KR100645983B1 - Module for detecting an illegal process and method thereof - Google Patents

Module for detecting an illegal process and method thereof Download PDF

Info

Publication number
KR100645983B1
KR100645983B1 KR1020050080505A KR20050080505A KR100645983B1 KR 100645983 B1 KR100645983 B1 KR 100645983B1 KR 1020050080505 A KR1020050080505 A KR 1020050080505A KR 20050080505 A KR20050080505 A KR 20050080505A KR 100645983 B1 KR100645983 B1 KR 100645983B1
Authority
KR
South Korea
Prior art keywords
kernel
process
function
illegal
step
Prior art date
Application number
KR1020050080505A
Other languages
Korean (ko)
Inventor
박현철
이강수
황원일
Original Assignee
(주)와이즈로직
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)와이즈로직 filed Critical (주)와이즈로직
Priority to KR1020050080505A priority Critical patent/KR100645983B1/en
Application granted granted Critical
Publication of KR100645983B1 publication Critical patent/KR100645983B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs

Abstract

A module and a method for detecting illegal processes are provided to detect and block illegal access to a protected application program by monitoring the application program in a kernel level, not a user level. An access detector(110) detects an API(Application Program Interface) function request of the process by linking with a kernel interface of an OS(Operating System). A function blocking processor(120) returns permission information for performing an intrinsic function to a kernel in case that a malicious component is not present by analyzing the detected function request and blocks the function by returning blocking information to the kernel in the case that the malicious component is present. The function blocking processor transmits a processing result to the protected process(10).

Description

불법 프로세스 검출 모듈 및 그 방법{MODULE FOR DETECTING AN ILLEGAL PROCESS AND METHOD THEREOF} Illegal process detection module and a method {MODULE FOR DETECTING AN ILLEGAL PROCESS AND METHOD THEREOF}

도 1 은 컴퓨터 시스템 내에서 이루어지는 본 발명에 따른 불법 프로세스 검출 모듈의 작동 양상을 개략적으로 도시한 블록도. 1 is a block diagram showing the operating pattern schematically illegal process detection module according to the invention takes place within a computer system.

도 2a 및 도 2b 는 본 발명의 바람직한 실시예에 따른 불법 프로세스 검출 방법을 도시한 흐름도. Figures 2a and 2b is a flow chart showing the illegal process detection method according to an embodiment of the present invention.

< 도면의 주요 부분에 대한 부호의 설명 > <Description of the Related Art>

10 : 보호 프로세스 10: Process Protection

20 : 불법 프로세스 20: Illegal process

100 : 불법 프로세스 검출 모듈 100: illegal process detection module

110 : 접근 검출부 110: access detecting

120 : 기능 차단 처리부 120: function processing block

본 발명은 컴퓨터 시스템에서 실행 중인 임의의 프로세스(악의성 프로세스, 불법 프로세스)가 다양한 수단을 통해 특정 프로세스(보호하고자 하는 프로세스)에 접근하려 할 경우, 이를 검출하고 그 접근 시도를 차단할 수 있는 불법 프로세스 검출 모듈 및 그 방법에 관한 것이다. The present invention is any process running on the computer system (malicious process, the illegal process), a particular process via various means when trying to access the (a process that is to be protected), which can detect and block the access is attempted illegal process detection module and to a method.

최근 네트워크와 인터넷 기술의 발달에 부응하여 온라인 게임 산업 역시 빠른 속도로 진보하면서 클라이언트(게임 유저)들에게 다양한 재미를 주고 있지만, 그에 비례하여 부정한 방법 또는 악의적인 방법으로 자신의 이득을 취하거나 불법적인 시도를 통해 정상적인 게임 유저에게 피해를 주는 사례도 함께 증가하고 있어 큰 문제로 대두되고 있다. But recently in response to the development of the network and Internet technology, online games industry, while also it advanced rapidly to give a variety of fun for the clients (gamers), taking their gain to fraudulently or malicious ways proportionally or illegal practices that damage to normal gamers through the attempted're growing together are becoming a big problem. 이러한 현상은 장기적인 관점으로 건전한 게임 문화의 발전을 저해하여 사용자의 의욕을 저하시키고, 종국에는 게임 제공업체의 게임 운영 및 개발 의지를 꺾는 결과로 귀결됨이 자명하다. These symptoms and decrease your motivation to inhibit the development of a healthy game culture in the long term, and eventually it is obvious the search result as a result of the folding operation and development of the game will of the games providers.

보다 구체적으로, 온라인 게임에서 가칭 게임 핵(Game Hack)이라 불리는 해킹 툴(Hacking Tool)로 인해 게임 유저의 정보들, 예들 들어, 경험치와 레벨을 비롯하여 게임 토큰(사이버 머니) 등 게임에 관련된 다양한 속성이 해킹되는 경우가 빈번히 발생하고 있다. More specifically, the online game tentatively game Nuclear hacking tool called (Game Hack) due to (Hacking Tool) The game user information, for instance, as well as the experience and level of game tokens (cyber money) and various attributes related to the Game this is a frequent case is compromised. 이러한 경우 게임 유저 사이에 바람직하지 못한 불균형이 야기된다. In these cases the imbalance is caused undesirable between the user games. 따라서, 이와 같은 폐해를 방지하기 위한 게임 보안 관련 기술의 필요성이 절실히 요구된다. Therefore, there is a need for gaming security technology to prevent such abuses are urgently required. 그 대표적인 기술들을 살펴보면 아래와 같다. Looking at them leading technology as follows:

첫째, 바이러스 엔진(Virus Engine)을 이용하여 유포된 해킹 툴의 패턴을 추가하고 게임 유저의 컴퓨터 시스템에서 실행되는 응용프로그램의 프로세스 (Process)를 검사하여 기 등록된 패턴과 일치하는 응용프로그램을 강제 종료시키는 기술이 있다. First, add the pattern of virus engines (Virus Engine) to the hacking tools spreading using and to examine the applications running on the computer system of game user process (Process) groups kill an application that matches the registered pattern a technique that. 그 대표적인 예가 '파인드 핵'과 안철수연구소에서 개발한 'MFGS(MyFirewall For Game Service'이다. As a typical example, paindeu nuclear 'and' MFGS (MyFirewall For Game Service 'developed by AhnLab.

둘째, 운영체제(OS)가 제공하는 API(Application Programming Interface)의 다양한 후킹(Hooking) 관련 함수를 이용하여 컴퓨터 시스템에서 실행되는 모든 프로세스를 검사하고 중요한 함수들의 기능을 제한하거나 차단시키는 기술이 있다. Second, using a variety of hooks (Hooking) related functions of the operating system (OS) to provide (Application Programming Interface) API, which is a technique of checking all the processes running on the computer system and limit or block the function of critical functions.

여기서 'API 후킹(API Hooking)'이란 커널(Kernel) 기반의 API 함수 호출을 먼저 가로채서 조작하는 일련의 행위를 말한다. Here 'API hooking (API Hooking)' is the kernel (Kernel) based refers to a series of actions before operations to intercept API function calls. 또한 운영체제에서 메시지(Message)가 발생될 경우 메시지 핸들러(Message Handler)를 후킹하는 'MessageHooking'과는 달리 응용프로그램에서 특정 API, 예를 들면 'CreateWindow(...)', 'OpenProcess(...)'등의 API를 호출할 때 API 루틴(API Routine)이 있는 메모리 주소로 이동하지 않고 임의의 주소로 이동시키는 기법이다. In addition, when a message (Message) generated by the operating system message handler (Message Handler), unlike the 'MessageHooking' of hooking, for a particular API, for example, in the application 'CreateWindow (...)', 'OpenProcess (... ) "when you call the API in such a scheme that does not move to the memory address in the API routine (API routine) Go to any address. 운영체제에서 실행파일(*.exe)이나 동적 라이브러리 파일(*.dll)에는 파일 내부에 'import table'이란 구조체를 유지하고 있어서 외부의 어떤 API를 'import'하고 있는지의 정보를 가지고 있다. Running the operating system files (* .exe) file or dynamic library (* .dll), the method maintains the 'import table' means a structure inside the file has information on whether any of the external API 'import'.

여기에는 API 하나당 함수 이름과 주소 정보를 보유하고 있어 해당 API가 호출될 때마다 이 테이블 정보가 참조가 된다. Here is a table that is referenced information whenever appropriate API calls, it has a per API function name and address information. 따라서 후킹하고자 하는 API를 'import table'에서 찾아내서 그곳의 주소 필드를 임의의 함수 주소로 바꿔치기 하는 것이 'API 후킹'기술의 핵심이다. So it 'API hooking "is the core technology of finding the API to hook in the' import table ', which swapped the address field of a place in any of the function address.

그러나 주지된 바와 같이 기본적으로 운영체제는 가상메모리 시스템(Virtual Memory System)을 이용하고 있는 바, 각각의 프로세스는 고유의 독립적인 메모리 주소 영역을 가지고 있어서 타 프로세스의 접근을 허용하지 않는다. However, by default, as is well known operating system, each process bar, taking advantage of the virtual memory system (Virtual Memory System) it does not have in the independent memory address space of its own other allowing access of the process. 따라서 타 프로세스의 'import table'을 조작하기 위해선 필연적으로 타 프로세스의 주소 영역에 접근하는 방법(예컨대, 'DLL injection'기법)이 구현되어야 한다. Therefore, this inevitably another way to access the address space of a process (e.g., 'DLL injection' techniques) be implemented in order to operate the 'import table' of the other process.

이와에 관련한 대표적인 예로서, 국내등록특허 제10-2003-0087149호(발명의 명칭 : '온라인 게임 클라이언트 보안을 위한 실시간 프로세스 불법 접근 및 조작 차단 방법')에 개시되어 있다. As a typical example related to the above, Korean Patent No. 10-2003-0087149 No.: is disclosed in (title of the invention, real-time games, online process, unauthorized access to the client and the security operation blocking ").

그러나, 전자의 종래 기술은, 지속적으로 신규 해킹 툴들의 패턴을 추가해야 하는 단점이 있으며, 더욱이 기존 해킹 툴이 새롭게 컴파일(Compile)되거나 그 실행파일 자체가 압축되면 그 패턴이 변형되기 때문에 검출되지 않게 되는 기술상 치명적인 허점을 내포하고 있다. However, the prior art of the former, when a continuously and would have to remember to add a pattern of new hacking tools, and further the existing hacking tools are newly compiled (Compile) or the executable file itself is compressed, no longer detected, since the pattern is deformed which may pose a serious technical flaws. 그리고, 후자의 종래 기술은, 해킹 툴의 프로세스를 접근할 수 있는 권한을 획득하여 API를 후킹(Hooking)해야 하는데, 그 권한이 차단되면 올바른 기능 구현이 불가능 하다는 문제점이 있다. And, the latter prior art, there is a problem that acquired the right to approach the process of hacking tools in the API must hook (Hooking), if the authority is unable to function properly blocked implementation.

본 발명은, 상기와 같은 종래 기술의 문제점들을 해결하기 위해 창안된 것으로서, 종래와 같이 사용자 모드 레벨(User Mode Level)이 아닌 커널 모드 레벨(Kernel Mode Level)에서 응용프로그램(프로세스)을 모니터링하여, 보호하고자 하는 응용프로그램(프로세스)으로의 불법적인 접근을 검출하고 차단할 수 있는 불법 프로세스 검출 모듈 및 그 방법을 제공함에 그 특징적인 목적이 있다. The present invention, as designed to solve the problems of the prior art, to monitor the user mode level (User Mode Level) is not a kernel-mode level (Kernel Mode Level) from the application (process) as in the prior art, to provide an application program (process) is illegal process detection module that can detect and prevent illegal access to, and the method that is to be protected has a characteristic that purpose.

이러한 특징적인 목적을 달성하기 위한 본 발명의 불법 프로세스 검출 모듈(100)은, 운영체제(OS)의 커널 인터페이스(Kernel Interface)와 연동되어 프로세스에 의한 API 기능 요청을 감지하는 접근 검출부(110); This detection illegal process of the present invention for achieving the object characteristic module 100, access detection unit 110 which is linked with the kernel interface (Kernel Interface) of the operating system (OS) detects the API function requests by the process; 및 접근 검출부(110)로부터 검출된 기능 요청을 분석하여 악의적인 요소가 없다고 판단될 경우 본래의 기능을 수행토록 허용 정보를 커널(Kernel)로 리턴시키며, 악의적인 요소가 있다고 판단될 경우 차단 정보를 상기 커널로 리턴시켜 해당 기능을 차단하는 기능 차단 처리부(120); And a block information if the analysis of the feature request detected by the approach detection unit 110 sikimyeo return the permission information ever performing a primary function, if it is determined that a malicious components in the kernel (Kernel), determines that a malicious element blocker that blocks the function to return to the kernel processor 120; 를 포함한다. It includes.

여기서, 상기 기능 차단 처리부(120)는, 상기 차단 정보를 상기 커널로 리턴시킴과 아울러 그 처리 결과를 보호 프로세스(10)로 전송하는 것이 바람직하다. Here, the function block processing part 120, as well as Sikkim return the cut-off information to the kernel, it is preferable to send the processing result to the protected process (10).

한편, 커널 모드 레벨(Kernel Mode Level)에서 작동하는 불법 프로세스 검출 모듈(100)을 이용한 불법 프로세스 검출 방법은, (a) 상기 불법 프로세스 검출 모듈(100)이 초기화되는 단계; On the other hand, the kernel-mode level (Kernel Mode Level) illegal process detection method using an illegal process detection module 100 is operating in, (a) step in which the illegal process detection module 100 is initialized; (b) API 기능 요청을 수행한 프로세스가 보호 프로세스(10)인지 여부를 판단하는 단계; (B) step of the process performing the request API function determines whether or not the protected process (10); (c) 상기 제 (b) 단계의 판단결과 보호 프로세스(10)가 아니고 상기 기능 요청의 대상이 보호 프로세스(10)인 경우, 차단 정보를 커널로 리턴시켜 요청된 해당 기능을 차단시키는 단계; (C) the step of blocking the first step (b) of the process determined that the protection (10) is not a case of protection process 10, the block information corresponding to the function request to return to the kernel object of the feature request; 및 (d) 상기 제 (b) 단계의 판단결과, 보호 프로세스(10)라면, 허용 정보를 커널로 리턴시켜 요청된 해당 기능을 허용하는 단계; And (d) if the second step (b) of the determination result, the protective process (10), allows for the function request to return the permission information to the kernel; 로 구현된다. It is implemented with.

이때, 상기 제 (a) 단계는, (a-1) 커널 서비스의 초기화 및 보호 프로세스 (10) 사이의 명령어 채널을 설정하는 단계; In this case, the step of setting the command channel between the first step (a), (a-1) of the kernel initialization and service protection process (10); (a-2) 커널에서 제공하는 원본 함수의 주소 및 그 인덱스를 검사하는 단계; (A-2) checking the address, and the index of the original function provided by the kernel; (a-3) 커널 메모리를 할당하여 상기 원본 함수의 주소, 인덱스 및 해당 코드를 저장하는 단계; (A-3) a step to allocate kernel memory stores the address, and the index code of the original function; (a-4) 접근 검출용 함수를 커널 함수와 치환하는 단계; To (a-4) access detection function comprising: substituted with a kernel function; 및 (a-5) 상기 접근 검출용 함수가 대기 상태로 진입하는 하는 단계; And (a-5) step of the function enters the standby state for the access detection; 를 포함한다. It includes.

바람직하게, 상기 제 (a-4) 단계는, 커널 함수 테이블의 주소 일부를 커널 메모리에 로드된 접근 검출용 함수의 주소로 치환하는 방식으로 구현되거나, 또는 커널 함수 자체의 코드를 변조하여 접근 검출용 함수가 실행되도록 하는 방식으로 구현될 수 있다. Preferably, wherein the (a-4) step is implemented by substituting the address part of the kernel function table to the address of the for the access detecting function to load the kernel memory, or, or access is detected by the modulation code of the kernel function itself for may be implemented in such a manner that the function is executed.

본 발명의 특징 및 이점들은 첨부도면에 의거한 다음의 상세한 설명으로 더욱 명백해질 것이다. The features and advantages of the invention will become more apparent from the following detailed description based on the accompanying drawings. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 발명자가 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야 할 것이다. Prior to this, in the present specification and the technical concept of the term or word is the present invention by the inventors is based on the principle that can adequately define terms to describe his own invention in the best method used in the claims It should be interpreted as meaning that comply with the concept. 또한, 본 발명에 관련된 공지 기능 및 그 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는, 그 구체적인 설명을 생략하였음에 유의해야 할 것이다. Also, when the specific description of known functions and configurations of the present invention that are determined to unnecessarily obscure the subject matter of the present invention, it will be noted that a detailed description thereof is omitted hayeoteum.

도 1 은 컴퓨터 시스템 내에서 이루어지는 본 발명에 따른 불법 프로세스 검 출 모듈의 작동 양상을 개략적으로 도시한 블록도이다. 1 is a block diagram schematically illustrating the operation aspect of the illegal process detection module according to the invention takes place within a computer system.

먼저, 사용자가 응용프로그램을 실행시키면 이를 구동시키기 위한 프로세스(Process)가 운영체제(OS)에서 실행된다. First, the user has when running an application process (Process) for driving them to run by the operating system (OS). 주지하다시피 운영체제(OS) 상에는 다수의 프로세스가 실행될 수 있으며, 설명의 편의상 본 발명에서는 보호하고자 하는 프로세스(이하, '보호 프로세스')(10)와 보호 프로세스(10)에 접근을 시도하려는 악의적인 불법 프로세스(20)가 운영체제(OS) 상에서 실행되고 있는 것으로 상정한다. Not be see, the operating system malicious to experiment with access to a process (hereinafter referred to as "protection process") 10 and the protection process (10) to be protected There are a number of processes can be executed, for convenience the invention described On (OS) it is assumed that an illegal process 20 running on the operating system (OS).

보호 프로세스(10)는 상기와 같이 실행되면서 커널 수행부(Kernel Executive)의 커널 인터페이스(Kernel Interface)를 통해 커널 모드 레벨(Kernel Mode Level)에서 작동하는 본 발명의 불법 프로세스 검출 모듈(100)을 설치한다. Protected process (10) is installed a kernel interface (Kernel Interface), a kernel-mode level (Kernel Mode Level) illegal process detection of the present invention operating in the module through 100 of the kernel execution unit (Kernel Executive) while running, such as the do.

여기서, 커널 모드 레벨(Kernel Mode Level)이란 컴퓨터 시스템의 리소스(이하, '시스템 리소스')를 직접 액세스할 수 있는 높은 권한의 레벨을 의미하며, 커널 모드 레벨에서 실행되는 컴포넌트(프로그램 형식의 기능성 모듈)들은 고의 또는 불의의 외부 간섭으로부터 프로세서(CPU) 자체의 설계에 의해 보호된다. Here, the kernel mode level (Kernel Mode Level) is the resource of the computer system (hereinafter "system resources"), meaning the level of higher authority that can be accessed directly, and component (program type of functional module that runs in kernel mode level ) it is protected by the design of the processor (CPU) itself from external interference or untimely high.

반면에 사용자 모드 레벨(User Mode Level)은 리소스에 대해 직접적으로 액세스할 수 없는 상대적으로 낮은 권한의 레벨이며, 이는 운영체제(OS) 상에서 실행되는 응용프로그램에 해당한다. On the other hand, a user-mode level (Level User Mode) is a relatively low level of rights that can not directly access to the resource, which corresponds to the application running on the operating system (OS). 이들 응용프로그램은 운영체제(OS)가 제공하는 API(Application Programming Interface)를 통해 시스템 리소스에 액세스할 수 있는데, 실제적으로는 사용자 모드 레벨에 포함된 Win32 서브시스템(예컨대 'USER32.DLL', 'KERNEL32.DLL', 'GDI32.DLL' 등)과 'NTOSKRNL.EXE' 및 'WIN32K.SYS' 등의 커널 수행부를 통해 액세스가 이루어진다. These applications may have access to the system resources through the operating system (Application Programming Interface) API that provides (OS), in practice, the Win32 subsystem (e.g. 'USER32.DLL', 'KERNEL32 included in the user-mode level. DLL "," GDI32.DLL ', etc.) and "NTOSKRNL.EXE' and 'done the kernel performs access through the such WIN32K.SYS'. 이에 대한 보다 상세한 설명은 주지된 운영체제 구조(Windows™)와 같으므로 생략한다. The more detailed description will be omitted the same as in the known structure the operating system (Windows ™).

한편, 불법 프로세스(20)가 보호 프로세스(10)에 접근하기 위해 API를 호출하거나 키보드 이벤트 또는 마우스 이벤트를 발생시키면, 본 발명의 특징적인 양상에 따라 커널 모드 레벨에 탑재된 불법 프로세스 검출 모듈(100)이 이를 감지하여접근 시도가 악의적인지를 판단하고 요청한 기능을 차단함과 아울러 그 결과를 보호 프로세스(10)로 전송한다. On the other hand, the illegal process 20 is protected process (10) when the API is called to access, or generating a keyboard event, or mouse event, the illegal process detection module with the kernel mode levels in accordance with a characteristic aspect of the present invention (100 ) it must detect this malicious attempt to determine whether the access and transfer, and also as well as the results off the top-requested features to protect the process (10).

이러한 특징적인 기능을 수행하기 위한 불법 프로세스 검출 모듈(100)은, 도 1 에 도시된 바와 같이, 커널 인터페이스(Kernel Interface)와 연동되어 불법 프로세스(20)의 접근 시도를 감지하는 접근 검출부(110);와, 검출부(110)로부터 검출된 접근 시도를 분석하여 악의적인 요소가 없다고 판단될 경우 본래의 기능을 수행토록 하고, 악의적인 요소가 있다고 판단될 경우 그 결과(차단 정보)를 리턴시켜 해당 기능을 차단함과 아울러 접근 시도에 따른 정보를 보호 프로세스(10)로 전송하는 기능 차단 처리부(120);로 구성된다. These characteristic features illegal process detection module for performing (100), as shown in Figure 1, in cooperation with the kernel interface (Kernel Interface) approach detection unit 110 to detect the access attempts of illegal process (20) ; If, and analyzes the access attempt is detected from the detection unit 110, it is determined that there is a case it is determined that a malicious component and ever performing the original function, a malicious component to return the result (block information) corresponding function It consists of; the block must function well with the block processor 120 for transmitting information according to the access attempt to the protected process (10).

참고적으로, 불법 프로세스(20)가 보호 프로세스(10)에 접근하기 위해 이용하는 API로는, 'OpenProcess', 'ReadProcessMemory', 'WriteProcessMemory', 'SendInput', 'SendMessage', 'PostMessage', 'keydb_event', 'mouse_event' 등이 있으며, 이들의 구체적인 기능과 파라미터들에 대해서는 마이크로소프트사(Micosoft Company)가 제공하는 'MSDN'에 상세히 기술되어 있다. For reference, the illegal process (20) may include API used to access the protected process (10), 'OpenProcess', 'ReadProcessMemory', 'WriteProcessMemory', 'SendInput', 'SendMessage', 'PostMessage', 'keydb_event' , and the like, 'mouse_event', is described in detail in 'MSDN' provided by the Microsoft Corporation (Micosoft company) for these specific functions and parameters.

상기한 바와 같은 불법 프로세스 검출 모듈(100)은, 커널 모드 드라이버(Kernel Mode Driver) 형식으로 구현될 수 있다. Illegal process detection module 100, as described above, it may be implemented as a kernel mode driver (Driver Kernel Mode) type. 여기서 드라이버(Driver)란 커널 모드 레벨에서 수행되는 소정의 코드들로 이루어진 프로그램을 의미한다. Wherein the driver (Driver) means a program of the predetermined code is performed by the kernel-mode level. 이러한 드라이버는 기본적으로 응용프로그램(보호 프로세스, 10)과 통상의 루틴들, 예컨대 디스패치, 로드, 언로드, 생성 등을 포함한 커널 서비스(Kernel Services) 및 보호 프로세스(10) 사이의 기본적인 명령어 채널(Instruction Channel)을 제공한다. These drivers are basically application (protection process, 10) and the normal routines, such as dispatch, load, unload, basic commands channel between the kernel services (Kernel Services) and the protection process 10, including generating the like (Instruction Channel ) it offers. 이와 관련한 구현 기술은 당업자 견지에서 용이하게 파악될 수 있으므로 보다 상세한 설명은 생략한다. The associated technology is implemented more detailed description may be readily identify those skilled in the art in light thereof will be omitted.

앞서 살펴보았듯이 악의적인 프로세스(해킹 툴)를 차단하기 위한 종래의 기술은 API를 후킹(Hooking)하여 그 악의적인 요소를 판별하는 방식으로서, 해킹 툴의 프로세스에 접근할 수 있는 권한을 얻어야 한다. Previously seen, the prior art to block a malicious process (hacking tools), at must obtain permission to a scheme for the hook (Hooking), the API determines that a malicious element, provides access to the process of hacking tools. 그러나 보다 진보한 해킹 툴의 경우 외부로부터 자신의 프로세스로의 접근을 차단시킬 수 있고, 그 결과 API 후킹 방식으로는 이러한 진보적인 해킹 툴을 차단할 수 없게 된다. However, than in the case of advanced hacking tools it is possible to block the access to the own process from the outside, so that the API hooking is impossible to block this progressive hacking tools. 그러나 본 발명의 불법 프로세스 검출 모듈(100)은, 커널 모드 레벨에서 작동하면서 커널 인터페이스를 통해 들어오는 접근 시도들을 검출하고 악의적인 요소가 있을 경우 그 해당 기능을 무효화시킬 수 있게 된다. However, it is possible illegal process detection module 100 of the present invention, can detect an incoming access attempt through the kernel interface, while operating in kernel-mode level, and invalidates the corresponding function if a malicious elements.

이하, 도 2a 및 도 2b 를 참조하여 본 발명의 기술적 사상을 보다 명확히 기 술한다. Hereinafter, with reference to Figures 2a and 2b the technical features of the present invention will be more clearly technology. 도 2a 및 도 2b 는 본 발명의 바람직한 실시예에 따른 불법 프로세스 검출 방법을 도시한 흐름도이다. Figures 2a and 2b is a flow chart showing the illegal process detection method according to an embodiment of the present invention.

먼저, 보호 프로세스(10)가 운영체제(OS) 상에서 최초 스레딩(Threading) 및 스케쥴링(Scheduling)에 진입함과 동시에 본 발명의 불법 프로세스 검출 모듈(100)을 초기화한다(S210). First, protected process (10) is initialized, the operating system (OS) first threading (Threading), and scheduling (Scheduling) illegal process detection module 100 of the present invention and at the same time enter the on (S210). 더욱 구체적으로 제 S210 단계는, 도 2b 에 도시된 바와 같이 커널 서비스(Kernel Services)의 초기화와 아울러 보호 프로세스(10) 사이의 명령어 채널(Instruction Channel)을 설정하는 단계(S211)와, 운영체제(OS)의 커널(Kernel)에서 제공하는 원본 함수(Primitive Functions)의 주소(Adress) 및 그 인덱스(Index)를 검사하는 단계(S212)와, 커널 메모리를 할당하여 원본 함수의 주소, 인덱스 및 해당 코드를 저장하는 단계(S213)와, 접근 검출용 함수(접근 검출용 코드)를 커널 함수와 치환하는 단계(S214)와, 검출용 함수가 대기 상태로 진입하는 하는 단계(S215)를 포함한다. And more specifically, the step S210, the command channel between a well protected process (10) and initialization of the kernel services (Kernel Services) as shown in FIG. 2b step (S211) for setting the (Instruction Channel), operating system (OS ) of the kernel (the address (Adress) and that the steps (S212) to check the index (index), allocate kernel memory to the original function, address, index, and the code of the original function (Primitive functions) provided by the kernel) and a step (S215) of entering a step (S213), and access functions (access code for detection) for detecting a kernel function and a step (S214), and a detection function, which substituted for storing a stand-by state.

여기서, 제 S214 단계는 커널 함수 테이블의 주소 일부를 커널 메모리에 로드된 접근 검출용 함수의 주소로 치환하는 방식, 또는 커널 함수 테이블의 주소 변경 없이 커널 함수 자체의 코드를 변조하여 접근 검출용 함수가 실행되도록 하는 방식으로 구현될 수 있다. Here, the S214 step is the approach of substituting the address of the detection function, or a kernel function address change without kernel function by modulating the code access detection function of its own in the table loads the address part of the kernel function table in kernel memory, It may be implemented in such a manner that execution.

전술한 제 S215 단계 이후에 접근 검출부(110)는 커널 이벤트 대기 상태가 되며 응용프로그램(프로세스)이 API를 호출하면 그 호출 정보(요청 정보)가 커널 인터페이스를 통해 자동적으로 수신(Peeping)된다. Since access to the above-described step S215 the detection unit 110 is a kernel event is idle and is automatically received (Peeping) applications (processes) is a call to the API via the call information (request information), and a kernel interface. 참고적으로 접근 검출용 함수는 바람직하게 'CallBack' 형식의 작동 양상(필터 훅 드라이버의 작동 양상과 유사함) 을 취할 수 있으며, 이를 통해 접근 검출부(110)는 프로세스들의 기능 요청 정보를 수신할 수 있게 된다. For reference, the approach detection function may preferably take the 'CallBack' operation pattern (similar to the filter hook driver operation aspect) of the type, this access detector 110 may receive the function request information from the process via it is possible. 한편, 보호 프로세스(10)가 종료될 경우에는 커널 메모리에 저장된 주소, 인덱스 및 해당 코드가 원상태로 복원된다. On the other hand, if the protection process 10 is terminated, and it is restored to an address, index, and the previous state the corresponding code stored in the kernel memory.

상기 제 S210 단계의 실행 이후에, 전술한 바와 같이 기능 요청(API 및 이벤트를 이용한 기능 요청)을 수행한 프로세스가 보호 프로세스(10)인지 여부를 판단하여(S220), 만일 보호 프로세스(10)가 아닐 경우 불법 프로세스(20)에 의한 요청이라 간주하여 상기 기능 요청의 대상(접근 대상)이 보호 프로세스(10)인지 여부를 판단한다(S230). After the execution of the first step S210, is such a feature request (API and the function request using the event) is the process performed to determined whether the protected process (10) (S220), ten thousand and one protected process (10) described above if not it is determined whether or not illegal process (20) is regarded as requested by the target function (access destination) is protected process (10) of the request (S230). 제 S230 단계의 판단결과 상기 기능 요청의 대상이 보호 프로세스(10)라면 차단 정보를 커널(Kernel)로 리턴하여 그 기능이 수행될 수 없도록 차단시키고, 그 처리 결과를 보호 프로세스(10)로 전송한다(S240). Is determined in the step S230, if the protected process (10) subject to the function requested by returning the block information to the kernel (Kernel) and blocked to be its function is performed, and transmits the process result to the protected process (10) (S240).

한편, 상기 제 S220 단계의 판단결과 보호 프로세스(10)에 의한 기능 요청이라면 해당 기능이 수행될 수 있도록 허용 정보를 커널(Kernel)로 리턴시킨다. On the other hand, if the function request by the determination result protected process (10) of the first phase S220 then returns the information to allow the feature to be performed in a kernel (Kernel). 그리고, 제 S230 단계의 판단결과 기능 요청의 대상이 보호 프로세스(10)가 아닐 경우 전술한 바와 같이 해당 기능이 수행될 수 있도록 그 허용 정보를 커널(Kernel)로 리턴시킨다. And, the return If it is not a protected process (10) subjected to the step S230 determined that the requested function of the permission information so that the corresponding function can be performed as described above with the kernel (Kernel).

따라서, 커널 모드 레벨에서 작동하는 불법 프로세스 검출 모듈(100)을 통해 API 기능 요청을 분석하여 그 요청이 보호 프로세스(10)에 대한 악의적인 요소를 포함하고 있을 경우 그 요청된 해당 기능 무효화시킴으로써, 신뢰성 있게 보호 프로세스(10)를 보호할 수 있게 된다. Thus, through the illegal process detection module 100 operating in kernel-mode level by analyzing the API function requested if the request contains a malicious elements for the protection process 10 by the invalidates the request, the capabilities and reliability so it is possible to protect the protected process (10). 물론 이러한 특징적인 기능을 수행하는 본 발명의 불법 프로세스 검출 모듈(100)은 프로그래밍(Programming)을 통해 구현되는 바, 그 구현 방식(로직, Logic)은 다양하게 변형 실시될 수 있음은 자명하다. Of course, this characteristic feature is illegal process detection module 100 of the present invention to do is to be implemented may be practiced bar, its implementation (logic, Logic) are variously modified by programming (Programming) is apparent.

이상으로 본 발명의 기술적 사상을 예시하기 위한 바람직한 실시예와 관련하여 설명하고 도시하였지만, 본 발명은 이와 같이 도시되고 설명된 그대로의 구성 및 작용에만 국한되는 것이 아니며, 기술적 사상의 범주를 일탈함이 없이 본 발명에 대해 다수의 변경 및 수정이 가능함을 당업자들은 잘 이해할 수 있을 것이다. Has been described and illustrated in connection with preferred embodiments to illustrate the technical features of the present invention as described above, the present invention is not limited to the constituent elements of the as shown and described in this manner, departing from the scope of the technical concept without those skilled in the art that various changes and modifications are possible for the present invention will be understood. 따라서, 그러한 모든 적절한 변경 및 수정과 균등물들도 본 발명의 범위에 속하는 것으로 간주되어야 할 것이다. Accordingly, all suitable modifications and equivalents as such will also be considered as falling within the scope of the invention.

상술한 본 발명에 따르면, 종래와는 달리 커널 모드 레벨(Kernel Mode Level)에서 응용프로그램(프로세스)을 모니터링하여, 보호 프로세스(10)로의 악의적인 접근을 검출하고 차단할 수 있는 효과가 있다. According to the invention as described above, but unlike the existing technique by monitoring a kernel-mode level at the application (Kernel Mode Level) (process), there is an effect that it is possible to detect and block malicious access to the protected process (10).

Claims (7)

  1. 컴퓨터 시스템에 탑재되어 불법 프로세스(20)로부터의 악의적인 접근을 차단하기 위한 커널 모드 레벨(Kernel Mode Level)에서 작동하는 보호 프로세스(10)의 불법 프로세스 검출 모듈(100)에 있어서, In the kernel mode level illegal process detection module 100 of the protection process (10) that operate on (Kernel Mode Level) for mounted on the computer system to block the malicious access from the illegal process (20),
    운영체제(OS)의 커널 인터페이스(Kernel Interface)와 연동되어 프로세스에 의한 API 기능 요청을 감지하는 접근 검출부(110); Approach detection unit 110 in cooperation with the operating system kernel interface (Kernel Interface) of (OS) for detecting the API function requests by the process; And
    상기 접근 검출부(110)로부터 검출된 기능 요청을 분석하여 악의적인 요소가 없다고 판단될 경우 본래의 기능을 수행토록 허용 정보를 커널(Kernel)로 리턴시키며, 악의적인 요소가 있다고 판단될 경우 차단 정보를 상기 커널로 리턴시켜 해당 기능을 차단하는 기능 차단 처리부(120); Sikimyeo return the permission information ever perform the original function if the analysis of the feature request detected by the approach detection unit 110, it is determined that a malicious components in the kernel (Kernel), the cut-off information when it is determined that a malicious element blocker that blocks the function to return to the kernel processor 120; 를 포함하여 구성되는 것을 특징으로 하는 불법 프로세스 검출 모듈. Illegal process detection module being configured to include.
  2. 제 1 항에 있어서, According to claim 1,
    상기 기능 차단 처리부(120)는, The function block processing part 120,
    상기 차단 정보를 상기 커널로 리턴시킴과 아울러 그 처리 결과를 보호 프로세스(10)로 전송하는 것을 특징으로 하는 불법 프로세스 검출 모듈. The block information for illegal process detection module, characterized in that for transmitting the return Sikkim as well as the process result to the kernel with a protective process (10).
  3. 커널 모드 레벨(Kernel Mode Level)에서 작동하는 불법 프로세스 검출 모듈(100)을 이용한 불법 프로세스 검출 방법에 있어서, In the method for detecting illegal process with the illegal process detection module 100 operating in kernel-mode level (Kernel Mode Level),
    (a) 상기 불법 프로세스 검출 모듈(100)이 초기화되는 단계; (A) step in which the illegal process detection module 100 is initialized;
    (b) API 기능 요청을 수행한 프로세스가 보호 프로세스(10)인지 여부를 판단하는 단계; (B) step of the process performing the request API function determines whether or not the protected process (10);
    (c) 상기 제 (b) 단계의 판단결과, 보호 프로세스(10)가 아니고 상기 기능 요청의 대상이 보호 프로세스(10)인 경우, 차단 정보를 커널로 리턴시켜 요청된 해당 기능을 차단시키는 단계; (C) the step of determining a result of said step (b), the protective process (10) is not when the target of the function requests the protected process (10), blocking the request, the function to return the block information to the kernel; And
    (d) 상기 제 (b) 단계의 판단결과, 보호 프로세스(10)라면, 허용 정보를 커널로 리턴시켜 요청된 해당 기능을 허용하는 단계; And (d) if the second step (b) of the determination result, the protective process (10), allows for the function request to return the permission information to the kernel; 를 포함하는 것을 특징으로 하는 불법 프로세스 검출 방법. Illegal process detection method characterized in that comprises a.
  4. 제 3 항에 있어서, 4. The method of claim 3,
    상기 제 (a) 단계는, Wherein the step (a),
    (a-1) 커널 서비스의 초기화 및 보호 프로세스(10) 사이의 명령어 채널을 설정하는 단계; (A-1) setting a channel between the command of the kernel initialization and service protection process (10);
    (a-2) 커널에서 제공하는 원본 함수의 주소 및 그 인덱스를 검사하는 단계; (A-2) checking the address, and the index of the original function provided by the kernel;
    (a-3) 커널 메모리를 할당하여 상기 원본 함수의 주소, 인덱스 및 해당 코드 를 저장하는 단계; (A-3) a step to allocate kernel memory stores the address, and the index code of the original function;
    (a-4) 접근 검출용 함수를 커널 함수와 치환하는 단계; To (a-4) access detection function comprising: substituted with a kernel function; And
    (a-5) 상기 접근 검출용 함수가 대기 상태로 진입하는 하는 단계; (A-5) step of the function enters the standby state for the access detection; 를 포함하는 것을 특징으로 하는 불법 프로세스 검출 방법. Illegal process detection method characterized in that comprises a.
  5. 제 3 항에 있어서, 4. The method of claim 3,
    상기 제 (c) 단계 이후에, After the second step (c),
    상기 차단 정보가 커널로 리턴된 후 그 처리 결과를 보호 프로세스(10)로 전송하는 단계; After the block information is returned to the kernel and sending the processing result to the protected process (10); 를 더 포함하는 것을 특징으로 하는 불법 프로세스 검출 방법. The illegal process detection method according to claim 1, further comprising.
  6. 제 4 항에 있어서, 5. The method of claim 4,
    상기 제 (a-4) 단계는, Wherein the (a-4) comprises:
    커널 함수 테이블의 주소 일부를 커널 메모리에 로드된 접근 검출용 함수의 주소로 치환하는 것을 특징으로 하는 불법 프로세스 검출 방법. Illegal process detection method that replacing a part of the kernel address to the address of the function table for the access detecting function to load the kernel memory as claimed.
  7. 제 4 항에 있어서, 5. The method of claim 4,
    상기 제 (a-4) 단계는, Wherein the (a-4) comprises:
    커널 함수 자체의 코드를 변조하여 접근 검출용 함수가 실행되도록 하는 것을 특징으로 하는 불법 프로세스 검출 방법. Illegal process detection method modulates the code of the kernel function itself, characterized in that to ensure that the approach detecting function for execution.
KR1020050080505A 2005-08-31 2005-08-31 Module for detecting an illegal process and method thereof KR100645983B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050080505A KR100645983B1 (en) 2005-08-31 2005-08-31 Module for detecting an illegal process and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050080505A KR100645983B1 (en) 2005-08-31 2005-08-31 Module for detecting an illegal process and method thereof

Publications (1)

Publication Number Publication Date
KR100645983B1 true KR100645983B1 (en) 2006-11-07

Family

ID=37654621

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050080505A KR100645983B1 (en) 2005-08-31 2005-08-31 Module for detecting an illegal process and method thereof

Country Status (1)

Country Link
KR (1) KR100645983B1 (en)

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009035902A2 (en) * 2007-09-10 2009-03-19 Wisconsin Alumni Research Foundation Malware prevention system monitoring kernel events
WO2009132148A3 (en) * 2008-04-22 2010-03-18 The 41St Parameter, Inc. Systems and methods for security management based on cursor events
KR100968268B1 (en) * 2007-11-20 2010-07-06 주식회사 안철수연구소 Method for detecting automatically generated input
KR100979092B1 (en) 2008-04-30 2010-08-31 주식회사 잉카인터넷 method of judging whether an image-enhanced gamehack is used, and intercepting an image-enhanced gamehack
KR101033191B1 (en) 2010-02-19 2011-05-11 고려대학교 산학협력단 Buffer overflow malicious code detection by tracing executable memory
WO2011149150A1 (en) * 2010-05-25 2011-12-01 (주)잉카인터넷 Method for indicating information regarding whether a hack tool has been used in an on-line game
WO2012020948A2 (en) * 2010-08-10 2012-02-16 (주)잉카인터넷 Method for detecting and blocking a game-hack process
KR101155123B1 (en) 2010-10-26 2012-06-11 한국과학기술원 Apparatus and method for protecting memory of application from failure of kernel code
KR101153440B1 (en) 2011-01-24 2012-07-09 주식회사 잉카인터넷 Method for realtime displaying hack tool usage state in online game
KR101201495B1 (en) 2010-08-10 2012-11-14 주식회사 잉카인터넷 method for blocking auto-input in computer system
WO2012176978A2 (en) * 2011-06-23 2012-12-27 (주)잉카인터넷 Network access control system and method
KR101252188B1 (en) 2011-05-31 2013-04-05 주식회사 잉카인터넷 control method of accessing virtual memory data
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
US9633201B1 (en) 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US9703983B2 (en) 2005-12-16 2017-07-11 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US9754256B2 (en) 2010-10-19 2017-09-05 The 41St Parameter, Inc. Variable risk engine
US9754311B2 (en) 2006-03-31 2017-09-05 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
US9948629B2 (en) 2009-03-25 2018-04-17 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
US9990631B2 (en) 2012-11-14 2018-06-05 The 41St Parameter, Inc. Systems and methods of global identification
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups
US10341344B2 (en) 2018-06-22 2019-07-02 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification

Cited By (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9703983B2 (en) 2005-12-16 2017-07-11 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US10089679B2 (en) 2006-03-31 2018-10-02 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
US9754311B2 (en) 2006-03-31 2017-09-05 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
WO2009035902A2 (en) * 2007-09-10 2009-03-19 Wisconsin Alumni Research Foundation Malware prevention system monitoring kernel events
US8065728B2 (en) 2007-09-10 2011-11-22 Wisconsin Alumni Research Foundation Malware prevention system monitoring kernel events
WO2009035902A3 (en) * 2007-09-10 2009-05-14 Wang Hao Malware prevention system monitoring kernel events
KR100968268B1 (en) * 2007-11-20 2010-07-06 주식회사 안철수연구소 Method for detecting automatically generated input
WO2009132148A3 (en) * 2008-04-22 2010-03-18 The 41St Parameter, Inc. Systems and methods for security management based on cursor events
US9396331B2 (en) 2008-04-22 2016-07-19 The 41St Parameter, Inc. Systems and methods for security management based on cursor events
KR100979092B1 (en) 2008-04-30 2010-08-31 주식회사 잉카인터넷 method of judging whether an image-enhanced gamehack is used, and intercepting an image-enhanced gamehack
US9948629B2 (en) 2009-03-25 2018-04-17 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
KR101033191B1 (en) 2010-02-19 2011-05-11 고려대학교 산학협력단 Buffer overflow malicious code detection by tracing executable memory
WO2011149150A1 (en) * 2010-05-25 2011-12-01 (주)잉카인터넷 Method for indicating information regarding whether a hack tool has been used in an on-line game
WO2012020948A3 (en) * 2010-08-10 2012-04-19 (주)잉카인터넷 Method for detecting and blocking a game-hack process
KR101201495B1 (en) 2010-08-10 2012-11-14 주식회사 잉카인터넷 method for blocking auto-input in computer system
WO2012020948A2 (en) * 2010-08-10 2012-02-16 (주)잉카인터넷 Method for detecting and blocking a game-hack process
US9754256B2 (en) 2010-10-19 2017-09-05 The 41St Parameter, Inc. Variable risk engine
KR101155123B1 (en) 2010-10-26 2012-06-11 한국과학기술원 Apparatus and method for protecting memory of application from failure of kernel code
KR101153440B1 (en) 2011-01-24 2012-07-09 주식회사 잉카인터넷 Method for realtime displaying hack tool usage state in online game
KR101252188B1 (en) 2011-05-31 2013-04-05 주식회사 잉카인터넷 control method of accessing virtual memory data
US9246937B2 (en) 2011-06-23 2016-01-26 Inca Internet Co., Ltd. Network access control system and method
WO2012176978A2 (en) * 2011-06-23 2012-12-27 (주)잉카인터넷 Network access control system and method
WO2012176978A3 (en) * 2011-06-23 2013-02-14 (주)잉카인터넷 Network access control system and method
US9633201B1 (en) 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US10021099B2 (en) 2012-03-22 2018-07-10 The 41st Paramter, Inc. Methods and systems for persistent cross-application mobile device identification
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
US9990631B2 (en) 2012-11-14 2018-06-05 The 41St Parameter, Inc. Systems and methods of global identification
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups
US10341344B2 (en) 2018-06-22 2019-07-02 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification

Similar Documents

Publication Publication Date Title
Kiriansky et al. Secure Execution via Program Shepherding.
Hund et al. Return-oriented rootkits: Bypassing kernel code integrity protection mechanisms
Pappas et al. Transparent {ROP} Exploit Mitigation Using Indirect Branch Tracing
Dinaburg et al. Ether: malware analysis via hardware virtualization extensions
US5974549A (en) Security monitor
KR100373526B1 (en) Protecting resources in a distributed computer system
KR100968003B1 (en) Mechanism for evaluating security risks
US6550060B1 (en) Method and system for dynamic injection of dynamic link libraries into a windowed operating system
US7272832B2 (en) Method of protecting user process data in a secure platform inaccessible to the operating system and other tasks on top of the secure platform
JP5000573B2 (en) Protected function call
US6832302B1 (en) Methods and apparatus for detecting heap smashing
US20080127292A1 (en) Restriction of program process capabilities
RU2462747C2 (en) Protection of operating system resources
US9280644B2 (en) Methods for restricting resources used by a program based on entitlements
US7984304B1 (en) Dynamic verification of validity of executable code
KR101143154B1 (en) A method and system for enforcing a security policy via a security virtual machine
CN102799817B (en) Systems and methods for using virtualization technology for malware protection
EP0667572A1 (en) Method and system for software asset management
US8458673B2 (en) Computer-implemented method and system for binding digital rights management executable code to a software application
Payne et al. Lares: An architecture for secure active monitoring using virtualization
US20030014667A1 (en) Buffer overflow attack detection and suppression
US20050081053A1 (en) Systems and methods for efficient computer virus detection
JP4629332B2 (en) State the reference monitor
US7581089B1 (en) Method of protecting a computer stack
JP5055380B2 (en) Protection agent and privileged mode

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120827

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130826

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20141107

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20151026

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20161107

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20171106

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20181105

Year of fee payment: 13