KR100833958B1 - 악성 프로그램을 탐지하는 프로그램이 저장된 기록 매체 및악성 프로그램 탐지 방법 - Google Patents
악성 프로그램을 탐지하는 프로그램이 저장된 기록 매체 및악성 프로그램 탐지 방법 Download PDFInfo
- Publication number
- KR100833958B1 KR100833958B1 KR1020060073334A KR20060073334A KR100833958B1 KR 100833958 B1 KR100833958 B1 KR 100833958B1 KR 1020060073334 A KR1020060073334 A KR 1020060073334A KR 20060073334 A KR20060073334 A KR 20060073334A KR 100833958 B1 KR100833958 B1 KR 100833958B1
- Authority
- KR
- South Korea
- Prior art keywords
- function
- trap
- installing
- density
- event
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Abstract
Description
Claims (20)
- 삭제
- 알려지지 않은 프로세스가 사용하는 함수에 트랩을 설치하는 기능;임의의 시간 구간을 선택하여 통상 구간과 가상 이벤트 구간을 결정하는 기능;상기 가상 이벤트 구간에서 하나 이상의 가상 이벤트를 발생시키는 기능;상기 통상 구간에서 상기 트랩이 실행되는 밀도인 제1 밀도를 계산하는 기능;상기 가상 이벤트 구간에서 상기 트랩이 실행되는 밀도인 제2 밀도를 계산하는 기능;상기 제1 밀도 및 상기 제2 밀도를 통해 상기 알려지지 않은 프로세스가 악성 프로그램인가를 판단하는 기능을 컴퓨터에 실현하고,상기 악성 프로그램인가를 판단하는 기능은상기 제2 밀도가 상기 제1 밀도와 임계값의 합보다 큰 경우에 상기 알려지지 않은 프로세스를 악성 프로그램으로 판단하는 기능을 포함하는 프로그램이 저장된 기록 매체.
- 제2항에 있어서,상기 제1 밀도를 계산하는 기능은 상기 트랩이 상기 통상 구간에서 실행되는 횟수를 상기 통상 구간의 길이로 나누어 상기 제1 밀도를 계산하는 기능을 포함하고,상기 제2 밀도를 계산하는 기능은 상기 트랩이 상기 가상 이벤트 구간에서 실행되는 횟수를 상기 가상 이벤트 구간의 길이로 나누어 상기 제2 밀도를 계산하는 기능을 포함하는 프로그램이 저장된 기록 매체.
- 제3항에 있어서,상기 트랩을 설치하는 기능은 상기 트랩을 함수 후킹 방법을 통해 상기 트랩을 설치하는 기능을 포함하는 프로그램이 저장된 기록 매체.
- 제2항 내지 제4항 중 어느 한 항에 있어서,상기 트랩을 설치하는 기능은 메시지 후킹 함수, API 후킹 함수, 파일 기록 함수, 레지스트리 기록 함수에 상기 트랩을 설치하는 기능을 포함하고,상기 악성 프로그램은 키로거이고,상기 가상 이벤트는 키스트로크 이벤트인 프로그램이 저장된 기록 매체.
- 제2항 내지 제4항 중 어느 한 항에 있어서,상기 트랩을 설치하는 기능은 웹페이지 연결 함수에 상기 트랩을 설치하는 기능을 포함하고,상기 악성 프로그램은 사용자의 요청 웹페이지 주소를 변경하는 웹 리다이렉터이고,상기 가상 이벤트는 웹페이지 요청 이벤트인 프로그램이 저장된 기록 매체.
- 제2항 내지 제4항 중 어느 한 항에 있어서,상기 트랩을 설치하는 기능은 패킷 전송 함수에 상기 트랩을 설치하는 기능을 포함하고,상기 악성 프로그램은 사용자의 패킷을 가로채는 패킷 스니퍼이고,상기 가상 이벤트는 패킷 생성 이벤트인 프로그램이 저장된 기록 매체.
- 제2항 내지 제4항 중 어느 한 항에 있어서,상기 트랩을 설치하는 기능은 에디트 콘트롤 함수에 상기 트랩을 설치하는 기능을 포함하고,상기 악성 프로그램은 사용자의 패스워드를 탈취하는 패스워드 스틸러이고,상기 가상 이벤트는 로그인 이벤트인 프로그램이 저장된 기록 매체.
- 제2항 내지 제4항 중 어느 한 항에 있어서,상기 트랩을 설치하는 기능은 팝업창 생성 함수에 상기 트랩을 설치하는 기능을 포함하고,상기 악성 프로그램은 일정 시간마다 팝엉창을 생성하는 팝업 광고 스파이웨어이고,상기 가상 이벤트는 타이머 이벤트인 프로그램이 저장된 기록 매체.
- 제2항 내지 제4항 중 어느 한 항에 있어서,상기 트랩을 설치하는 기능은 레지스트리 기록 함수에 상기 트랩을 설치하는 기능을 포함하고,상기 악성 프로그램은 사용자의 시작 페이지 변경을 막는 시작 페이지 스파이웨어이고,상기 가상 이벤트는 시작 페이지 변경 이벤트인 프로그램이 저장된 기록 매체.
- 제2항 내지 제4항 중 어느 한 항에 있어서,상기 트랩을 설치하는 기능은 모뎀 제어 함수에 상기 트랩을 설치하는 기능을 포함하고,상기 악성 프로그램은 사용 요금이 부과되는 전화 번호에 전화를 거는 다이얼러이고,상기 가상 이벤트는 모뎀 상태 변화 이벤트인 프로그램이 저장된 기록 매체.
- 제2항 내지 제4항 중 어느 한 항에 있어서,상기 트랩을 설치하는 기능은 에디트 콘트롤 함수, URL 콘트롤 함수, 및 웹사이트 연결 함수에 상기 트랩을 설치하는 기능을 포함하고,상기 악성 프로그램은 사용자의 웹활동 정보를 수집하는 컬렉터이고,상기 가상 이벤트는 웹사이트 연결 이벤트인 프로그램이 저장된 기록 매체.
- 제2항 내지 제4항 중 어느 한 항에 있어서,상기 트랩을 설치하는 기능은 파일 기록 함수에 상기 트랩을 설치하는 기능을 포함하고,상기 악성 프로그램은 웹페이지에 임의의 링크를 생성하는 링크 크리에이터이고,상기 가상 이벤트는 히스토리 데이터베이스에서의 웹사이트 연결 이벤트인 프로그램이 저장된 기록 매체.
- 제2항 내지 제4항 중 어느 한 항에 있어서,상기 트랩을 설치하는 기능은 레지스트리 수정 함수에 상기 트랩을 설치하는 기능을 포함하고,상기 악성 프로그램은 툴바 중지를 방지하는 툴바 스파이웨어이고,상기 가상 이벤트는 톨바 중지 이벤트인 프로그램이 저장된 기록 매체.
- 제2항 내지 제4항 중 어느 한 항에 있어서,상기 트랩을 설치하는 기능은 레지스트리 수정 함수에 상기 트랩을 설치하는 기능을 포함하고,상기 악성 프로그램은 BHO 중지를 방지하는 BHO 스파이웨어이고,상기 가상 이벤트는 BHO 중지 이벤트인 프로그램이 저장된 기록 매체.
- 제2항 내지 제4항 중 어느 한 항에 있어서,상기 트랩을 설치하는 기능은 레지스트리 함수에 상기 트랩을 설치하는 기능을 포함하고,상기 악성 프로그램은 사용자 설정값을 변경하거나 사용자 설정값이 사용자에 의해 변경되는 것을 막는 사용자 설정 스파이웨어이고,상기 가상 이벤트는 타이머 이벤트인 프로그램이 저장된 기록 매체.
- 제2항 내지 제4항 중 어느 한 항에 있어서,상기 트랩을 설치하는 기능은 레지스트리 함수에 상기 트랩을 설치하는 기능을 포함하고,상기 악성 프로그램은 시작 프로그램 리스트에서 소정의 시작 프로그램이 삭제되는 것을 막는 시작 프로그램 스파이웨어이고,상기 가상 이벤트는 시작 프로그램 삭제 이벤트인 프로그램이 저장된 기록 매체.
- 삭제
- 알려지지 않은 프로세스가 사용하는 함수에 트랩을 설치하는 단계;임의의 시간 구간을 선택하여 통상 구간과 가상 이벤트 구간을 결정하는 단계;상기 가상 이벤트 구간에서 하나 이상의 가상 이벤트를 발생시키는 단계;상기 통상 구간에서 상기 트랩이 실행되는 밀도인 제1 밀도를 계산하는 단계;상기 가상 이벤트 구간에서 상기 트랩이 실행되는 밀도인 제2 밀도를 계산하는 단계;상기 제1 밀도 및 상기 제2 밀도를 통해 상기 알려지지 않은 프로세스가 악성 프로그램인가를 판단하는 단계를 포함하고상기 악성 프로그램인가를 판단하는 단계는상기 제2 밀도가 상기 제1 밀도와 임계값의 합보다 큰 경우에 상기 알려지지 않은 프로세스를 악성 프로그램으로 판단하는 단계를 포함하는 악성 프로그램 탐지 방법.
- 제19항에 있어서,상기 제1 밀도를 계산하는 단계는 상기 트랩이 상기 통상 구간에서 실행되는 횟수를 상기 통상 구간의 길이로 나누어 상기 제1 밀도를 계산하는 단계를 포함하고,상기 제2 밀도를 계산하는 단계는 상기 트랩이 상기 가상 이벤트 구간에서 실행되는 횟수를 상기 가상 이벤트 구간의 길이로 나누어 상기 제2 밀도를 계산하 는 단계를 포함하는 악성 프로그램 탐지 방법.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060071495 | 2006-07-28 | ||
KR20060071495 | 2006-07-28 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080011010A KR20080011010A (ko) | 2008-01-31 |
KR100833958B1 true KR100833958B1 (ko) | 2008-05-30 |
Family
ID=39222911
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060073334A KR100833958B1 (ko) | 2006-07-28 | 2006-08-03 | 악성 프로그램을 탐지하는 프로그램이 저장된 기록 매체 및악성 프로그램 탐지 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100833958B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101392737B1 (ko) | 2013-09-11 | 2014-05-12 | 주식회사 안랩 | Url 호출 탐지장치 및 방법 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5842002A (en) | 1994-06-01 | 1998-11-24 | Quantum Leap Innovations, Inc. | Computer virus trap |
JP2002342106A (ja) * | 2001-04-29 | 2002-11-29 | Beijing Rising Technology Corp Ltd | 既知や未知のコンピュータウィルスの検索・駆除方法 |
US20050187740A1 (en) | 2004-02-20 | 2005-08-25 | Marinescu Adrian M. | System and method for proactive computer virus protection |
-
2006
- 2006-08-03 KR KR1020060073334A patent/KR100833958B1/ko active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5842002A (en) | 1994-06-01 | 1998-11-24 | Quantum Leap Innovations, Inc. | Computer virus trap |
JP2002342106A (ja) * | 2001-04-29 | 2002-11-29 | Beijing Rising Technology Corp Ltd | 既知や未知のコンピュータウィルスの検索・駆除方法 |
US20050187740A1 (en) | 2004-02-20 | 2005-08-25 | Marinescu Adrian M. | System and method for proactive computer virus protection |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101392737B1 (ko) | 2013-09-11 | 2014-05-12 | 주식회사 안랩 | Url 호출 탐지장치 및 방법 |
Also Published As
Publication number | Publication date |
---|---|
KR20080011010A (ko) | 2008-01-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9171157B2 (en) | Method and system for tracking access to application data and preventing data exploitation by malicious programs | |
US10951647B1 (en) | Behavioral scanning of mobile applications | |
US10798121B1 (en) | Intelligent context aware user interaction for malware detection | |
US10893068B1 (en) | Ransomware file modification prevention technique | |
US10235524B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
US8443449B1 (en) | Silent detection of malware and feedback over a network | |
US20100071063A1 (en) | System for automatic detection of spyware | |
RU2531861C1 (ru) | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса | |
US9424424B2 (en) | Client based local malware detection method | |
US8397297B2 (en) | Method and apparatus for removing harmful software | |
US9413782B1 (en) | Malware detection using internal malware detection operations | |
US20060101128A1 (en) | System for preventing keystroke logging software from accessing or identifying keystrokes | |
US7823201B1 (en) | Detection of key logging software | |
Solairaj et al. | Keyloggers software detection techniques | |
Gianazza et al. | Puppetdroid: A user-centric ui exerciser for automatic dynamic analysis of similar android applications | |
JP2007316637A (ja) | 個別アプリケーション・プログラム用のスクリーンセーバ | |
WO2007035417A2 (en) | Method and apparatus for removing harmful software | |
RU2697950C2 (ru) | Система и способ выявления скрытого поведения расширения браузера | |
Ahmed et al. | Survey of Keylogger technologies | |
Mallikarajunan et al. | Detection of spyware in software using virtual environment | |
US11303670B1 (en) | Pre-filtering detection of an injected script on a webpage accessed by a computing device | |
US9069964B2 (en) | Identification of malicious activities through non-logged-in host usage | |
US10275596B1 (en) | Activating malicious actions within electronic documents | |
KR100833958B1 (ko) | 악성 프로그램을 탐지하는 프로그램이 저장된 기록 매체 및악성 프로그램 탐지 방법 | |
US20090144821A1 (en) | Auxiliary method for investigating lurking program incidents |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
AMND | Amendment | ||
J201 | Request for trial against refusal decision | ||
B701 | Decision to grant | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130405 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20140515 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20150529 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20160523 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20170721 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20180816 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20190522 Year of fee payment: 12 |