KR100992434B1 - 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 - Google Patents
확장자를 위장한 파일을 탐지하는 방법 및 그 장치 Download PDFInfo
- Publication number
- KR100992434B1 KR100992434B1 KR1020080065590A KR20080065590A KR100992434B1 KR 100992434 B1 KR100992434 B1 KR 100992434B1 KR 1020080065590 A KR1020080065590 A KR 1020080065590A KR 20080065590 A KR20080065590 A KR 20080065590A KR 100992434 B1 KR100992434 B1 KR 100992434B1
- Authority
- KR
- South Korea
- Prior art keywords
- file
- extension
- header information
- detecting
- extracting
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
Claims (13)
- 적어도 하나의 확장자 및 상기 적어도 하나의 확장자에 대응되는 적어도 하나의 헤더정보가 저장된 데이터베이스를 관리하는 단계;파일의 파일명으로부터 확장자를 추출하는 표시확장자 추출단계;상기 데이터베이스로부터 상기 표시확장자에 대응되는 헤더정보를 추출하는 단계;상기 파일에 대해 정적분석을 수행하여 상기 파일의 헤더정보를 확인하는 단계;상기 데이터베이스에서 추출된 헤더정보와 상기 파일의 헤더정보가 일치하는지 여부를 판단하는 단계; 및상기 데이터베이스에서 추출된 헤더정보와 상기 파일의 헤더정보가 일치하는 경우, 상기 파일의 확장자가 변조되지 않은 것으로 판단하고, 상기 데이터베이스에서 추출된 헤더정보와 상기 파일의 헤더정보가 일치하지 않는 경우, 상기 파일의 확장자가 변조된 것으로 판단하는 단계를 포함하는 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 방법.
- 제1항에 있어서,네트워크를 통해서 파일의 전송요청을 감지하는 단계를 더 포함하고,상기 표시확장자 추출단계의 파일은 상기 감지된 파일인 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 방법.
- 제2항에 있어서상기 파일의 확장자가 변조되지 않는 것으로 판단된 경우에는 상기 파일의 전송을 허용하고, 상기 파일의 확장자가 변조된 것으로 판단된 경우에는 상기 파일의 전송을 차단하는 단계를 더 포함하는 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 방법.
- 제1항에 있어서,파일 조작을 위한 파일IO를 감지하는 단계를 더 포함하고,상기 표시확장자 추출단계의 파일은 상기 감지된 파일인 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 방법.
- 제1항에 있어서상기 파일의 확장자가 변조된 것으로 판단된 경우에는 상기 파일에 대한 악성코드를 검사하는 단계를 더 포함하는 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 방법.
- 적어도 하나의 확장자 및 상기 적어도 하나의 확장자에 대응되는 적어도 하나의 헤더정보가 저장된 데이터베이스를 관리하는 단계;파일의 파일명으로부터 확장자를 추출하는 표시확장자 추출단계;상기 파일에 대해 정적분석을 수행하여 상기 파일의 헤더정보를 확인하는 단계;상기 데이터베이스로부터 상기 파일의 헤더정보에 대응되는 확장자를 추출하는 실제확장자 추출단계;상기 표시확장자와 상기 실제확장자가 일치하는지 여부를 판단하는 단계; 및상기 표시확장자와 상기 실제확장자가 일치하는 경우, 상기 파일의 확장자가 변조되지 않은 것으로 판단하고, 상기 표시확장자와 상기 실제확장자가 일치하지 않는 경우, 상기 파일의 확장자가 변조된 것으로 판단하는 단계를 포함하는 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 방법.
- 제6항에 있어서,사용자로부터 파일을 입력받는 단계를 더 포함하고,상기 표시확장자 추출단계의 파일은 상기 입력받은 파일인 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 방법.
- 제6항에 있어서상기 파일의 확장자가 변조된 것으로 판단된 경우에는 상기 파일의 확장자를 상기 실제확장자로 변경하는 단계를 더 포함하는 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 방법.
- 적어도 하나의 확장자 및 상기 적어도 하나의 확장자에 대응되는 적어도 하나의 헤더정보가 저장된 파일헤더구조 데이터베이스; 및파일의 파일명으로부터 표시확장자를 추출하고, 상기 파일헤더구조 데이터베이스로부터 상기 표시확장자에 대응되는 헤더정보를 추출한 후 상기 파일의 헤더정보와 상기 파일헤더구조 데이터베이스에서 추출된 헤더정보를 비교하여, 상기 파일의 헤더정보와 상기 파일헤더구조 데이터베이스에서 추출된 헤더정보가 일치하는 경우, 상기 파일의 확장자가 변조되지 않은 것으로 판단하고, 상기 파일의 헤더정보와 상기 파일헤더구조 데이터베이스에서 추출된 헤더정보가 일치하지 않는 경우, 상기 파일의 확장자가 변조된 것으로 판단하는 제어모듈을 포함하는 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 장치.
- 제9항에 있어서,네트워크를 통해서 상기 파일에 대한 전송요청을 감지하는 네트워크 필터 드라이버를 더 포함하는 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 장치.
- 제9항에 있어서,상기 파일의 조작을 위한 파일IO를 감지하는 파일필터 드라이버를 더 포함하는 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 장치.
- 제9항에 있어서상기 파일의 확장자가 변조된 것으로 판단된 경우에는 상기 파일에 대한 악성코드를 검사하는 악성코드 검사모듈을 더 포함하는 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 장치.
- 적어도 하나의 확장자 및 상기 적어도 하나의 확장자에 대응되는 적어도 하나의 헤더정보가 저장된 데이터베이스를 관리하는 단계;파일의 파일명으로부터 확장자를 추출하는 표시확장자 추출단계;상기 데이터베이스로부터 상기 표시확장자에 대응되는 헤더정보를 추출하는 단계;상기 파일에 대해 정적분석을 수행하여 상기 파일의 헤더정보를 확인하는 단계;상기 데이터베이스에서 추출된 헤더정보와 상기 파일의 헤더정보가 일치하는지 여부를 판단하는 단계; 및상기 데이터베이스에서 추출된 헤더정보와 상기 파일의 헤더정보가 일치하는 경우, 상기 파일의 확장자가 변조되지 않은 것으로 판단하고, 상기 데이터베이스에서 추출된 헤더정보와 상기 파일의 헤더정보가 일치하지 않는 경우, 상기 파일의 확장자가 변조된 것으로 판단하는 단계를 수행할 수 있는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080065590A KR100992434B1 (ko) | 2008-07-07 | 2008-07-07 | 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080065590A KR100992434B1 (ko) | 2008-07-07 | 2008-07-07 | 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100005518A KR20100005518A (ko) | 2010-01-15 |
KR100992434B1 true KR100992434B1 (ko) | 2010-11-05 |
Family
ID=41814889
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080065590A KR100992434B1 (ko) | 2008-07-07 | 2008-07-07 | 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100992434B1 (ko) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013168951A1 (ko) * | 2012-05-11 | 2013-11-14 | 주식회사 안랩 | 악성 파일 검사 장치 및 방법 |
WO2013168913A1 (ko) * | 2012-05-11 | 2013-11-14 | 주식회사 안랩 | 비실행 파일 검사 장치 및 방법 |
KR20140101865A (ko) * | 2012-08-30 | 2014-08-20 | 텐센트 테크놀로지(센젠) 컴퍼니 리미티드 | 파일 다운로딩에 대한 보안 모니터링을 수행하기 위한 방법 및 시스템 |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101161493B1 (ko) * | 2010-01-18 | 2012-06-29 | (주)쉬프트웍스 | 안드로이드 단말 플랫폼에서의 악성 코드와 위험 파일의 진단 방법 |
WO2014010829A1 (ko) * | 2012-07-09 | 2014-01-16 | 주식회사 안랩 | 캐싱을 이용한 악성코드 진단장치 및 방법 |
WO2014010847A1 (ko) * | 2012-07-09 | 2014-01-16 | 주식회사 안랩 | 악성 애플리케이션 진단장치 및 방법 |
KR101246623B1 (ko) * | 2012-09-03 | 2013-03-25 | 주식회사 안랩 | 악성 애플리케이션 진단 장치 및 방법 |
KR101244731B1 (ko) | 2012-09-11 | 2013-03-18 | 주식회사 안랩 | 디버그 이벤트를 이용한 악성 쉘 코드 탐지 장치 및 방법 |
KR101247943B1 (ko) * | 2012-09-21 | 2013-04-02 | 주식회사 윈스테크넷 | 화이트리스트를 이용한 바이러스 검사 장치 및 방법 |
KR101311367B1 (ko) * | 2013-04-09 | 2013-09-25 | 주식회사 안랩 | 메모리 보호기능 우회 공격 진단 장치 및 방법 |
KR101642222B1 (ko) * | 2015-03-21 | 2016-07-22 | 홍동철 | 안드로이드 운영체제에서의 스파이 애플리케이션 및 시스템 변조 탐지 방법 |
-
2008
- 2008-07-07 KR KR1020080065590A patent/KR100992434B1/ko active IP Right Grant
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013168951A1 (ko) * | 2012-05-11 | 2013-11-14 | 주식회사 안랩 | 악성 파일 검사 장치 및 방법 |
WO2013168913A1 (ko) * | 2012-05-11 | 2013-11-14 | 주식회사 안랩 | 비실행 파일 검사 장치 및 방법 |
KR20140101865A (ko) * | 2012-08-30 | 2014-08-20 | 텐센트 테크놀로지(센젠) 컴퍼니 리미티드 | 파일 다운로딩에 대한 보안 모니터링을 수행하기 위한 방법 및 시스템 |
KR101652185B1 (ko) | 2012-08-30 | 2016-08-29 | 텐센트 테크놀로지(센젠) 컴퍼니 리미티드 | 파일 다운로딩에 대한 보안 모니터링을 수행하기 위한 방법 및 시스템 |
Also Published As
Publication number | Publication date |
---|---|
KR20100005518A (ko) | 2010-01-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100992434B1 (ko) | 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 | |
CN109583193B (zh) | 目标攻击的云检测、调查以及消除的系统和方法 | |
US9294486B1 (en) | Malware detection and analysis | |
US9953162B2 (en) | Rapid malware inspection of mobile applications | |
US8782791B2 (en) | Computer virus detection systems and methods | |
US8918878B2 (en) | Restoration of file damage caused by malware | |
JP5326062B1 (ja) | 非実行ファイル検査装置及び方法 | |
JP5265061B1 (ja) | 悪意のあるファイル検査装置及び方法 | |
US8677493B2 (en) | Dynamic cleaning for malware using cloud technology | |
US20190141075A1 (en) | Method and system for a protection mechanism to improve server security | |
US8640233B2 (en) | Environmental imaging | |
CN107004088B (zh) | 确定装置、确定方法及记录介质 | |
JPWO2014112185A1 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
CN102483780A (zh) | 防病毒扫描 | |
CA2960214C (en) | Secure document importation via portable media | |
US20190266327A1 (en) | Anti-ransomware systems and methods using a sinkhole at an electronic device | |
US10091225B2 (en) | Network monitoring method and network monitoring device | |
US10747879B2 (en) | System, method, and computer program product for identifying a file used to automatically launch content as unwanted | |
JP2010182019A (ja) | 異常検知装置およびプログラム | |
US11487868B2 (en) | System, method, and apparatus for computer security | |
JP5326063B1 (ja) | デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法 | |
JP2010198565A (ja) | 不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置 | |
JP2010182020A (ja) | 不正検知装置およびプログラム | |
CN112580038A (zh) | 反病毒数据的处理方法、装置及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20131101 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20141103 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20151102 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20161101 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20171101 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20181101 Year of fee payment: 9 |