防止して、最終的に前記システムを保護できるようにするファイルセキュリティ用の管理装置と管理方法に関するもので、システムに受信された流入ファイルを監視対象ファイルに変換する変換モジュールと、前記監視対象ファイルの実行のための選択を確認し、前記監視対象ファイルに設定された流入ファイルをナビゲーションウィンドウに出力するナビゲーション処理モジュールと、前記監視対象ファイルを流入ファイルに復号化して、分離環境に設定した分離ドライブで、アプリケーションを介して実行されるように処理するセキュリティモジュールと、を含むものである。【選択図】図1
Description
本発明は、外部流入ファイルを実行させる各種システムを悪意のあるコードなどから保護し、前記システムからのデータの流出と誤作動などを防止し、最終的に前記システムを保護できるようにするファイルセキュリティ用の管理装置と管理方法に関する。
各種データを運営して管理するコンピュータまたはモバイル端末機などのデータ処理システムと、このような相互通信を媒介するインターネットなどの通信ネットワークの発達に伴い、数多くのデータがデータ処理システムを通して取り扱われている。
このようなデータの中にはユーザーに有益な情報ばかりでなく、害悪を及ぼす情報も含まれており、このような情報は、ウイルス(virus)、スパイウェア(spy−ware)、アドウェア(ad−ware)などの悪意のあるコードが挙げられる。前記悪意のあるコードは、特定のまたは不特定多数のユーザーが使用するデータ処理システムに致命的な損傷を与えたり、ユーザーが望まないアクションを実行させたり、さらにユーザーの個人情報が流出されたりして該ユーザーに経済的な損失を与える。したがって、このような悪意のあるコードを監視し、遮断すべく努力が継続して行われている。
従来は、一般に悪意のあるコードを検索するために、あらかじめ悪意のあるコードのパターンをDBに保存し、該パターンのファイルが指定されたデータ処理システムまたはネットワーク内の特定の場所に存在するかどうか監視した。
しかし、従来の方式は、保存されたファイルをランダムに確認して前記DBに保存されたパターンと比較するものであったため、投資時間と投資資源に比べセキュリティ度が高くないという問題があった。また、従来の方式では、ファイルの実行とは無関係に、従来のセキュリティ装置の駆動時点だけ、該ファイルに対してランダムにセキュリティ度を監視したため、特定の時点では、悪意のあるコードが活性化されなかったり、または悪意のあるコードそのものでなかったのに、特定の処理が実行されたり、特定の時点になれば悪意のある機能が開始される悪意のあるコードは、従来のセキュリティ装置が全く監視できないという限界があった。さらに、従来の方式では、検査対象のファイルがシステムにすでに組み込まれた後に行われるため、前記ファイルの検査前に既に実行されてしまうおそれがあるという限界があった。すなわち、検査対象のファイルが悪意のあるコードに感染したファイルの場合、そのシステムは、従来の方式のセキュリティ装置が備えられているにもかかわらず、悪意のあるコードによって問題が引き起こるという限界があった。
このような問題を解消するために、従来のセキュリティ装置では、データ処理システムまたは特定の場所に存在するすべてのファイルを一定の周期でいちいち確認する方法が提案された。しかし、従来のセキュリティ装置が監視しなければならないセキュリティ対象ファイルの数は、データ処理システムまたは特定の場所の規模によってその数が少なくなく、監視回数もまた周期が短くなるほど増加するしかないため、精密なファイルの監視をするためには従来のセキュリティ装置にそれなりの仕様が要求されるという問題があった。また、検査対象のファイルがシステムにすでに組み込まれて実行されたおそれがあるという限界は依然として解決されない限界である。
これに本発明は、前記のような問題を解消するために発明されたものであって、外部から流入されたファイルが実行されることにより、前記ファイルに与えられる悪影響を事前に防止し、問題のあるファイルを一括に監視しながら、システムの誤動作、データの流出などの問題が発生することを効果的に防止することができるようにするシステムを保護するためのファイルセキュリティ用の管理装置と管理方法の提供を解決しようとする課題とする。
前記技術的課題を達成するために、本発明は、
システムに受信された流入ファイルを監視対象ファイルに変換する変換モジュールと、
前記監視対象ファイルの実行のための選択を確認し、前記監視対象のファイルに設定された流入ファイルをナビゲーションウィンドウに出力するナビゲーション処理モジュールと、
前記監視対象ファイルを流入ファイルに復号化して、分離環境に設定した分離ドライブからアプリケーションを介して実行されるように処理するセキュリティモジュールと、
を含むシステムを保護するためのファイルのセキュリティの管理装置である。
システムに受信された流入ファイルを監視対象ファイルに変換する変換モジュールと、
前記監視対象ファイルの実行のための選択を確認し、前記監視対象のファイルに設定された流入ファイルをナビゲーションウィンドウに出力するナビゲーション処理モジュールと、
前記監視対象ファイルを流入ファイルに復号化して、分離環境に設定した分離ドライブからアプリケーションを介して実行されるように処理するセキュリティモジュールと、
を含むシステムを保護するためのファイルのセキュリティの管理装置である。
前記もう一つの技術的課題を達成するために、本発明は、
管理装置が監視対象のファイルの実行を確認し、前記監視対象ファイルの流入ファイルリストをナビゲーションウィンドウに出力するナビゲーションウィンドウの出力段階と、
前記管理装置が、前記ナビゲーションウィンドウに出力された監視対象のファイルを前記流入ファイルに復号化して、分離環境に設定した分離ドライブで実行されるように処理する流入ファイルを実行する段階と、
を含むシステムを保護するためのファイルのセキュリティ管理方法である。
管理装置が監視対象のファイルの実行を確認し、前記監視対象ファイルの流入ファイルリストをナビゲーションウィンドウに出力するナビゲーションウィンドウの出力段階と、
前記管理装置が、前記ナビゲーションウィンドウに出力された監視対象のファイルを前記流入ファイルに復号化して、分離環境に設定した分離ドライブで実行されるように処理する流入ファイルを実行する段階と、
を含むシステムを保護するためのファイルのセキュリティ管理方法である。
前記本発明は、実行ファイルに含まれている悪意のあるコードの動作を監視するセキュリティ装置が前記実行ファイルの実行時、受動的に駆動しながら動作するため、悪意のあるコードの監視効率と動作効率を高めることができ、さらに監視動作時のシステム負荷を最小限に抑えることができる効果がある。
上述した本発明の特徴および効果は、添付の図面と関連した次の詳細な説明を通じてより明確になり、それによって本発明が属する技術分野で通常の知識を有する者が本発明の技術的思想を容易に実施することができるものである。本発明は、様々な変更を加えることができ、様々な形態を有することができるところ、特定の実施例を図面に例示して本文に詳細に説明する。しかし、これは本発明を特定の開示形態について限定するものではなく、本発明の思想および技術範囲に含まれるすべての変更、均等物ないし代替物を含むものと理解されるべきである。本出願で用いられる用語は、ただ単に特定の実施例を説明するために使用されたもので、本発明を限定する意図ではない。
以下、本発明を実施するための具体的な内容を添付の図面に基づいて詳細に説明する。
図1は、本発明による管理装置が構成されたシステムの形を示すブロック図であり、図2は、本発明による管理装置の分離環境を構成するためのシステムの構造を概略的に示す図であるところ、これを参照に説明する。
本発明による管理装置110は、システム100の外部から流入されたファイル(以下、「流入ファイル」)を確認し、監視するかどうかの後の処理を設定する設定モジュール111と、監視対象として設定された流入ファイルに対して監視対象ファイルに変換処理する変換モジュール112と、流入ファイルが流入されるシステム100の流入パスWと分離ドライブをナビゲートし、分離ドライブ内に保存された監視対象のファイルが実行されるようにナビゲートするナビゲーション処理モジュール114と、その監視対象ファイルの処理が指定されたアクセス権情報に基づいて行われるように処理する監視モジュール115と、監視対象ファイルの復号化を進めて復号化された流入ファイルの実行が分離領域である分離ドライブで行われるように処理したり、人為的に作り上げた分離環境で行われるようにしたりするセキュリティモジュール113を含む。
管理装置110は、システム100のハードウェア101と通信し、カーネル領域の動作を統括するOS102上に実際の運用環境103と分離された仮想運用環境104と呼ばれる2つの運用環境を提供する。実際の運用環境103と、仮想運用環境104は、カーネル領域のOSを共有するが、実際の運用環境仮想運用環境104のリソース(ディスク、レジストリなど)が相互に侵害しないように、仮想化技術を通して分離したもので、一般的なアプリケーションの仮想化技術を使用して具現することができる。
設定モジュール111は、システム100の通信を処理する通信手段120と連動しながら通信手段120が受信した流入ファイルを監視対象に設定するかどうかを決定する。これをより具体的に説明すると、システム100には、電子メールまたはインスタントメッセンジャーなどを実行させるウェブブラウザと、USB外付けストレージ装置の読み取りを確認するUSBドライブと、CDの読み取りを確認するCDドライブのように、外部ファイルの流入パスWを処理する公知、公用の通信手段120が構成される。設定モジュール111は、このような通信手段120と連動しながら通信手段120が流入パスWから受信した流入ファイルを確認し、ユーザーに前記流入ファイルの保存パスを問う。 すなわち、前記流入ファイルを監視対象として設定するかどうか問い、ユーザーが監視対象として設定することを選択すると、前記流入ファイルが監視対象のファイルに変換され得るよう次の段階へ進むようにするものである。もちろん、ユーザーが前記クエリで、前記流入ファイルを非監視対象として設定した場合、前記流入ファイルは、ユーザーが指定したパスにそのまま保存される。本発明による実施例において、前記流入ファイルを、限られた分離環境でのみ実行されるように変換処理し、前記流入ファイルの駆動に監視が行われるように設定する。ここで、前記流入ファイルは、システム100に最初に流入されたデータであり、USB、CD/DVDなどは、前記流入ファイルをシステム100に流入させる流入パスWである。したがって、本発明による管理装置110は、USB、CD/DVDなどを実行するためのドライブを分離ドライブと認知し、ナビゲーション処理モジュール114は、ナビゲーションウィンドウの出力時、USBドライブ、および/またはCD/DVDドライブなどを分離ドライブに出力する。
しかし、この他にも本発明によるセキュリティ用の管理装置は、USBドライブ、および/またはCD/DVDドライブなどを介して流入される流入ファイルが別のクエリなく一括して監視対象ファイルに変換されるようにすることができ、システム100に構成されたUSBドライブおよび/またはCD/DVDドライブなどのドライブ全部が分離ドライブに設定されるようにすることができる。
変換モジュール112は、設定モジュール111が、前記流入ファイルを監視対象のファイルに変換することを設定すれば、前記流入ファイルを管理装置専用のアプリケーション以外は、その実行が不可能なファイルに変換され、該分離ドライブのUSBまたはCD/DVDなどの流入パスWにそのまま保存されたり、システム100内の保存手段130に保存される。ここで、変換されたファイルは、監視対象のファイルに分類され、暗号化などを介して前記変換処理が行われることができる。参考として、保存手段130は、一つ以上のデータを一つの作業単位で集めて監視対象ファイルに圧縮保存するが、設定によって監視対象のファイルごとに監視対象IDを付与することにより、他の監視対象のファイルとの区別とセキュリティ処理が明確に行われるようにすることができる。ここで、監視対象IDは流入ファイルの流入パス別に生成および分類し、類似の場合、監視モジュール115によって一括して管理されることができるようにする。 すなわち、任意の監視対象IDを有する監視対象ファイルの駆動を介して悪意のあるコードが実行されたり、不正な動作が発生したりした場合、監視モジュール115は、前記監視対象IDと同一の他の監視対象のファイルの管理を一括して処理することができるようにするものである。参考として、前記監視対象IDは、流入ファイルまたは監視対象ファイルに直接名付けられるファイル名とは区別されるものであって、前記監視対象IDは、管理装置110が流入ファイルの流入パスを区別するための区分基準であるのに対し、ファイル名は、ユーザーがファイルを区別するための区分基準である。したがって、監視対象IDは、管理装置110が識別されるように監視対象ファイルに登録されれば十分であり、ユーザーが識別できるようにファイル名と共に表示されることもできる。しかし、ユーザーが直接名づけて監視対象ファイルとして命名されたファイル名が監視対象IDとして活用される可能性があるのはもちろんである。
一方、保存手段130は、前述したように、データを一つの監視対象のファイル形式で暗号化して監視対象ID別に保存することができる。したがって、データが不正流出されても、前記データが監視対象のファイル形式で暗号化されているため、前記データが不正に実行されてシステム100に害を及ぼさない。
セキュリティモジュール113は、ユーザーがデータの実行を試みた場合、実際の運用環境103と分離された仮想運用環境(104;分離環境)を実行させる。仮想運用環境104とは、前述したように、一般的な仮想化技術を活用したものであって、実際の運用環境103と分離される仮想のデスクトップ環境を提供するものである。これにユーザーが前記データ実行によるOSのシステムリソース(ディスク、レジストリ、サービスなど)の変化は、実際の運用環境103とは分離された仮想運用環境104にのみ適用される。これをより具体的に説明すると、セキュリティモジュール113は、ユーザーがデータの実行を試みた場合、実行対象のデータが監視対象のファイルであるかどうかを確認し、確認の結果、前記データが監視対象のファイルであった場合、ターゲットアプリケーション実行のためのシステム100が必要とする運用環境(ディスク、レジストリなどのシステムリソース)を仮想化処理する。 公知のように、システム100が必要とする運用環境を変換する技術としては、saniboxie、chroot、Free BSD jails、Remote Desktop Servicesなどがあるが、本発明によるセキュリティモジュール113は、システム100の運用環境を変換する前記技術を監視対象ファイルの実行のための仮想化処理に応用する。参考として、本発明による監視対象ファイルの実行のための仮想化処理された運用環境は、前記監視対象ファイルの実行が読み取り専用のシステムリソースに制限され、そのアプリケーションの外部通信がすべて遮断されている分離環境への設定を準備する。
次に、セキュリティモジュール113は、運用環境の仮想運用環境104がドライブ単位で行われ、これのためにセキュリティモジュール113は、指定されたUSBドライブ、CD/DVDドライブ、ファイルまたはフォルダなどを分離ドライブにマウントして分離環境を作り上げることができる。結局のところ、システム100は、セキュリティ環境で設定されたモードによってプロセスが駆動されることができる環境にリセットされ、これにより、前記監視対象データの実行のための認可されたプログラムの実行が指定された分離環境で行われる。参考として、USBドライブとCD/DVDドライブの場合には、セキュリティモジュール113が、該ドライブを分離ドライブとして認識するようにし、USBドライブ、CD/DVDドライブを流入パスWにして変換処理された監視対象ファイルの実行は、該USBドライブおよびCD/DVDドライブのみに適用され実行されるようにし、システム100内の別のローカルドライブとしては適用されないようにする。
前述したように、前記分離ドライブは、前記分離環境の範囲内で限定的に、前記流入ファイルの実行が行われるように、セキュリティモジュール113によって制御されるファイルまたは装置であって、前記分離ドライブに位置するファイルのデータは、外部への搬出がすべて遮断され、そのデータによるシステム100の問題の発生を防止する。これのため、前記分離ドライブは正常に実行された管理装置110でのみ読み込まれるようになっており、ユーザーは、管理装置110の正当な実行を介してのみ分離ドライブを確認することができる。この外にも、前記分離ドライブは認可されたプログラムでしか読み込まれないため、ユーザーが認可されたプログラムでインポート機能をしようとした場合、前記分離ドライブが確認されるようにすることもできる。
参考として、本発明による実施例では、前記分離ドライブ内には、通常は一般的なファイルの形式で存在していて、監視対象ファイルの実行のために管理装置110が動作された場合、独立した仮想のドライブとして動作しながら、別のデータ(監視対象ファイル)の入出力が行われるようにすることもできる。前記監視対象ファイルは、入出力時のセキュリティモジュール113によって暗復号化が行われることができ、これを通して当該監視対象ファイルへの露出を防止することができる。前記分離ドライブの技術は、本発明の出願人が権利を保有している特許文献1、特許文献2、特許文献3に明示されているため、前記分離ドライブの構造と動作原理の具体的な説明は省略する。
次に、前記認可されたプログラムとは、前記分離ドライブにアクセスできるように設定されたアプリケーションを指すものであって、ユーザーが監視対象ファイルの実行を試みると、前記監視対象のファイルに属する流入ファイルが実行されるために専用のアプリケーションが、前記分離ドライブにアクセスできるように設定がなされ、以後該アプリケーションのみが、前記流入ファイルが処理されるようにする。結局のところ、前記分離ドライブへのアクセスの認可を受けていない他のアプリケーション(悪意のあるプログラムなど)は、前記流入ファイルの実行時に駆動ができなくなる。本発明による実施例では、前記流入ファイルの実行のために、該アプリケーションは、一時的に認証を受け、前記分離ドライブにアクセスして、前記流入ファイルの実行が終了すると、前記認証は解除されるようにする。プログラム(アプリケーション)の認可は、前記分離ドライブとの連動条件であるため、プログラムの認可と認可可否の確認は、セキュリティモジュール113で行われる。
一方、前記分離環境は、システム100を起動したときに設定されている一般的な環境とは区別される実行環境として、監視対象ファイルの実行が指定された範囲内に制限されるようにする。ここで、前記分離環境で実行されているドライブは、分離ドライブであり、分離環境で生成されたデータは、分離ドライブにのみ保存される。これをより具体的に説明すると、データを実行するために、システム100に設置されたOS(Operating System)は、プログラムを駆動させるための環境を作り上げるが、一般的な従来の環境は、セキュリティに対して弱いため、セキュリティのために認可されたプログラムのみが実行されるようにしながら、別の通信ラインが形成されるようにするセキュリティ環境をシステム100に設定する。
セキュリティモジュール113は、分離ドライブを制御して、流入ファイルの暗号化と監視対象ファイルの復号化を進めており、流入ファイルが分離環境モードである前記分離ドライブに保存されるように処理する。参考として、USBドライブまたはCD/ DVDドライブにUSBとCD/ DVDがそれぞれ接続されていない場合は、システム100に流入ファイルの流入がないため、管理装置110の実行はない。一方、システム100に流入ファイルを保存する場合は、前述したように、前記流入ファイルを監視対象ファイルに変換して、管理装置110だけを実行することができる拡張子で暗号化する。参考として、本実施例では、保存手段130内の一般のドライブである非分離環境に保存されている監視対象ファイルの拡張子は*.vroomにした。
セキュリティモジュール113は、前記流入ファイルが限られた範囲内で実行されるよう該監視対象ファイルを流入ファイルに復号化した後、分離環境の分離ドライブに保存する。したがって、認可されたアプリケーションは、前記分離ドライブが検索されるため、流入ファイルを検索し「インポート」をすることができ、不正なアプリケーションは、前記分離ドライブが検出されないため、分離対象のデータを検索することができなくなる。
セキュリティモジュール113は、システム100の実行環境を一般的な環境と分離環境とに区別することができ、これにより、流入ファイルの実行が分離環境でのみ行われるように制限することができる。
参考として、一般的な環境では、前記分離ドライブを確認することができ、セキュリティモジュール113が作り上げた分離環境では、前記分離ドライブに対比される一般的なドライブを確認することができる。しかし、セキュリティモジュール113は、一般的な環境と分離環境のいずれも流入ファイルが一般的なドライブでは実行されないようにする。
一方、本発明による管理装置110は、多数の監視対象のIDの監視対象ファイルがナビゲーションウィンドウに掲示されるようにすることができ、さらに、ユーザーは、前記監視対象ファイルを選択的に実行されるようにすることができる。このとき、流入ファイルは監視対象IDごとに前記分離環境に分類されて保存され、流入ファイルの情報漏洩を防止するために、流入ファイルの実行は、監視対象IDごとに1つだけ行われるようにする。
ナビゲーション処理モジュール114は、保存手段130が保存されている監視対象のファイルと、前記監視対象ファイルに設定された流入ファイルのリストをまとめて提供する。ユーザーが監視対象のファイルを確認して実行しようとすると、図3(本発明による管理装置が運営するナビゲーションウィンドウの一実施例を示す画像)で示すように、ナビゲーション処理モジュール114が実行され、該監視対象ファイルに設定された流入ファイルをリスト形式でナビゲーションウィンドウに出力させる。ユーザーは、システム100のモニターに出力されているナビゲーションウィンドウから前記監視対象のファイルに含まれた流入ファイルを確認し、掲示された流入ファイルを選択して、これを実行することができる。
参考として、ナビゲーションウィンドウ1,2に掲示された「0.txt」、「1.word」、「2.hwp」、「3.bmp」は、ユーザーが該監視対象のファイル(または監視対象ID)をクリックした場合、詳細に掲示される流入ファイルのリストであって、前記リストは、該当するアプリケーションを介して実行可能な流入ファイルを例示した。この例示では、拡張子をテキスト、ワード、ハングルおよびビットマップ画像などで例示したが、これに限定されず、他にも一般的な文書ファイルから図面、設計データなどはもちろん* .exe、* .dllなどの実行ファイルなどがすべて含まれることができる。
次に、ナビゲーション処理モジュール114は、復号化された流入ファイルが位置する分離ドライブの表示を図3に示す操作ナビゲーションウィンドウ内に出力させ、ユーザーが分離環境に対応する前記分離ドライブにおいて、前記流入ファイルの実行を制御することができるようにする。また、図3に示すように、前記操作ナビゲーションウィンドウは、各ドライブ別(G:ドライブ、H:ドライブなど)に一つずつのみ実行可能であり、現在の任意の分離ドライブ内の監視対象のファイルを実行している場合、他の監視対象ファイルの実行は制限されるようにすることができる。
監視モジュール115は、分離環境で実行される任意の監視対象IDの監視対象ファイル内の流入ファイルを確認し、前記流入ファイルに構成された悪意のあるコードの活動、または許可されていない実行があるかどうかを検知する。本発明による実施例においては、前記分離環境では、流入ファイルの実行が読み取り機能を制限することができる。したがって、流入ファイルの動作がシステム100に及ぼす影響は大きくないが、前記流入ファイルとの連動で、既存のファイルなどが動作して、システム100に悪影響を与えることができる。監視モジュール115は、これに備えて分離環境で実行される監視対象ファイルの流入ファイルを確認し、類似の時、これを強制的に停止させたり、警告ウィンドウを出力させてユーザに通知する。さらに、監視モジュール115は、問題を起こした監視対象ファイルの監視対象IDを確認して、同じ監視対象IDの動作が制限されるように一括して制御することもできる。参考として、悪意のあるコードの活動を監視する監視モジュール115は、公知、公用のワクチンプログラム技術が適用され、当該技術は、許可されていない実行を検知した時、これを強制的に停止させたり、警告ウィンドウなどを出力させたりする技術が含まれる。
図4は、本発明による管理方法の第1の実施例を順次示すフローチャートであるところ、これを参照して説明する。
S10:ファイルの流入段階
システム100に構成された通信手段120は、電子メールまたはインスタントメッセンジャーなどを実行させるウェブブラウザと、USB外付けストレージ装置を読み取り確認するUSBドライブと、CDを読み取り確認したCDドライブなどの流入パスWを通じて、外部からファイルを受信する。このように、受信された流入ファイルは、システム100の通信手段120が公知、公用の機能を介して処理され、ユーザーに保存パスとファイル名などを問い、保存手段130の指定された場所に保存する。システム100に保存されているファイルは、ファイル単位で問われることができ、プログラム単位で問われることもできる。プログラム単位で問われた場合、ユーザーが保存パスなどを入力すると、そのプログラムに含まれているすべてのファイルが一括して前記パスに入力される。
システム100に構成された通信手段120は、電子メールまたはインスタントメッセンジャーなどを実行させるウェブブラウザと、USB外付けストレージ装置を読み取り確認するUSBドライブと、CDを読み取り確認したCDドライブなどの流入パスWを通じて、外部からファイルを受信する。このように、受信された流入ファイルは、システム100の通信手段120が公知、公用の機能を介して処理され、ユーザーに保存パスとファイル名などを問い、保存手段130の指定された場所に保存する。システム100に保存されているファイルは、ファイル単位で問われることができ、プログラム単位で問われることもできる。プログラム単位で問われた場合、ユーザーが保存パスなどを入力すると、そのプログラムに含まれているすべてのファイルが一括して前記パスに入力される。
S20:流入ファイルを設定する段階
本発明によるシステム100は、管理装置110を含み、管理装置110の設定モジュール111は、通信手段120と連動しながら通信手段120が流入パスWから受信した流入ファイルを確認し、ユーザーに前記流入ファイルの保存パスを問う。すなわち、前記流入ファイルを監視対象として設定するかどうか問い、ユーザーが監視対象の設定を選択すると、前記流入ファイルが監視対象のファイルに変換されるよう、次の段階に進められるようにするものである。もちろん、ユーザーが前記クエリで、前記流入ファイルを非監視対象として設定した場合、前記流入ファイルは、ユーザーが指定したパスにそのまま保存される。本発明による実施例では、前記流入ファイルを、限られた分離環境でのみ実行されるように変換処理して、前記流入ファイルの駆動に監視が行われるように設定する。
本発明によるシステム100は、管理装置110を含み、管理装置110の設定モジュール111は、通信手段120と連動しながら通信手段120が流入パスWから受信した流入ファイルを確認し、ユーザーに前記流入ファイルの保存パスを問う。すなわち、前記流入ファイルを監視対象として設定するかどうか問い、ユーザーが監視対象の設定を選択すると、前記流入ファイルが監視対象のファイルに変換されるよう、次の段階に進められるようにするものである。もちろん、ユーザーが前記クエリで、前記流入ファイルを非監視対象として設定した場合、前記流入ファイルは、ユーザーが指定したパスにそのまま保存される。本発明による実施例では、前記流入ファイルを、限られた分離環境でのみ実行されるように変換処理して、前記流入ファイルの駆動に監視が行われるように設定する。
さらに、USBまたはCD/DVDを使用して、システム100に流入される流入ファイルを監視対象として設定するかどうかは別途問うことなく、無条件に監視対象として設定されるようにすることができる。
S31:監視対象ファイルへの変換段階
設定モジュール111が、前記流入ファイルを監視対象ファイルに変換することを設定すると、管理装置110の変換モジュール112は、前記流入ファイルを管理装置以外は、実行またはナビゲーションが不可能なファイルに変換し、その流入パスWのUSBドライブ内のUSBまたはCD/DVDドライブ内のCD/DVDに保存したり、システム100の保存手段130に保存する。ここで、変換された該ファイルは、該監視対象のファイルに分類され、暗号化などを介して前記変換処理が行われることができる。監視対象ファイルのファイル名は、ユーザーが指定することができ、保管場所も、ユーザーが指定することができる。本発明による実施例で変換モジュール112によって変換された前記監視対象のファイルは分離環境でのみ実行されるように変換処理される。
設定モジュール111が、前記流入ファイルを監視対象ファイルに変換することを設定すると、管理装置110の変換モジュール112は、前記流入ファイルを管理装置以外は、実行またはナビゲーションが不可能なファイルに変換し、その流入パスWのUSBドライブ内のUSBまたはCD/DVDドライブ内のCD/DVDに保存したり、システム100の保存手段130に保存する。ここで、変換された該ファイルは、該監視対象のファイルに分類され、暗号化などを介して前記変換処理が行われることができる。監視対象ファイルのファイル名は、ユーザーが指定することができ、保管場所も、ユーザーが指定することができる。本発明による実施例で変換モジュール112によって変換された前記監視対象のファイルは分離環境でのみ実行されるように変換処理される。
参考として、本発明による変換モジュール112は、前記流入ファイルの流入パスWがUSBドライブ、CD/ DVDドライブなどのような通信手段120である場合、ユーザーが前記流入ファイルを監視対象のファイルに変換した後に実行させる分離環境(分離ドライブ)を、該流入ファイルの流入パスWのUSBドライブ、CD/DVDドライブに設定されるようにすることができ、前記流入ファイルの流入パスWが、電子メールなどのような通信手段120である場合、前記流入ファイルを監視対象のファイルに変換した後、実行させる分離環境(分離ドライブ)を別途生成したファイルまたはフォルダに設定されることができる。最終的には、変換モジュール112は、流入ファイルの流入パスWに応じて分離ドライブをUSBドライブ、および/またはCD/ DVDドライブに設定したり、別のファイルまたはフォルダなどに設定することができる。
S32:ナビゲーションウィンドウの出力段階
ユーザーが監視対象のファイルを実行すると、ナビゲーション処理モジュール114は、該監視対象ID、またはファイル名が含まれた監視対象ファイルのリストを掲示したナビゲーションウィンドウを出力する。このとき、前記ナビゲーションウィンドウは、前記監視対象ファイルに設定された流入ファイルが実行されている分離環境の分離ドライブを露出させて、前記流入ファイルが一時的に保存されて実行される位置をユーザーが認知できるようにすることができる。
ユーザーが監視対象のファイルを実行すると、ナビゲーション処理モジュール114は、該監視対象ID、またはファイル名が含まれた監視対象ファイルのリストを掲示したナビゲーションウィンドウを出力する。このとき、前記ナビゲーションウィンドウは、前記監視対象ファイルに設定された流入ファイルが実行されている分離環境の分離ドライブを露出させて、前記流入ファイルが一時的に保存されて実行される位置をユーザーが認知できるようにすることができる。
次に、前記ナビゲーションウィンドウは、前記監視対象のファイルに含まれた流入ファイルのリストを出力するが、前記流入ファイルの実行を制限するために、ユーザーが選択するまで、前記流入ファイルのリストだけを掲示するようにすることができる。
S33:流入ファイルを実行する段階
ユーザーが流入ファイルを実行するために、ナビゲーションウィンドウに掲示された流入ファイルのいずれかをクリックすると、セキュリティモジュール113が暗号化され、監視対象のファイルを前記流入ファイルに復号化して、分離環境である前記分離ドライブに保存する。
ユーザーが流入ファイルを実行するために、ナビゲーションウィンドウに掲示された流入ファイルのいずれかをクリックすると、セキュリティモジュール113が暗号化され、監視対象のファイルを前記流入ファイルに復号化して、分離環境である前記分離ドライブに保存する。
次に、前記分離ドライブに保存された前記流入ファイルは、該アプリケーションを介して実行される。ここで、前記アプリケーションは、分離環境で実行されるように認可されたアプリケーションであることができ、前記分離ドライブを認識して前記流入ファイルへのアクセスと実行が可能である。
一方、流入ファイル実行中の監視モジュール115は、前記分離環境内で前記流入ファイルによる悪意のあるコードの実行または不正な駆動などを確認する。前記流入ファイルによるシステム100の動作は、前記分離環境の範囲内に制限されるため、監視モジュール115は、前記流入ファイルの駆動による問題が発生するかどうかを分離環境の範囲内で確認することができる。もちろん、悪意のあるコードに感染した流入ファイルは、分離環境に分離されて駆動するため、システム100に影響を及ぼさない。
監視モジュール115の監視結果、分離環境内に流入ファイルから問題を確認すると、前記流入ファイルの実行を停止させ、ユーザーに警告ダイアログを出力することができる。さらに、前記流入ファイルが属する監視対象ファイルの監視対象IDを確認して流入パスWを確認し、該流入パスWに属する他の監視対象のファイルの実行を一括して制限することもできる。
S34:流入ファイルの実行を終了する段階
以降、ユーザーは流入ファイルの実行または編集などの作業を完了した後、流入ファイル終了に加えたナビゲーションウィンドウを閉じるなどの終了を行うことができる。このため、ユーザーがナビゲーションウィンドウで、[終了]メニューを操作すると、セキュリティモジュール113は、分離ドライブにある前記流入ファイルを暗号化して約束された作業単位の監視対象ファイルに変換した後、前記監視対象ファイルを保存手段130内の非分離環境に保存する。参考として、分離ドライブ内の流入ファイルを監視対象のファイルに変換するときに、その監視対象ファイルのファイル名は、既存のファイル名および/または監視対象IDに設定して、その後もユーザーが前記監視対象ファイルを検索し、復号化した後の作業を進めることができようにする。
以降、ユーザーは流入ファイルの実行または編集などの作業を完了した後、流入ファイル終了に加えたナビゲーションウィンドウを閉じるなどの終了を行うことができる。このため、ユーザーがナビゲーションウィンドウで、[終了]メニューを操作すると、セキュリティモジュール113は、分離ドライブにある前記流入ファイルを暗号化して約束された作業単位の監視対象ファイルに変換した後、前記監視対象ファイルを保存手段130内の非分離環境に保存する。参考として、分離ドライブ内の流入ファイルを監視対象のファイルに変換するときに、その監視対象ファイルのファイル名は、既存のファイル名および/または監視対象IDに設定して、その後もユーザーが前記監視対象ファイルを検索し、復号化した後の作業を進めることができようにする。
セキュリティモジュール113は、アプリケーションの認可可否を確認した後、認可されたアプリケーションのみを分離環境で実行するように制御し、ユーザーが「タスクの終了メニュー」を操作すると、分離ドライブ内でその流入ファイルの保存などを進行し、合わせて、マウントされた分離ドライブはアンマウントする。一例として、本発明による分離ドライブにマウントされたUSBドライブおよび/またはCD/DVDドライブは、ナビゲーションウィンドウの消滅と共に削除され、ファイルまたはフォルダに生成された分離ドライブもまたディレクトリウィンドウから削除されるようにすることができる。参考として、本発明による実施例では、前記分離ドライブがUSBドライブおよび/またはCD/DVDドライブに限り設定されるようにして、電子メール等の添付ファイルの受信は、別のファイルまたはフォルダなどを用いた分離ドライブを生成せず、政策的に別のデータの認証を受けてシステム100に保存する方式で外部流入ファイルを受信し、保存するようにすることもできる。
図5は、本発明による管理装置が構成されたシステムのもう一つの形を示すブロック図であるところ、これを参照して説明する。
本発明による管理装置110’は、システム100’から監視対象ファイルの一種で変換されたスタブファイル200の実行時に、特定の区域で起こる活動を確認し、その活動が指定された活動を外れた場合、これを遮断および/または警告する監視モジュール115と、セキュリティ処理されたスタブファイル200を、原本の実行ファイルに復元して実行されるように処理する実行モジュール116をさらに含む。
監視モジュール115は、スタブファイル200の実行時、より具体的には、スタブファイル200に設定された原本の実行ファイルの実行時にデータ処理システムのレジストリ、ファイルI/O、サービス、ウィンドウ、カーネル領域ドライブなどのエリアで行われるデータの生成および編集などの活動を確認して、スタブファイル200に設定された、原本の実行ファイルとは無関係だったり、関連アプリケーションのアクセスまたは操作が許可されていなかったりする実行が検知されると、これを強制的に停止させたり、警告ウィンドウを出力させてユーザに通知する。該原本の実行ファイルとは無関係だったり、関連アプリケーションのアクセスまたは操作が許可されなかったりする実行とは、原本の実行ファイルまたはスタブファイル200などの不正記録された悪意のあるコードが任意のエリアでは、原本の実行ファイルまたはスタブファイル200とは無関係なアクションを実行したり、システムの運用に影響を与えることができる区域(レジストリ、ファイルI/O、サービスなど)への変更(生成と変更、削除など)をいう。参考として、悪意のあるコードの活動を監視する監視モジュール115は、公知、公用のワクチンプログラム技術が適用され、当該技術は、許可されていない実行が検知された時、これを強制的に停止させたり、警告ウィンドウなどを出力させる技術が含まれる。
実行モジュール116は、ステップファイルの実行に応じて受動的に呼び出されて実行され、スタブファイル200に設定されたセキュリティローダー230がプログラムに基づいて動作することができるように処理してスタブファイル200のスタブ210が、原本の実行ファイルに復元されるようにする。すなわち、実行モジュール116は、セキュリティローダー230が設定されたプログラムルーチンに従って実行されるように処理する構成である。
スタブファイル200は、原本の実行ファイルで構成されたスタブ210と、スタブファイル200を生成したコンストラクタの詳細および/または生成されたシステムに関する情報などを有するヘッダ220と、原本の実行ファイルの実行のための処理を制御しながら管理装置110’を呼び出すセキュリティローダー230で構成され、構成データがストリーミング方式で処理されることができるよう、セキュリティローダー230、ヘッダ220とスタブ210は、該OSおよびアプリケーション30から順次処理されるように順番に配列されている。最終的には、セキュリティローダー230は、スタブファイル200の実行を能動的に管理装置110’に通知し、管理装置110’に設定された実行モジュール116と連動しながら、ソースデータのスタブ210の復元作業を行うようプログラムされたルーチンの一種である。参考として、管理装置110’の一構成である実行モジュール116は、セキュリティローダー230から復元された原本の実行ファイルの場所を受信して前記原本の実行ファイルが実行されるように制御する装置である。
本発明による管理装置110’のより具体的な技術説明は、セキュリティ方法を説明しながら詳細にする。
図6は、本発明による管理方法の第2の実施例を順次示すフローチャートであるところ、これを参照して説明する。
ファイル流入段階S10と流入ファイルの設定段階S20は、前で説明したため、ここでは重複説明を省略する。
S25:変換の種類を選択する段階
変換モジュール112’は、ユーザーが流入ファイルの変換を決定する、変換の種類を問い、流入ファイルの変換の種類を決定するようにする。本発明による実施例では、流入ファイルを分離環境の範囲内でのみ制限された実行が認可される監視対象ファイルに変換する第1の設定案と、流入ファイルが普通の環境で実行が行われるようにし、ただし監視モジュールを能動的に呼び出してファイル実行する時にリアルタイムに監視が行われるようにする監視対象ファイルに変換する第2の設定案を例示する。前記第1の設定案に対する監視対象ファイルは、前述したため、重複説明は省略し、前記第2の設定案に対する監視対象ファイルは、以下で詳細に説明する。
変換モジュール112’は、ユーザーが流入ファイルの変換を決定する、変換の種類を問い、流入ファイルの変換の種類を決定するようにする。本発明による実施例では、流入ファイルを分離環境の範囲内でのみ制限された実行が認可される監視対象ファイルに変換する第1の設定案と、流入ファイルが普通の環境で実行が行われるようにし、ただし監視モジュールを能動的に呼び出してファイル実行する時にリアルタイムに監視が行われるようにする監視対象ファイルに変換する第2の設定案を例示する。前記第1の設定案に対する監視対象ファイルは、前述したため、重複説明は省略し、前記第2の設定案に対する監視対象ファイルは、以下で詳細に説明する。
参考として、変換モジュール112’は、前記変換の種類の問いに対応して、ユーザーが第1の設定案を選択すると、前述した監視対象のファイル変換の段階S31、ナビゲーションウィンドウの出力段階S32、流入ファイルを実行する段階S33、流入ファイルの実行終了段階S34を順次進めるように処理する。一方、前記変換の種類のクエリに対応して、ユーザーが第2の設定案を選択すると、該流入ファイルを以下の段階で変換および実行が行われるように処理する。
S41:スタブファイルへの変換の段階
システム100’に新たな流入ファイルが入力されると、管理装置10’の変換モジュール112’は、前記流入ファイルを、該監視対象ファイルに変換するために、プログラムルーチンの一種であるセキュリティローダー230を前記流入ファイルの原本の実行ファイルに挿入し、これを介して前記ソース実行ファイルをスタブファイル200に変換させる。
システム100’に新たな流入ファイルが入力されると、管理装置10’の変換モジュール112’は、前記流入ファイルを、該監視対象ファイルに変換するために、プログラムルーチンの一種であるセキュリティローダー230を前記流入ファイルの原本の実行ファイルに挿入し、これを介して前記ソース実行ファイルをスタブファイル200に変換させる。
図7(本発明による管理装置を介してスタブファイルに変換された原本の実行ファイルの形とアイコン形を示す図)を参照し、流入ファイルのスタブファイル変換技術をより具体的に説明する。
流入ファイル内にはセキュリティが維持されるべきアプリケーションの実行ファイルがある。したがって、該アプリケーションが動作するときには、セキュリティが前提でなければならず、これのためには、前記アプリケーションの実行ファイルの駆動時に、悪意のあるコードも共に活動するかどうかをリアルタイムに監視しなければならない。したがって、本発明による管理装置110’は、指定された原本の実行ファイルをスタブファイル200に変換処理する変換モジュール112’を含む。
一方、流入ファイル内には実行時に下位実行ファイルを追加で生成および実行させながら、新しいプログラムなどが実行されるようにする。一例として、プログラムのインストールファイルなどのような実行ファイルは、ユーザーが該実行ファイルを実行する場合、下位実行ファイルを追加で生成させて自動的に実行されるようにしたり、ユーザーが選択的に実行されるようにする。
したがって、変換モジュール112’は、メインの実行ファイルがスタブファイル200に変換処理された場合は、そのスタブファイル200の実行時に生成される下位実行ファイルも自動的にスタブファイルに変換されるように処理する。
図7(a)に示すように、変換モジュール112’は、スタブファイル200に変換するためのセキュリティローダー230を生成し、変換対象のソース実行ファイルの前段にセキュリティローダー230を挿入して前記ソースの実行ファイルがスタブファイル200に変換されるようにする。最終的には、変換モジュール112’は、原本の実行ファイルに該当するスタブ210の前段にセキュリティローダー230を配置してスタブファイル200に変換する。
原本の実行ファイルにセキュリティローダーを挿入する技術について、もう少し具体的に説明する。
原本の実行ファイル内にスタブプログラムのセキュリティローダー230を入れたり、セキュリティローダー230とデータを合致させたり、いずれも実行ファイルにデータを追加する作業である。このように、実行可能ファイルとデータを連結する方法は、いくつかの種類があり、本発明による実施例では、次に例示する。
(1)第1の実施例
セキュリティローダー230をリソースに追加する。この方法は、通常、コンパイルタイムに使用される方法であって、セキュリティローダー230に該当するスタブプログラムを生成する実行モジュール116で多く使用される。原本の実行ファイル自体をバイナリリソースに含ませた後、それをロードして使用する形態である。ウィンドウで提供されるリソースのAPIを使用すると、このような作業を簡単にすることができる。リソースは、原本の実行可能ファイルと共にメモリに共にロードされるため、リソースに追加されたセキュリティローダー230が大きく、一度にロードする必要がない場合には、メモリの無駄が発生することがある。
セキュリティローダー230をリソースに追加する。この方法は、通常、コンパイルタイムに使用される方法であって、セキュリティローダー230に該当するスタブプログラムを生成する実行モジュール116で多く使用される。原本の実行ファイル自体をバイナリリソースに含ませた後、それをロードして使用する形態である。ウィンドウで提供されるリソースのAPIを使用すると、このような作業を簡単にすることができる。リソースは、原本の実行可能ファイルと共にメモリに共にロードされるため、リソースに追加されたセキュリティローダー230が大きく、一度にロードする必要がない場合には、メモリの無駄が発生することがある。
(2)第2の実施例
新しいセクションを原本の実行ファイルに追加して、そこにセキュリティローダー230を追加する。セクションの追加方法は、コンパイルタイムとコンパイル後にすべて使用することができる。コンパイルタイムにセクションを追加するためには、#pragma data_segを使用すればよい。完成されたスタブファイル200にセクションを追加するためには、別のユーティリティを製作しなければならない。この方式の最大の利点は、実行可能なコードを追加することができるという点である。一方、サポートするAPIがないため、既に生成されたスタブファイル200にセクションを追加することは、自分で具現する必要があるという欠点がある。セクションもまた、リソースと同様に、メモリにローディングされるため、メモリを無駄にする問題はそのまま残り得る。
新しいセクションを原本の実行ファイルに追加して、そこにセキュリティローダー230を追加する。セクションの追加方法は、コンパイルタイムとコンパイル後にすべて使用することができる。コンパイルタイムにセクションを追加するためには、#pragma data_segを使用すればよい。完成されたスタブファイル200にセクションを追加するためには、別のユーティリティを製作しなければならない。この方式の最大の利点は、実行可能なコードを追加することができるという点である。一方、サポートするAPIがないため、既に生成されたスタブファイル200にセクションを追加することは、自分で具現する必要があるという欠点がある。セクションもまた、リソースと同様に、メモリにローディングされるため、メモリを無駄にする問題はそのまま残り得る。
次に、スタブファイル200への変換が完了したら、変換モジュール112’は、表示がマーキングされたアイコン画像情報をスタブファイル200のリソースに保存し、これにより、表示がマーキングされたアイコン画像が掲示されてユーザーがこれを識別できるようにする。スタブファイル200は、実行ファイルの一種である、原本の実行ファイルを監視する目的で変換したもので、ファイル名が原本の実行ファイルと同じなので、アイコン画像もまた、既存のソースの実行可能ファイルのアイコン画像と同じでしかない。したがって、ユーザーがこれを区別できるように、図7(b)で示すように、変換されたスタブファイル200のアイコン画像ICは、「検」の表示(T)をOverlayなどの方法でマーキングする。これにより、ユーザーは、そのフォルダに出力された前記アイコン画像を見ながらスタブファイル200に変換された原本の実行ファイルとを直接区別することができ、これにより、安全な作業環境の保証を受けることができる。
S42:監視対象のファイルを実行する段階
該監視対象のファイルは、*.exe、*.dllなどのPE(Portable Executable)構造を有する実行ファイル形式であり、他にも様々な拡張子のファイル形式が適用されることができる。
該監視対象のファイルは、*.exe、*.dllなどのPE(Portable Executable)構造を有する実行ファイル形式であり、他にも様々な拡張子のファイル形式が適用されることができる。
参考として、本発明の対象となるスタブファイル200の名称は、原本の実行ファイルの名称と同じように保存されるため、前記ソースの実行ファイルを実行させるOS(Operating Systemと、140)またはアプリケーションは、監視対象のファイルとして認知するスタブファイル200を、該原本の実行ファイルで確認し、その実行を進行させる。したがって、原本の実行ファイルが「a.exe」であれば、スタブファイル200もまた、「a.exe」に変換されて保存されるため、OS140またはそのアプリケーションは、その監視対象のファイルが処理されるべきタイミングにスタブファイル200に変換保存された「a.exe」の実行を処理する。
次に、監視対象のファイルに記録された情報は、OS140またはアプリケーションによってストリーミング方式で順次処理される。したがって、監視対象ファイルがスタブファイル200である場合、OS140またはアプリケーションは、スタブファイル200に記録された情報であるセキュリティローダー230、ヘッダ220とスタブ210を保存順に処理する。
S43:管理装置のインストールを確認する段階
OS140またはアプリケーションの処理過程でのセキュリティローダー230が確認され、セキュリティローダー230が設定された内容に基づいて動作しながら、管理装置110’を呼び出す。
OS140またはアプリケーションの処理過程でのセキュリティローダー230が確認され、セキュリティローダー230が設定された内容に基づいて動作しながら、管理装置110’を呼び出す。
一方、前記監視対象ファイルが、本発明に基づいて、セキュリティ処理されたスタブファイル200でない一般的な実行ファイルである場合、該実行ファイルには、セキュリティローダー230を構成していないため、OS140またはアプリケーションの処理時、管理装置110’は、呼び出されず、前記実行ファイルのスタブ210が、該アプリケーションによってすぐに実行される。
参考として、本発明による管理装置110’がインストールされていないシステム100’にスタブファイル200が実行された場合、スタブファイル200のセキュリティローダー230は、呼び出しのターゲットがないため、後の段階が行われない。最終的には、管理装置110’がインストールされていないシステムでは、監視対象ファイルの実行自体が基本的に遮断されるため、セキュリティが極大化する効果がある。
S44:対象ファイルの確認の段階
プログラムルーチンの一種であるセキュリティローダー230は、スタブファイル200の場所を確認するための第1のフルパス(Full Path)情報と、スタブファイル200に設定されたセキュリティローダー230とヘッダ220とスタブ210の大きさをそれぞれ確認する。スタブファイル200は、ユーザーの意志に基づいてさまざまな場所に移動して実行されることができる独立したファイルであるため、特定の場所に限定的に固定位置しない。したがって、セキュリティローダー230は、スタブファイル200が実行されるたびに自分の位置やサイズなどを確認する。参考として、フルパス(Full Path)は、ファイル名を指定するときに、ドライブ名から開始して、すべてのディレクトリ名を指定して入力するもので、ファイルの絶対位置を確認する周知、慣用の情報である。
プログラムルーチンの一種であるセキュリティローダー230は、スタブファイル200の場所を確認するための第1のフルパス(Full Path)情報と、スタブファイル200に設定されたセキュリティローダー230とヘッダ220とスタブ210の大きさをそれぞれ確認する。スタブファイル200は、ユーザーの意志に基づいてさまざまな場所に移動して実行されることができる独立したファイルであるため、特定の場所に限定的に固定位置しない。したがって、セキュリティローダー230は、スタブファイル200が実行されるたびに自分の位置やサイズなどを確認する。参考として、フルパス(Full Path)は、ファイル名を指定するときに、ドライブ名から開始して、すべてのディレクトリ名を指定して入力するもので、ファイルの絶対位置を確認する周知、慣用の情報である。
スタブ210は、原本の実行ファイル区間であって、スタブファイル200への変換処理時に、原本の実行ファイル区間は、暗号化することができる。最終的には、原本の実行ファイルをスタブファイル200に変換した場合、原本の実行ファイルは、暗号化により該実行時に悪意のあるコードが活動することを根っから解除することはもちろん、原本の実行ファイルのデータへの不正な流出が防止される効果がある。
S45:対象ファイルの情報を保存する段階
セキュリティローダー230は、スタブ210の原本の実行ファイルを一時フォルダFに分離保存し、その一時フォルダFの位置である第2のフルパス情報を確認して前記第1のフルパス情報と合わせて管理装置110’の実行モジュール116に伝達する。
セキュリティローダー230は、スタブ210の原本の実行ファイルを一時フォルダFに分離保存し、その一時フォルダFの位置である第2のフルパス情報を確認して前記第1のフルパス情報と合わせて管理装置110’の実行モジュール116に伝達する。
参考として、スタブ210のソース、実行可能ファイルが暗号化されている場合、セキュリティローダー230が暗号化された原本の実行ファイルを復号化した後、一時フォルダFに保存することもあり、セキュリティローダー230が暗号化され、原本の実行ファイルを一時フォルダFにまず保存した後、該原本の実行ファイルの実行直前に実行モジュール116が、これを復号化することもできる。
S46:原本の実行ファイルを実行する段階
セキュリティローダー230によって呼び出された管理装置110’の実行モジュール116は、セキュリティローダー230から前記第2のフルパス情報を受信し、実行モジュール116は、前記第2のフルパス情報に該当する原本の実行ファイルが実行されるように処理する。
セキュリティローダー230によって呼び出された管理装置110’の実行モジュール116は、セキュリティローダー230から前記第2のフルパス情報を受信し、実行モジュール116は、前記第2のフルパス情報に該当する原本の実行ファイルが実行されるように処理する。
前記ソースの実行ファイルは、実行モジュール116の制御に基づいて、独自の当該実行を開始し、連動するアプリケーションは、その駆動を開始する。
S47:原本の実行ファイルの監視の段階
管理装置110’の監視モジュール115は、セキュリティローダー230が送信した第1、2のフルパス情報をもとに、一時フォルダF内の前記ソース実行ファイルを確認し、前記ソース実行ファイルが実行された場合、システム100’のレジストリ、ファイルI/O、サービス、ウィンドウ、カーネル領域ドライブなどのエリアの生成および編集されたすべてのデータを把握し、悪意のあるコードの有無または不正な行為の発生の有無などを確認する。
管理装置110’の監視モジュール115は、セキュリティローダー230が送信した第1、2のフルパス情報をもとに、一時フォルダF内の前記ソース実行ファイルを確認し、前記ソース実行ファイルが実行された場合、システム100’のレジストリ、ファイルI/O、サービス、ウィンドウ、カーネル領域ドライブなどのエリアの生成および編集されたすべてのデータを把握し、悪意のあるコードの有無または不正な行為の発生の有無などを確認する。
監視モジュール115は、前記原本の実行ファイルの動作後に実行情報を有するため、前記ソース実行ファイルの動作の後、指定された実行情報のほかの動作が行われた場合、監視モジュール115は、システム100’の当該区域に悪意のあるコードまたは不正な行為が発生したとみなし、フォローアップを行う。
S48:監視対象後続の処理の段階
監視モジュール115は、システム100’の当該区域に悪意のあるコードまたは不正な行為が発生したことを確認すると、システム100’の当該動作を停止させることができ、ユーザーに警告ウィンドウを出力してフォローアップを行うようにすることができる。
監視モジュール115は、システム100’の当該区域に悪意のあるコードまたは不正な行為が発生したことを確認すると、システム100’の当該動作を停止させることができ、ユーザーに警告ウィンドウを出力してフォローアップを行うようにすることができる。
監視モジュール115のフォローアップ内容は、OSの起動に必要な領域(MBRなど)への変更の試み確認(ファイル監視)、一般的なユーザレベルではなく、カーネルレベルでの不要なレジストリ値の変更の試み確認(レジストリ監視)、アクセスを遮断したり、要請している部分のログの保存などのデータの生成や編集などが例示される。
前述したように、監視モジュール115は、悪意のあるコードの駆動または不正な行為を制限するための公知、公用の装置が適用されることができる。
一方、スタブファイル200は、ヘッダ220を含むが、監視モジュール115は、ヘッダ220でスタブファイル200のヘッダ情報を確認する。前記ヘッダ情報は、スタブファイル200を生成したコンストラクタの詳細および/または生成先の情報、ファイル流入パス(以下、「ファイル流入パス情報」)などを含むが、前記ヘッダ情報に基づいてスタブファイル200の実行を制御したり、削除などのセキュリティ措置がなされるようにすることができる。
これをより具体的に説明すると、監視モジュール115は、原本の実行ファイル監視段階(S47)でスタブファイル200のヘッダ情報をもとに、該スタブファイル200のファイル流入パスWについての情報(例えば、ファイルを送信した送信者のメールアドレス、ファイルをダウンロードしたURLアドレス、ファイルが含まれているUSB装置名など)を優先的に照会する。照会されたファイルの流入パスWについての情報が既存に悪意のあるコードの実行または不正な行為をすることが確認され、政策的に不正な流入パスであった場合、そのソースの実行ファイルの実行を遮断したり、スタブファイル200を削除するように処理することができ、さらにそのファイルの流入パス自体を遮断するように、前記ファイル流入パスWの情報を有する他のスタブファイルの動作を制限処理する後の処理をすることができる。
S49:監視対象のファイルの終了の段階
該監視対象ファイルの実行が終了すると、実行モジュール116は、原本の実行ファイルが一時保存された一時フォルダFまたは原本の実行ファイルを削除する。
該監視対象ファイルの実行が終了すると、実行モジュール116は、原本の実行ファイルが一時保存された一時フォルダFまたは原本の実行ファイルを削除する。
図8は、本発明による管理方法の第3の実施例を順次示すフローチャートであるところ、これを参照して説明する。
S47a:実行ファイル生成の確認の段階
管理装置10’の変換モジュール112’は、原本の実行ファイルの実行時に新しい監視対象ファイルの生成可否を確認する。前述したように、監視対象ファイルは、インストールファイルのように従来にはない新しい実行ファイルを生成するファイルが含まれるため、変換モジュール112’は、従来にはない新しい実行ファイルの生成を確認してスタブファイル変換の段階S41を行う。
管理装置10’の変換モジュール112’は、原本の実行ファイルの実行時に新しい監視対象ファイルの生成可否を確認する。前述したように、監視対象ファイルは、インストールファイルのように従来にはない新しい実行ファイルを生成するファイルが含まれるため、変換モジュール112’は、従来にはない新しい実行ファイルの生成を確認してスタブファイル変換の段階S41を行う。
もちろん、新しく生成された実行ファイルが存在しないことが確認されると、原本の実行ファイルの実行の監視を続行するか、監視対象ファイルの終了を進行する。
前述した本発明の詳細な説明では、本発明の好ましい実施例を参照して説明したが、当該技術分野の熟練した当業者または当該技術分野で通常の知識を有する者であれば、後述する特許請求の範囲に記載された本発明の思想および技術領域から逸脱しない範囲内で、本発明を多様に修正及び変更させることができることを理解できるだろう。
100、100’:システム
110、110’:管理装置
111:設定モジュール
112,112’:変換モジュール
113:セキュリティモジュール
114:ナビゲーション処理モジュール
115:監視モジュール
116:実行モジュール
120:通信手段
130:保存手段
140:OS
200:スタブファイル
210:スタブ
220:ヘッダ
230:セキュリティローダー
110、110’:管理装置
111:設定モジュール
112,112’:変換モジュール
113:セキュリティモジュール
114:ナビゲーション処理モジュール
115:監視モジュール
116:実行モジュール
120:通信手段
130:保存手段
140:OS
200:スタブファイル
210:スタブ
220:ヘッダ
230:セキュリティローダー
Claims (13)
- システムに受信された流入ファイルを監視対象ファイルに変換する変換モジュールと、
前記監視対象ファイルを実行するための選択を確認し、前記監視対象ファイルに設定された流入ファイルをナビゲーションウィンドウに出力するナビゲーション処理モジュールと、
前記監視対象ファイルを流入ファイルに復号化して、分離環境に設定した分離ドライブから対応するアプリケーションを介して実行されるように処理するセキュリティモジュール、
を含むことを特徴とするシステムを保護するためのファイルセキュリティ用の管理装置。 - 前記システムに受信された前記流入ファイルについて前記監視対象ファイルへの変換可否を決定する設定モジュール、
をさらに含むことを特徴とする請求項1に記載のシステムを保護するためのファイルセキュリティ用の管理装置。 - 前記分離ドライブで復号化された前記流入ファイルの実行による前記システムの動作を監視する監視モジュール、
をさらに含むことを特徴とする請求項1に記載のシステムを保護するためのファイルセキュリティ用の管理装置。 - 前記変換モジュールは、流入ファイルを監視対象ファイルへの変換時、該流入パスがUSBドライブ、CDドライブとDVDドライブのうち、選択された一つ以上の場合、該ドライブを分離ドライブに設定すること、
を特徴とする請求項1に記載のシステムを保護するためのファイルセキュリティ用の管理装置。 - 前記変換モジュールは、流入ファイルをスタブファイル形式の監視対象ファイルに変換する機能が強化され、監視対象のファイルへの変換の種類を選択できるようになり、ルーチンの形式のセキュリティローダーと、原本の実行ファイルが設定されたスタブを備えたスタブファイルの実行時に、前記セキュリティローダによって呼び出され、前記セキュリティローダーによって前記スタブから復元された前記原本の実行ファイルが実行されるように処理する実行モジュールをさらに含み、
前記監視モジュールは、復元された前記原本の実行ファイルの実行による前記システムの動作を監視するようにしたもの、
を特徴とする請求項1に記載のシステムを保護するためのファイルセキュリティ用の管理装置。 - 前記変換モジュールは、指定された流入ファイルである原本の実行ファイルに前記セキュリティローダーを結合または挿入して前記指定された流入ファイルがスタブファイルに変換するように処理する機能をさらに含むこと、
を特徴とする請求項5に記載のシステムを保護するためのファイルセキュリティ用の管理装置。 - 前記変換モジュールは、前記スタブファイルの原本の実行ファイルの実行により生成された新たな原本の実行ファイルを確認すると、前記新たな原本の実行ファイルに前記セキュリティローダーを結合または挿入して前記新たな原本の実行ファイルがスタブファイルに変換するように処理すること、
を特徴とする請求項6に記載のシステムを保護するためのファイルセキュリティ用の管理装置。 - 前記スタブファイルの処理時に、前記セキュリティローダーがまず処理されるように、前記セキュリティローダーとスタブが順次配置されたこと、
を特徴とする請求項6または7に記載のシステムを保護するためのファイルセキュリティ用の管理装置。 - 前記監視モジュールは、復元された前記原本の実行ファイルを実行時に生成または編集されるデータを確認し、許可されていないデータの生成または編集が確認されると、前記原本の実行ファイルの実行を停止させたり、警告ウィンドウを出力すること、
を特徴とする請求項5に記載のシステムを保護するためのファイルセキュリティ用の管理装置。 - 管理装置が監視対象のファイルの実行を確認し、前記監視対象ファイルの流入ファイルリストをナビゲーションウィンドウに出力するナビゲーションウィンドウの出力段階と、
前記管理装置が、前記ナビゲーションウィンドウに出力された監視対象のファイルを前記流入ファイルに復号化して、分離環境に設定した分離ドライブで実行されるように処理する流入ファイルを実行する段階、
を含むことを特徴とするシステムを保護するためのファイルセキュリティ用の管理方法。 - 前記流入ファイルを実行する段階は、実行を終了した前記流入ファイルを監視対象ファイルに変換する段階と、
変換された前記監視対象ファイルをシステムに保存する段階と、
前記分離ドライブに残存する前記流入ファイルを削除する段階、
をさらに含むことを特徴とする請求項10に記載のシステムを保護するためのファイルのセキュリティの管理方法。 - 前記ナビゲーションウィンドウの出力段階の前に、前記管理装置は、前記システムに流入される流入ファイルを確認して、前記流入ファイルを暗号化して監視対象ファイルに変換処理する監視対象ファイルの変換段階、
をさらに含むことを特徴とする請求項10に記載のシステムを保護するためのファイルのセキュリティの管理方法。 - 前記監視対象ファイル変換段階は、前記流入ファイルの流入パスを確認し、前記流入パスがUSBドライブ、CDドライブとDVDドライブのうち、選ばれた一つ以上の場合、該ドライブを分離ドライブに設定する段階、
をさらに含むことを特徴とする請求項12に記載のシステムを保護するためのファイルのセキュリティの管理方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2013-0067267 | 2013-06-12 | ||
| KR1020130067267A KR101429131B1 (ko) | 2013-06-12 | 2013-06-12 | 시스템 보호를 위한 파일 보안용 관리장치와 관리방법 |
| PCT/KR2014/004577 WO2014200201A1 (ko) | 2013-06-12 | 2014-05-22 | 시스템 보호를 위한 파일 보안용 관리장치와 관리방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016522511A true JP2016522511A (ja) | 2016-07-28 |
| JP6256781B2 JP6256781B2 (ja) | 2018-01-10 |
Family
ID=51750188
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016519429A Active JP6256781B2 (ja) | 2013-06-12 | 2014-05-22 | システムを保護するためのファイルセキュリティ用の管理装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9967263B2 (ja) |
| JP (1) | JP6256781B2 (ja) |
| KR (1) | KR101429131B1 (ja) |
| CN (1) | CN105453104B (ja) |
| WO (1) | WO2014200201A1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104766006B (zh) * | 2015-03-18 | 2019-03-12 | 百度在线网络技术(北京)有限公司 | 一种确定危险文件所对应的行为信息的方法和装置 |
| US10803165B2 (en) * | 2015-06-27 | 2020-10-13 | Mcafee, Llc | Detection of shellcode |
| US10402311B2 (en) * | 2017-06-29 | 2019-09-03 | Microsoft Technology Licensing, Llc | Code review rebase diffing |
| KR102013678B1 (ko) * | 2019-03-12 | 2019-08-23 | 주식회사 피앤피시큐어 | 데이터의 실시간 암호화 기능을 갖춘 보안파일시스템과 운영방법 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001521654A (ja) * | 1996-09-12 | 2001-11-06 | ジョン・ジェイ・グローバー | ディジタル情報の自己解読システムおよび方法 |
| JP2004518193A (ja) * | 2001-01-13 | 2004-06-17 | キネティック リミテッド | コンピュータ・システム保護 |
| WO2004075060A1 (ja) * | 2003-02-21 | 2004-09-02 | Tabei, Hikaru | コンピュータウィルス検出装置 |
| US20070214369A1 (en) * | 2005-05-03 | 2007-09-13 | Roberts Rodney B | Removable drive with data encryption |
| JP2013514594A (ja) * | 2009-12-15 | 2013-04-25 | マカフィー, インコーポレイテッド | 挙動サンドボックスのためのシステム及び方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090119553A (ko) * | 2008-05-16 | 2009-11-19 | (주) 산돌티움 | 데이터 파일의 보안 방법 |
| KR20100003406A (ko) * | 2008-07-01 | 2010-01-11 | (주) 산돌티움 | 데이터 파일의 보안을 위한 통신 방법 및 시스템 |
| CN101635622B (zh) * | 2008-07-24 | 2013-06-12 | 阿里巴巴集团控股有限公司 | 一种网页加密和解密的方法、系统及设备 |
| KR100990269B1 (ko) * | 2008-09-11 | 2010-10-26 | 현대중공업 주식회사 | 개인 전산기 네트워크 및 하드디스크 가상 분리를 통한 보안 시스템 및 방법 |
| KR101089792B1 (ko) * | 2009-07-07 | 2011-12-07 | 이병철 | 애플리케이션 가상화를 위한 보안 제공방법 |
| US8388591B2 (en) * | 2009-07-30 | 2013-03-05 | Mcneil-Ppc, Inc. | Individually packaged absorbent article assembly |
| KR101161686B1 (ko) | 2010-06-03 | 2012-07-02 | 예병길 | 보안 기능을 구비한 메모리 장치 및 그 보안 방법 |
| WO2012081059A1 (en) * | 2010-12-17 | 2012-06-21 | Hitachi, Ltd. | Failure recovery method for information processing service and virtual machine image generation apparatus |
| KR101290852B1 (ko) * | 2011-04-12 | 2013-08-23 | (주)누스코 | 가상 머신을 이용한 데이터 유출 방지 장치 및 방법 |
| CN102902915B (zh) * | 2012-09-29 | 2016-06-29 | 北京奇虎科技有限公司 | 对文件行为特征进行检测的系统 |
| CN102902924B (zh) * | 2012-09-29 | 2016-04-13 | 北京奇虎科技有限公司 | 对文件行为特征进行检测的方法及装置 |
-
2013
- 2013-06-12 KR KR1020130067267A patent/KR101429131B1/ko active IP Right Grant
-
2014
- 2014-05-22 WO PCT/KR2014/004577 patent/WO2014200201A1/ko active Application Filing
- 2014-05-22 US US14/897,861 patent/US9967263B2/en active Active
- 2014-05-22 JP JP2016519429A patent/JP6256781B2/ja active Active
- 2014-05-22 CN CN201480033658.0A patent/CN105453104B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001521654A (ja) * | 1996-09-12 | 2001-11-06 | ジョン・ジェイ・グローバー | ディジタル情報の自己解読システムおよび方法 |
| JP2004518193A (ja) * | 2001-01-13 | 2004-06-17 | キネティック リミテッド | コンピュータ・システム保護 |
| WO2004075060A1 (ja) * | 2003-02-21 | 2004-09-02 | Tabei, Hikaru | コンピュータウィルス検出装置 |
| US20070214369A1 (en) * | 2005-05-03 | 2007-09-13 | Roberts Rodney B | Removable drive with data encryption |
| JP2013514594A (ja) * | 2009-12-15 | 2013-04-25 | マカフィー, インコーポレイテッド | 挙動サンドボックスのためのシステム及び方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105453104B (zh) | 2018-10-09 |
| CN105453104A (zh) | 2016-03-30 |
| US9967263B2 (en) | 2018-05-08 |
| US20160112441A1 (en) | 2016-04-21 |
| JP6256781B2 (ja) | 2018-01-10 |
| KR101429131B1 (ko) | 2014-08-11 |
| WO2014200201A1 (ko) | 2014-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10025674B2 (en) | Framework for running untrusted code | |
| JP6484255B2 (ja) | 信頼実行環境を含むホストのアテステーション | |
| RU2365988C2 (ru) | Обеспечение защищенного ввода в систему с высоконадежной средой исполнения программ | |
| JP6055574B2 (ja) | セキュアなオペレーティングシステム環境へのコンテキストベースのスイッチング | |
| JP5387584B2 (ja) | データ依存関係解析装置、情報処理装置、データ依存関係解析方法、及びプログラム | |
| US11601281B2 (en) | Managing user profiles securely in a user environment | |
| CN103617401A (zh) | 一种数据文件保护方法及装置 | |
| JP6256781B2 (ja) | システムを保護するためのファイルセキュリティ用の管理装置 | |
| CN105760787A (zh) | 用于检测随机存取存储器中的恶意代码的系统及方法 | |
| WO2020177430A1 (zh) | 应用加固的方法、装置、计算设备及计算机存储介质 | |
| JP6164508B2 (ja) | データプロセシングシステムのセキュリティ装置とセキュリティ方法 | |
| CN110543775B (zh) | 一种基于超融合理念的数据安全防护方法及系统 | |
| Park et al. | A methodology for the decryption of encrypted smartphone backup data on android platform: A case study on the latest samsung smartphone backup system | |
| CN113946873B (zh) | 离盘文件追溯方法、装置、终端及存储介质 | |
| JP2010097550A (ja) | ウイルス防止プログラム、コンピュータに着脱可能な記憶装置、及びウイルス防止方法 | |
| KR20130079004A (ko) | 스마트폰에서 파일 시스템 가상화를 이용한 모바일 정보 보호 시스템 및 가상 보안 환경 제공 방법 | |
| US20050010752A1 (en) | Method and system for operating system anti-tampering | |
| Salehi et al. | Welcome to Binder: A kernel level attack model for the Binder in Android operating system | |
| Cabiddu et al. | The trusted platform agent | |
| JP2009169868A (ja) | 記憶領域アクセス装置及び記憶領域のアクセス方法 | |
| JP6752347B1 (ja) | 情報処理装置、コンピュータプログラム及び情報処理方法 | |
| JP7304039B2 (ja) | 通信システム | |
| CN113849819B (zh) | 命令行指令的处理方法、装置、计算机设备和存储介质 | |
| KR102618922B1 (ko) | 무기체계 임베디드 시스템의 sw 역공학 방지장치 및 그 방법 | |
| Getreu | Embedded system security with Rust |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161128 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161206 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20170303 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170406 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170501 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171024 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171122 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6256781 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |