KR100620313B1 - 마이크로소프트 실행파일의 구조적 특성을 이용한 악성프로그램 검출 시스템 및 방법 - Google Patents
마이크로소프트 실행파일의 구조적 특성을 이용한 악성프로그램 검출 시스템 및 방법 Download PDFInfo
- Publication number
- KR100620313B1 KR100620313B1 KR1020050051271A KR20050051271A KR100620313B1 KR 100620313 B1 KR100620313 B1 KR 100620313B1 KR 1020050051271 A KR1020050051271 A KR 1020050051271A KR 20050051271 A KR20050051271 A KR 20050051271A KR 100620313 B1 KR100620313 B1 KR 100620313B1
- Authority
- KR
- South Korea
- Prior art keywords
- section
- file
- header
- malicious
- malicious program
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
Abstract
Description
Claims (2)
- 악성 프로그램 검출 시스템에 있어서,대상 파일의 악성 프로그램 헤더 부분을 읽어 처음 2바이트가 'MZ'로 되어있는 실행파일인지 여부를 확인하고, 상기 파일이 실행파일일 경우 16진수 3c만큼 떨어진 곳의 4바이트 값을 읽어 들여 PE 헤더 부분이 위치하는 오프셋(offset), 섹션의 개수 및 섹션 헤더의 오프셋 정보를 수집하고, 분석하는 구조분석기모듈과;40바이트 크기로 섹션의 개수만큼 반복해서 나타나는 섹션 헤더를 분석하여 각각의 섹션 헤더로부터 섹션의 이름, 섹션 데이터의 크기, 섹션 데이터의 오프셋정보 및 각 섹션 데이터에서 임의위치, 임의길이의 데이터를 수집하고, 상기 수집된 정보로부터 비교에 필요한 핵심 정보를 추출하여 상기 대상 파일의 특성값을 정의하고, 레코드를 형성하는 섹션분석기모듈과;상기 섹션분석기모듈에서 정의한 대상 파일의 특성값을 악성 프로그램 데이터베이스에 수록된 특성값과 비교하여 상기 대상 파일이 악성 프로그램인지 여부를 검사하는 바이러스비교모듈을 포함함을 특징으로 하는 마이크로소프트 실행파일의 구조적 특성을 이용한 악성 프로그램 검출 시스템.
- 악성 프로그램의 검출 방법에 있어서,구조분석기모듈에서 대상 파일의 프로그램 헤더 부분의 첫 2바이트를 읽는 단계와,상기 대상 파일이 첫 2바이트가 'MZ'로 되어있는지 여부를 확인하여 대상 파일이 실행파일 인지 여부를 확인하는 단계와,상기 대상 파일이 실행파일이 아닐 경우에는 악성 프로그램 검사를 종료하고, 실행파일일 경우에는 16진수 3c 만큼 떨어진 곳의 4바이트 값을 읽어 PE 헤더의 오프셋(offset) 정보를 수집하는 단계와,상기 섹션의 개수 정보를 수집하는 단계와,상기 섹션 헤더의 오프셋 정보를 수집하는 단계와,섹션분석기모듈에서 40바이트 크기로 섹션의 개수만큼 반복해서 나타나는 섹션 헤더를 분석하여 각각의 섹션 헤더로부터 각 섹션의 이름 정보를 수집하는 단계와,상기 각 섹션 데이터의 크기 정보를 수집하는 단계와,상기 각 섹션 데이터의 오프셋 정보를 수집하는 단계와,상기 각 섹션 데이터에서 임의의 위치, 임의길이의 데이터를 수집하는 단계와,상기 수집된 정보로부터 비교에 필요한 핵심 정보를 추출하여 상기 대상 파일의 특성값을 정의하고, 레코드를 형성하는 단계와,바이러스비교모듈에서 상기 섹션분석기모듈에서 정의한 대상 파일의 특성값과 악성 프로그램 데이터베이스에 수록된 특성값을 비교하는 단계와,상기 대상 파일의 특성값과 악성 프로그램 데이터베이스에 수록된 특성값의 일치 여부를 확인하는 단계와,상기 대상 파일의 특성값과 악성 프로그램 데이터베이스에 수록된 특성값이 일치할 경우에는 상기 대상 파일이 악성 프로그램임을 검출하고 악성 프로그램 검사를 종료하고, 일치하지 않을 경우에는 상기 악성 프로그램 데이터베이스에 수록된 특성값이 악성 프로그램 데이터베이스의 마지막 데이터인지 여부를 확인하는 단계와,상기 악성 프로그램 데이터베이스에 수록된 특성값이 악성 프로그램 데이터베이스의 마지막 데이터일 경우에는 상기 대상 파일을 안전한 파일로 확인하고 악성 프로그램 검사를 종료하고, 마지막 데이터가 아닐 경우에는 악성 프로그램 데이터베이스의 다음 항목으로 이동하여 상기 섹션분석기모듈에서 정의한 대상 파일의 특성값과 악성 프로그램 데이터베이스에 수록된 특성값을 비교하는 단계로 되돌아가 상기 악성 프로그램 데이터베이스의 다음 항목 특성값과 상기 대상 파일의 특성값을 비교하는 단계를 포함함을 특징으로 하는 마이크로소프트 실행파일의 구조적 특성을 이용한 악성 프로그램 검출 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050051271A KR100620313B1 (ko) | 2005-06-15 | 2005-06-15 | 마이크로소프트 실행파일의 구조적 특성을 이용한 악성프로그램 검출 시스템 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050051271A KR100620313B1 (ko) | 2005-06-15 | 2005-06-15 | 마이크로소프트 실행파일의 구조적 특성을 이용한 악성프로그램 검출 시스템 및 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100620313B1 true KR100620313B1 (ko) | 2006-09-06 |
Family
ID=37625784
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020050051271A KR100620313B1 (ko) | 2005-06-15 | 2005-06-15 | 마이크로소프트 실행파일의 구조적 특성을 이용한 악성프로그램 검출 시스템 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100620313B1 (ko) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100942798B1 (ko) * | 2007-11-29 | 2010-02-18 | 한국전자통신연구원 | 악성코드 탐지장치 및 방법 |
KR100942795B1 (ko) * | 2007-11-21 | 2010-02-18 | 한국전자통신연구원 | 악성프로그램 탐지장치 및 그 방법 |
KR100954357B1 (ko) * | 2008-06-13 | 2010-04-26 | 주식회사 안철수연구소 | Pe 파일 진단 시스템 및 그 방법 그리고 이에 적용되는모듈 |
KR100968120B1 (ko) | 2008-03-10 | 2010-07-06 | 주식회사 안철수연구소 | 코드 변형 감지 시스템 및 그 방법 |
KR100968267B1 (ko) * | 2008-06-13 | 2010-07-06 | 주식회사 안철수연구소 | 컴파일러 구분에 의한 악성코드 진단장치 및 방법 |
KR101029112B1 (ko) | 2008-12-15 | 2011-04-13 | 한국전자통신연구원 | Pe 파일의 실행압축 여부 판단방법 및 그 판단 프로그램이 기록된 기록매체 |
US8065729B2 (en) | 2006-12-01 | 2011-11-22 | Electronics And Telecommunications Research Institute | Method and apparatus for generating network attack signature |
KR101110308B1 (ko) * | 2008-12-22 | 2012-02-15 | 한국전자통신연구원 | 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법 |
KR101365084B1 (ko) | 2013-03-29 | 2014-03-12 | 모젼스랩(주) | 소프트웨어의 불법 복제 방지 및 침해 예방을 위한 실행파일 식별 방법 |
KR101404108B1 (ko) | 2008-12-10 | 2014-06-10 | 한국전자통신연구원 | 윈도우 실행파일 추출방법, 및 장치 |
KR20150136919A (ko) * | 2014-05-28 | 2015-12-08 | 주식회사 안랩 | 악성파일진단장치 및 악성파일진단장치의 진단 방법 |
KR101745873B1 (ko) | 2015-12-18 | 2017-06-27 | 고려대학교 산학협력단 | 악성 문서 파일 식별 시스템 및 방법 |
CN109002710A (zh) * | 2017-06-07 | 2018-12-14 | 中国移动通信有限公司研究院 | 一种检测方法、装置及计算机可读存储介质 |
CN114363060A (zh) * | 2021-12-31 | 2022-04-15 | 深信服科技股份有限公司 | 一种域名检测方法、系统、设备及计算机可读存储介质 |
-
2005
- 2005-06-15 KR KR1020050051271A patent/KR100620313B1/ko not_active IP Right Cessation
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8065729B2 (en) | 2006-12-01 | 2011-11-22 | Electronics And Telecommunications Research Institute | Method and apparatus for generating network attack signature |
KR100942795B1 (ko) * | 2007-11-21 | 2010-02-18 | 한국전자통신연구원 | 악성프로그램 탐지장치 및 그 방법 |
KR100942798B1 (ko) * | 2007-11-29 | 2010-02-18 | 한국전자통신연구원 | 악성코드 탐지장치 및 방법 |
KR100968120B1 (ko) | 2008-03-10 | 2010-07-06 | 주식회사 안철수연구소 | 코드 변형 감지 시스템 및 그 방법 |
KR100954357B1 (ko) * | 2008-06-13 | 2010-04-26 | 주식회사 안철수연구소 | Pe 파일 진단 시스템 및 그 방법 그리고 이에 적용되는모듈 |
KR100968267B1 (ko) * | 2008-06-13 | 2010-07-06 | 주식회사 안철수연구소 | 컴파일러 구분에 의한 악성코드 진단장치 및 방법 |
KR101404108B1 (ko) | 2008-12-10 | 2014-06-10 | 한국전자통신연구원 | 윈도우 실행파일 추출방법, 및 장치 |
KR101029112B1 (ko) | 2008-12-15 | 2011-04-13 | 한국전자통신연구원 | Pe 파일의 실행압축 여부 판단방법 및 그 판단 프로그램이 기록된 기록매체 |
KR101110308B1 (ko) * | 2008-12-22 | 2012-02-15 | 한국전자통신연구원 | 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법 |
KR101365084B1 (ko) | 2013-03-29 | 2014-03-12 | 모젼스랩(주) | 소프트웨어의 불법 복제 방지 및 침해 예방을 위한 실행파일 식별 방법 |
KR20150136919A (ko) * | 2014-05-28 | 2015-12-08 | 주식회사 안랩 | 악성파일진단장치 및 악성파일진단장치의 진단 방법 |
KR101645412B1 (ko) | 2014-05-28 | 2016-08-04 | 주식회사 안랩 | 악성파일진단장치 및 악성파일진단장치의 진단 방법 |
KR101745873B1 (ko) | 2015-12-18 | 2017-06-27 | 고려대학교 산학협력단 | 악성 문서 파일 식별 시스템 및 방법 |
CN109002710A (zh) * | 2017-06-07 | 2018-12-14 | 中国移动通信有限公司研究院 | 一种检测方法、装置及计算机可读存储介质 |
CN109002710B (zh) * | 2017-06-07 | 2021-06-22 | 中国移动通信有限公司研究院 | 一种检测方法、装置及计算机可读存储介质 |
CN114363060A (zh) * | 2021-12-31 | 2022-04-15 | 深信服科技股份有限公司 | 一种域名检测方法、系统、设备及计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100620313B1 (ko) | 마이크로소프트 실행파일의 구조적 특성을 이용한 악성프로그램 검출 시스템 및 방법 | |
Scaife et al. | Cryptolock (and drop it): stopping ransomware attacks on user data | |
Carmony et al. | Extract Me If You Can: Abusing PDF Parsers in Malware Detectors. | |
Yin et al. | Panorama: capturing system-wide information flow for malware detection and analysis | |
US8375450B1 (en) | Zero day malware scanner | |
JP5557623B2 (ja) | 感染検査システム及び感染検査方法及び記録媒体及びプログラム | |
JP5069308B2 (ja) | 不適切なコードおよびデータの拡散防止における改善 | |
US20070152854A1 (en) | Forgery detection using entropy modeling | |
US20090133125A1 (en) | Method and apparatus for malware detection | |
CN108399338B (zh) | 基于进程行为的平台完整性状态信息度量方法 | |
US20120174227A1 (en) | System and Method for Detecting Unknown Malware | |
US20080083034A1 (en) | Attack classification method for computer network security | |
US9239922B1 (en) | Document exploit detection using baseline comparison | |
JP4732484B2 (ja) | 仮想環境を利用した非実行ファイル内のエクスプロイトコード分析方法及び装置 | |
JP2012501028A (ja) | コード解析の発見的方法 | |
RU2739830C1 (ru) | Система и способ выбора средства обнаружения вредоносных файлов | |
JP6711000B2 (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
JP2010182019A (ja) | 異常検知装置およびプログラム | |
WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
JP4773332B2 (ja) | セキュリティ管理装置及びセキュリティ管理方法及びプログラム | |
WO2018070404A1 (ja) | マルウェア解析装置、マルウェア解析方法、及び、マルウェア解析プログラムが格納された記録媒体 | |
Namanya et al. | Evaluation of automated static analysis tools for malware detection in Portable Executable files | |
US8938807B1 (en) | Malware removal without virus pattern | |
KR20130074224A (ko) | 악성코드의 행동 패턴 수집장치 및 방법 | |
KR101322037B1 (ko) | N-그램 모델에 기반한 인덱스를 생성하여 효율적인 고속 매칭 메커니즘을 제공하는 침입 탐지 시스템의 동작 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20120827 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20130829 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20140829 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20151026 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20160826 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20170828 Year of fee payment: 12 |
|
LAPS | Lapse due to unpaid annual fee |