KR101012669B1 - 불법적인 메모리 접근을 진단하는 악성 프로그램 탐지기 및그 제어방법 - Google Patents
불법적인 메모리 접근을 진단하는 악성 프로그램 탐지기 및그 제어방법 Download PDFInfo
- Publication number
- KR101012669B1 KR101012669B1 KR1020080094054A KR20080094054A KR101012669B1 KR 101012669 B1 KR101012669 B1 KR 101012669B1 KR 1020080094054 A KR1020080094054 A KR 1020080094054A KR 20080094054 A KR20080094054 A KR 20080094054A KR 101012669 B1 KR101012669 B1 KR 101012669B1
- Authority
- KR
- South Korea
- Prior art keywords
- thread
- searching
- list
- environment
- processes
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
- Human Computer Interaction (AREA)
Abstract
Description
Claims (15)
- DPC가 수행되는 시점에 실행되고 있는 쓰레드를 검색하는 쓰레드 검색모듈;상기 쓰레드의 컨텍스트(Context)정보를 추출하고, 상기 컨텍스트(Context)에 해당하는 프로세스를 검색하는 환경프로세스 탐지모듈;상기 쓰레드를 실제로 생성한 프로세스를 검색하는 생성프로세스 탐지모듈; 및상기 환경프로세스와 상기 생성프로세스를 비교하는 제어모듈을 포함하는 것을 특징으로 하는 악성 프로그램 탐지기.
- 삭제
- 제 1항에 있어서,상기 제어모듈은,상기 환경프로세스와 상기 생성프로세스를 비교결과 일치하지 않는 경우, 상기 생성프로세스는 악성 프로그램에 의한 프로세스인 것으로 판단하는 기능을 더 포함하는 것을 특징으로 하는 악성 프로그램 탐지기.
- 제 3항에 있어서,보호하고자 하는 프로세스의 목록을 저장하고 있는 프로세스목록 저장부를 더 포함하는 것을 특징으로 하는 악성 프로그램 탐지기.
- 제 4항에 있어서,상기 제어모듈은,상기 환경프로세스가 상기 프로세스 목록에 포함되어 있는 경우에만 판단하는 것을 특징으로 하는 악성 프로그램 탐지기.
- 제 1항에 있어서,보호하고자 하는 프로세스의 목록을 저장하고 있는 프로세스목록 저장부를 더 포함하는 것을 특징으로 하는 악성 프로그램 탐지기.
- 제 6항에 있어서,상기 쓰레드 검색모듈은상기 프로세스목록 저장부에 포함된 프로세스들 각각에 대해서,상기 프로세스들에 포함되어 있는 쓰레드 리스트들을 조회하여, 상기 쓰레드 리스트들에 포함되어 있는 쓰레드를 검색하는 것을 특징으로 하는 악성 프로그램 탐지기.
- 제 7항에 있어서,상기 제어모듈은,상기 환경프로세스와 상기 생성프로세스를 비교결과 일치하지 않는 경우, 상기 생성프로세스는 악성 프로그램에 의한 프로세스인 것으로 판단하는 기능을 더 포함하는 것을 특징으로 하는 악성 프로그램 탐지기.
- DPC가 수행되는 시점에 실행되고 있는 쓰레드를 검색하는 단계;상기 쓰레드의 컨텍스트(Context)정보를 추출하고, 상기 컨텍스트(Context)에 해당하는 프로세스를 검색하는 환경프로세스 탐지단계;상기 쓰레드를 실제로 생성한 프로세스를 검색하는 생성프로세스 탐지단계; 및상기 환경프로세스와 상기 생성프로세스를 비교하는 단계를 포함하는 것을 특징으로 하는 악성 프로그램 탐지기의 제어방법.
- 삭제
- 제 9항에 있어서,상기 비교하는 단계는,상기 환경프로세스와 상기 생성프로세스의 비교결과가 일치하지 않는 경우, 상기 생성프로세스는 악성 프로그램에 의한 프로세스인 것으로 판단하는 것을 특징으로 하는 악성 프로그램 탐지기의 제어방법.
- 제 11항에 있어서,보호하고자 하는 프로세스의 목록을 저장하는 단계를 더 포함하고,상기 비교하는 단계는상기 환경프로세스가 상기 프로세스 목록에 포함되어 있는 경우에만 판단하는 것을 특징으로 하는 악성 프로그램 탐지기의 제어방법.
- 제 9항에 있어서,보호하고자 하는 프로세스의 목록을 저장하는 단계를 더 포함하고,상기 쓰레드를 검색하는 단계는상기 프로세스목록에 저장된 포함된 프로세스들 각각에 대해서, 상기 프로세스들에 포함되어 있는 쓰레드 리스트들을 조회하는 단계 및상기 쓰레드 리스트들에 포함되어 있는 쓰레드를 검색하는 단계를 포함하는 것을 특징으로 하는 악성 프로그램 탐지기의 제어방법.
- 제 13항에 있어서,상기 비교하는 단계는,상기 환경프로세스와 상기 생성프로세스를 비교결과 일치하지 않는 경우, 상기 생성프로세스는 악성 프로그램에 의한 프로세스인 것으로 판단하는 것을 특징으로 하는 악성 프로그램 탐지기의 제어방법.
- DPC가 수행되는 시점에 실행되고 있는 쓰레드를 검색하는 단계;상기 쓰레드의 컨텍스트(Context)정보를 추출하고, 상기 컨텍스트(Context)에 해당하는 프로세스를 검색하는 환경프로세스 탐지단계;상기 쓰레드를 실제로 생성한 프로세스를 검색하는 생성프로세스 탐지단계 및상기 환경프로세스와 상기 생성프로세스를 비교하는 단계를 수행할 수 있는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080094054A KR101012669B1 (ko) | 2008-09-25 | 2008-09-25 | 불법적인 메모리 접근을 진단하는 악성 프로그램 탐지기 및그 제어방법 |
PCT/KR2009/005495 WO2010036057A2 (ko) | 2008-09-25 | 2009-09-25 | 불법적인 메모리 접근을 진단하는 악성 프로그램 탐지기 및 그 제어방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080094054A KR101012669B1 (ko) | 2008-09-25 | 2008-09-25 | 불법적인 메모리 접근을 진단하는 악성 프로그램 탐지기 및그 제어방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100034852A KR20100034852A (ko) | 2010-04-02 |
KR101012669B1 true KR101012669B1 (ko) | 2011-02-11 |
Family
ID=42060295
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080094054A KR101012669B1 (ko) | 2008-09-25 | 2008-09-25 | 불법적인 메모리 접근을 진단하는 악성 프로그램 탐지기 및그 제어방법 |
Country Status (2)
Country | Link |
---|---|
KR (1) | KR101012669B1 (ko) |
WO (1) | WO2010036057A2 (ko) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101252185B1 (ko) * | 2010-08-10 | 2013-04-05 | 주식회사 잉카인터넷 | 쓰레드 체크를 이용한 핵 차단방법 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040098902A (ko) * | 2003-05-16 | 2004-11-26 | 주식회사 안철수연구소 | 프로세스메모리의 악성코드 검출기 및 그 방법 |
KR20040104112A (ko) * | 2003-06-03 | 2004-12-10 | 주식회사 안철수연구소 | 악성쓰레드 검출기 및 그 방법 |
US20060031940A1 (en) * | 2004-08-07 | 2006-02-09 | Rozman Allen F | System and method for protecting a computer system from malicious software |
US20070250927A1 (en) * | 2006-04-21 | 2007-10-25 | Wintutis, Inc. | Application protection |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050053401A (ko) * | 2003-12-02 | 2005-06-08 | 주식회사 하우리 | 컴퓨터 바이러스 방역방법과 그 프로그램을 기록한 기록매체 |
US8365286B2 (en) * | 2006-06-30 | 2013-01-29 | Sophos Plc | Method and system for classification of software using characteristics and combinations of such characteristics |
KR100926115B1 (ko) * | 2007-12-17 | 2009-11-11 | 한국전자통신연구원 | 특정 이벤트/조건에서 동작하는 윈도우용 악성 코드탐지를 위한 프로그램 자동 분석 장치 및 방법 |
-
2008
- 2008-09-25 KR KR1020080094054A patent/KR101012669B1/ko active IP Right Grant
-
2009
- 2009-09-25 WO PCT/KR2009/005495 patent/WO2010036057A2/ko active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040098902A (ko) * | 2003-05-16 | 2004-11-26 | 주식회사 안철수연구소 | 프로세스메모리의 악성코드 검출기 및 그 방법 |
KR20040104112A (ko) * | 2003-06-03 | 2004-12-10 | 주식회사 안철수연구소 | 악성쓰레드 검출기 및 그 방법 |
US20060031940A1 (en) * | 2004-08-07 | 2006-02-09 | Rozman Allen F | System and method for protecting a computer system from malicious software |
US20070250927A1 (en) * | 2006-04-21 | 2007-10-25 | Wintutis, Inc. | Application protection |
Also Published As
Publication number | Publication date |
---|---|
KR20100034852A (ko) | 2010-04-02 |
WO2010036057A3 (ko) | 2010-07-08 |
WO2010036057A2 (ko) | 2010-04-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8516589B2 (en) | Apparatus and method for preventing virus code execution | |
KR101174751B1 (ko) | 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법 | |
AU2016293058B2 (en) | Computer security systems and methods using asynchronous introspection exceptions | |
CA2856268C (en) | Methods of detection of software exploitation | |
JP5094928B2 (ja) | 偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置 | |
JP5382450B2 (ja) | アクセス制御装置、その方法及び情報記録媒体 | |
KR102534334B1 (ko) | 컴퓨팅 디바이스들에서 프로세스들에 대한 소프트웨어 공격들의 검출 | |
US20170103206A1 (en) | Method and apparatus for capturing operation in a container-based virtualization system | |
US10623438B2 (en) | Detecting execution of modified executable code | |
US10664594B2 (en) | Accelerated code injection detection using operating system controlled memory attributes | |
Nadim et al. | Characteristic features of the kernel-level rootkit for learning-based detection model training | |
US11361077B2 (en) | Kernel-based proactive engine for malware detection | |
CN113176926A (zh) | 一种基于虚拟机自省技术的api动态监控方法及系统 | |
CN108985098B (zh) | 数据处理器 | |
KR101012669B1 (ko) | 불법적인 메모리 접근을 진단하는 악성 프로그램 탐지기 및그 제어방법 | |
CA2774802A1 (en) | Windows kernel alteration searching method | |
KR100746944B1 (ko) | 정보 유출 방지 방법 및 정보 유출 방지를 수행하는프로그램이 저장된 기록 매체 | |
CN109033842B (zh) | 数据处理器 | |
Shamshirsaz et al. | An Improved Process Supervision and Control Method for Malware Detection. | |
Yu-Tao et al. | HPDBF: A forensics method for hidden process based on memory analysis | |
CN117150487A (zh) | 一种动态链接库文件注入检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140127 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20150127 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20160127 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20180129 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20190128 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20200128 Year of fee payment: 10 |