KR101042857B1 - 해킹 프로세스의 실행 차단방법 - Google Patents

해킹 프로세스의 실행 차단방법 Download PDF

Info

Publication number
KR101042857B1
KR101042857B1 KR1020090083015A KR20090083015A KR101042857B1 KR 101042857 B1 KR101042857 B1 KR 101042857B1 KR 1020090083015 A KR1020090083015 A KR 1020090083015A KR 20090083015 A KR20090083015 A KR 20090083015A KR 101042857 B1 KR101042857 B1 KR 101042857B1
Authority
KR
South Korea
Prior art keywords
hacking
security
hash value
nuclear
execution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020090083015A
Other languages
English (en)
Other versions
KR20110024850A (ko
Inventor
이재황
김용환
신동우
Original Assignee
주식회사 잉카인터넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to KR1020090083015A priority Critical patent/KR101042857B1/ko
Application filed by 주식회사 잉카인터넷 filed Critical 주식회사 잉카인터넷
Priority to DE112010003525T priority patent/DE112010003525T5/de
Priority to GB1202862.7A priority patent/GB2485505B/en
Priority to PCT/KR2010/004982 priority patent/WO2011027976A2/ko
Priority to US13/394,112 priority patent/US20120254998A1/en
Priority to JP2012527810A priority patent/JP2013504113A/ja
Priority to CN2010800385678A priority patent/CN102483783A/zh
Priority to TW099127947A priority patent/TW201109970A/zh
Publication of KR20110024850A publication Critical patent/KR20110024850A/ko
Application granted granted Critical
Publication of KR101042857B1 publication Critical patent/KR101042857B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Stored Programmes (AREA)

Abstract

이 발명은 컴퓨터에서 실행된 보안프로세스가 핵 진단 기준과 핵 차단 기준을 이원화하여 게임 핵을 포함한 해킹 프로그램을 진단하고 그 실행을 차단하는 방법에 관한 것이다.
이 발명에 따른 해킹프로세스의 실행 차단방법은, 보안프로세스가 컴퓨터에서 실행중인 프로세스 중 검사대상프로세스를 선정하는 제1단계와; 상기 보안프로세스가 검사대상프로세스의 패턴을 추출하여 핵 진단기준과 비교하는 제2단계와; 상기 보안프로세스가 상기 제2단계의 비교 결과 상기 검사대상프로세스의 패턴이 상기 핵 진단기준에 포함되면 상기 검사대상프로세스를 해킹프로세스로 판단하는 제3단계와; 상기 보안프로세스가 상기 해킹프로세스의 고유 해쉬값을 계산하여 핵 차단기준과 비교하는 제4단계와; 상기 보안 프로세스가 상기 제4단계의 비교 결과 상기 해킹프로세스의 고유 해쉬값이 상기 핵 차단기준에 포함되면 상기 해킹프로세스의 실행을 차단하고, 상기 해킹프로세스의 고유 해쉬값이 상기 핵 차단기준에 포함되지 않으면 상기 해킹프로세스의 실행을 차단하지 않는 제5단계를 포함한다.
해킹, 게임 핵, 보안, 컴퓨터, 게임, 차단, 진단

Description

해킹 프로세스의 실행 차단방법 { method for blocking excution of hacking process }
이 발명은 보안프로세스가 해킹 프로세스의 실행을 차단하는 방법에 관한 것으로서, 보다 상세하게는 컴퓨터에서 실행된 보안프로세스가 핵 진단 기준과 핵 차단 기준을 이원화하여 게임 핵을 포함한 해킹 프로그램을 진단하고 그 실행을 차단하는 방법에 관한 것이다.
초고속인터넷이 널리 보급되면서 온라인 게임인구가 급속도로 증가하고 수많은 온라인 게임들이 개발되었지만 아직까지 게임 보안에 대한 인식과 개념이 매우 약하다. 컴퓨터에서의 불법 프로그램을 핵 또는 해킹프로그램이라고 하며, 게임에서의 핵 또는 해킹프로그램을 게임 핵이라고 하는데, 이 게임 핵은 특정 게임프로세스의 파일이나 메모리 등을 조작하는 프로그램을 가리킨다.
게임 핵은 게임의 메모리를 조작하여 능력치나 체력 등과 같은 특정 데이터를 바꾸어 주거나, 격투기 게임의 경우 타격 속도나 타격 횟수를 증가시키거나, 매 크로 기능을 부여함으로써, 게이머가 게임을 손쉽게 이길 수 있도록 해준다. 이 때문에 게이머들은 온라인 게임시 게임 핵을 설치하고 싶어한다. 그러나, 온라인 게임에서의 게임 핵 사용은 사용자들간의 밸런스 붕괴, 게임서버로의 가중한 부하 등과 같은 문제를 일으킬 수 있다. 즉, 온라인 게임에서 일부 사용자들이 비정상적인 방법으로 이득을 보면서 게임(play)을 하게 되면, 다른 사용자들과의 균형이 무너지게 되고, 심각한 경우에는 온라인 게임 전체의 밸런스가 깨지며 게임서버에 과부하가 발생하게 된다.
따라서, 게임 공급자들은 게임과 함께 보안프로그램을 게이머들에게 설치하도록 하고 있는 바, 게임프로세스가 구동되는 한 보안프로세스가 구동되며, 보안프로세스의 실행을 중단시키면 게임 프로세스의 실행도 차단되도록 한다. 즉, 온라인 게임시 게임 프로세스와 함께 보안프로세스가 실행되어, 그 보안프로세스가 게임 핵을 차단한다.
이 발명의 명세서에서 '게임 핵'을 포함한 '프로그램' 또는 '파일'은 컴퓨터를 실행시키기 위해 차례대로 작성된 명령어 모음을 의미하며, '프로세스'라 함은 컴퓨터 내에서 실행중인 프로그램을 일컫는다. 즉, 게임프로그램은 게임프로세스로서 게이머 컴퓨터에서 실행되고, 보안프로그램은 보안프로세스로서 게이머의 컴퓨터에서 실행되며, 보안프로세스는 컴퓨터에서 실행되는 게임 핵을 비롯한 각종 해킹 프로세스의 실행을 차단한다.
보안프로세스는 게이머가 게임을 하는 도중에 실행되는 모든 프로세스를 다 차단해서는 안된다. 즉, 게임을 하기 위해서는 시스템프로세스와 게임프로세스와 보안프로세스는 필수적으로 실행되어야 하며, 그 외에도 해킹프로세스가 아닌 프로세스의 실행을 허용해야 한다.
이 발명의 명세서에서는 이 시스템프로세스와 게임프로세스와 보안프로세스를 필수프로세스로 통칭하고, 필수프로세스가 아닌 프로세스를 일반프로세스라고 명명하며, 일반프로세스 중 게임 핵과 같이 차단해야 할 불법 프로세스를 해킹프로세스라고 명명하고, 일반프로세스 중 해킹프로세스가 아니어서 그 실행을 허용해야 할 프로세스를 비해킹프로세스라고 명명한다.
보안프로세스는 컴퓨터에서 실행중인 프로세스 중 필수프로세스의 실행을 허용하고, 일반프로세스에 대해서는 해킹프로세스인지 비해킹프로세스인지를 진단하며, 진단결과 해킹프로세스로 판단되면 그 실행을 차단하고, 비해킹프로세스로 판단되면 그 실행을 허용한다.
일반적으로 대부분의 게이머들은 게임 핵을 사용하고 싶어 하지만, 게임 핵을 직접 개발할 능력을 가지지는 못한다. 이 때문에 게임 핵을 개발하여 게이머들에게 유료로 판매하는 게임 핵 개발자들이 생겨나게 되었다.
게임 핵 개발자들은 보안프로세스에서 차단되지 않는 신규 게임 핵을 개발하여 게이머들에게 판매하고, 게이머들이 이 신규 게임 핵을 사용하면, 보안 회사는 이 신규 게임 핵을 분석하고 보안프로세스가 이 신규 게임 핵을 차단하도록 보안프로그램을 업데이트한다.
도 1은 게임 핵 개발자와 게이머 및 보안회사간 게임 핵 업데이트 및 보안프로그램 업데이트 과정을 도시한 도면이다.
게임 핵 개발자는 보안프로세스에 의해 차단되지 않은 신규 게임 핵을 개발하여 배포서버에게 업로드한다(S11). 그러면, 이 신규 게임 핵은 다수의 게이머 컴퓨터들에게 다운로드되어 사용한다(S12). 보안 회사는 게이머들이 사용하는 신규 게임 핵의 샘플을 수집하고(S13), 분석하여(S14), 해당 게임 핵을 차단하기 위한 보안프로그램을 업데이트한다(S15). 그리고, 업데이트된 보안프로그램을 게이머 컴퓨터들에 배포함으로써, 게이머 컴퓨터들에 업데이트된 보안 프로그램이 신규 게임 핵을 차단하도록 한다(S16). 이렇게 보안 프로그램에 의해 게임 핵이 차단되면, 게임 핵 개발자들은 해당 보안프로세스가 신규 게임 핵을 차단하는 기준을 분석하여, 그 차단 기준을 우회하는 방법을 찾는다(S17). 그리고, 그 찾아진 방법으로서 신규 게임 핵을 개발하여 배포서버에 업로드하는 단계 S11로 되돌아간다. 온라인 게임에서 보안회사는 다수의 게임 핵 개발자들과 상기한 게임 핵 업데이트 및 보안 프로그램 업데이트 전쟁을 지속해야 한다.
통상적으로 보안프로세스는 게임 핵인지 아닌지를 진단하기 위한 진단기준과, 게임 핵을 차단하기 위한 차단 기준이 동일하다. 즉, 보안프로세스는 컴퓨터에서 실행중인 일반프로세스에 대해 게임 핵인지 여부를 진단하고, 게임 핵으로 진단되면 해당 해킹프로세스의 실행을 바로 차단한다.
게이머 컴퓨터들이 신규 게임 핵을 사용하는 초기에, 보안프로세스는 이를 게임 핵으로 진단하지 않고, 비해킹프로세스로 오진단하여 해당 해킹 프로세스의 실행을 허용한다. 보안 회사에서 이 새로운 버전의 게임 핵 패턴을 분석하여 보안프로세스를 업데이트하면, 비로소 그 게임 핵을 게임 핵으로 진단하고 차단한다.
따라서, 게이머 컴퓨터들이 신규 게임 핵을 사용하는 초기에는 보안프로세스가 이를 게임 핵으로 인식하지 못하기 때문에, 보안 회사에서 새로운 버전의 게임 핵 샘플을 수집하고 분석하는데 많은 노력과 시간이 소모된다. 이에 반해, 게임 핵 개발자들은 손쉬운 방법부터 시작해서 게임 핵을 업데이트하면서 업데이트된 게임 핵이 보안프로세스를 회피하는 지를 테스트하고, 보안프로세스를 회피하는 게임 핵을 게이머들에게 새로운 버전으로 공급한다. 이때, 게임 핵은 동일한 패턴 코드로 작성된 프로그램일지라도 새롭게 컴파일만되더라도 새로운 버전의 신규 게임 핵이 된다.
이렇게 새로운 버전의 게임 핵이 개발되어 출시될 때마다 보안 회사는 해당 게임 핵 샘플을 수집하고 게임 핵 여부를 진단하기 위한 패턴을 설정하는데 많은 노력과 시간을 소모해야 하는 문제점이 있다. 보안회사 입장에서 보면, 게임 핵을 진단하기 위한 패턴을 수집하는데 소모되는 시간을 줄이는 것이 매우 중요하다.
상기한 종래기술의 문제점을 해결하기 위하여 안출된 이 발명의 목적은, 보안프로세스의 핵 진단기준과 핵 차단기준을 이원화함으로써, 게임 핵 개발자가 보안프로세스의 핵 차단기준을 손쉽게 회피할 수 있도록 하여 핵 진단기준을 쉽게 인지할 수 없도록 함으로써, 신규 게임 핵을 용이하게 진단할 수 있도록 하는 해킹프로세스의 실행 차단방법을 제공하기 위한 것이다.
상기한 목적을 달성하기 위한 이 발명에 따른 해킹프로세스의 실행 차단방법은, 보안프로세스가 컴퓨터에서 실행중인 프로세스 중 검사대상프로세스를 선정하는 제1단계와; 상기 보안프로세스가 검사대상프로세스의 패턴을 추출하여 핵 진단기준과 비교하는 제2단계와; 상기 보안프로세스가 상기 제2단계의 비교 결과 상기 검사대상프로세스의 패턴이 상기 핵 진단기준에 포함되면 상기 검사대상프로세스를 해킹프로세스로 판단하는 제3단계와; 상기 보안프로세스가 상기 해킹프로세스의 고유 해쉬값을 계산하여 핵 차단기준과 비교하는 제4단계와; 상기 보안 프로세스가 상기 제4단계의 비교 결과 상기 해킹프로세스의 고유 해쉬값이 상기 핵 차단기준에 포함되면 상기 해킹프로세스의 실행을 차단하고, 상기 해킹프로세스의 고유 해쉬값이 상기 핵 차단기준에 포함되지 않으면 상기 해킹프로세스의 실행을 차단하지 않는 제5단계를 포함한 것을 특징으로 한다.
또한, 이 발명의 다른 실시예에 따른 해킹프로세스의 실행 차단방법은, 보안프로세스가 컴퓨터에서 실행중인 프로세스 중 검사대상프로세스를 선정하는 제1단계와; 상기 보안프로세스가 검사대상프로세스의 고유 해쉬값을 계산하여 핵 차단기준과 비교하는 제2단계와; 상기 보안프로세스가 상기 제2단계의 비교 결과, 상기 검사대상프로세스의 고유 해쉬값이 상기 핵 차단기준에 포함되면 상기 검사대상프로세스의 실행을 차단하는 제3단계와; 상기 보안프로세스가 상기 제2단계의 비교 결과, 상기 검사대상프로세스의 고유 해쉬값이 상기 핵 차단기준에 포함되지 않으면 상기 검사대상프로세스의 실행을 허용하고 상기 검사대상프로세스의 패턴을 추출하여 핵 진단기준과 비교하는 제4단계와; 상기 보안프로세스가 상기 제4단계의 비교 결과, 상기 검사대상프로세스의 패턴이 상기 핵 진단기준에 포함되면 상기 검사대상프로세스의 고유 해쉬값을 보안서버에게 전송하는 제5단계를 포함한 것을 특징으로 한다.
또한, 이 발명의 또 다른 실시예에 따른 해킹프로세스의 실행 차단방법은, 보안프로세스가 컴퓨터에서 실행중인 프로세스 중 검사대상프로세스를 선정하는 제1단계와; 상기 보안프로세스가 검사대상프로세스의 고유 해쉬값을 계산하여 핵 차단기준과 비교하는 제2단계와; 상기 보안프로세스가 상기 제2단계의 비교 결과, 상기 검사대상프로세스의 고유 해쉬값이 상기 핵 차단기준에 포함되면 상기 검사대상프로세스의 실행을 차단하는 제3단계와; 상기 보안프로세스가 상기 제2단계의 비교 결과, 상기 검사대상프로세스의 고유 해쉬값이 상기 핵 차단기준에 포함되지 않으면 상기 검사대상프로세스의 실행을 허용하고 상기 검사대상프로세스의 패턴을 추 출하여 핵 진단기준과 비교하는 제4단계와; 상기 보안프로세스가 상기 제4단계의 비교 결과, 상기 검사대상프로세스의 패턴이 상기 핵 진단기준에 포함되면 임계시간 경과 후 상기 검사대상프로세스의 실행을 차단하는 제5단계를 포함한 것을 특징으로 한다.
이상과 같이 이 발명에 따르면, 게임 핵 개발자가 보안프로세스의 핵 차단기준을 용이하게 회피할 수 있도록 하여 게임 핵의 패턴을 수정하지 않은 채 신규 게임 핵을 출시하도록 유도하기 때문에, 보안 회사가 신규 게임 핵의 핵 여부 진단을 용이하게 할 수 있으며 이에 따른 노력과 시간을 단축시킬 수 있는 효과가 있다.
이하, 첨부된 도면을 참조하여 이 발명의 한 실시예에 따른 해킹프로세스의 실행 차단방법을 보다 상세하게 설명한다.
도 2는 이 발명이 적용되는 해킹프로세스의 실행 차단시스템을 도시한 구성도이다.
게이머의 의지에 따라 게임 핵 배포서버(21)로부터 게이머 컴퓨터(22)에 게임 핵이 다운로드된다. 물론, 게이머 컴퓨터(22)에는 게임프로그램과 함께 보안프로그램이 다운로드되어 설치된다. 이 보안프로그램은 보안서버(23)에 의해 주기적으로 또는 간헐적으로 업데이트된다.
게이머가 게임프로그램을 실행하면 보안프로그램이 자동적으로 실행되는데, 게이머 컴퓨터(22)에서 실행되는 보안프로세스는 게이머 컴퓨터에서 실행되는 일반프로세스에 대해 핵 진단기준을 적용하여 해킹프로세스인지 비해킹프로세스인지 판단하고, 핵 차단기준을 적용하여 차단대상프로세스인지 비차단대상프로세스인지 판단한다. 바람직하게는 이 발명에서 핵 진단기준은 게임 핵의 패턴 기반이고, 핵 차단기준은 게임 핵의 고유 해쉬값 기반이다.
보안프로세스는 게이머 컴퓨터에서 실행중인 일반프로세스가 해킹프로세스로 판단되더라도 차단대상프로세스가 아닌 경우, 해당 해킹프로세스를 차단하지 않는다. 대신 신규 해킹프로세스로 인식하고 이 신규 해킹프로세스의 게임 핵의 고유 해쉬값을 계산하여 보안 서버에게 전달하며, 해당 신규 해킹프로세스의 고유 해쉬값이 핵 차단기준에 포함되기까지 대기한다.
보안 서버는 보안 정책에 따라 동일한 고유 해쉬값의 게임 핵을 사용하는 게이머들의 수가 임계치를 넘으면 해당 고유 해쉬값을 핵 차단기준에 추가하여 보안프로그램을 업데이트하고 게이머 컴퓨터에 다운로드한다. 또는, 보안 서버는 보안 정책에 따라 해당 고유 해쉬값의 게임 핵이 처음 접수된 후 임계시간을 초과하면 핵 차단기준에 해당 고유 해쉬값을 추가하여 보안프로그램을 업데이트하고 게이머 컴퓨터에 다운로드한다. 보안프로세스는 보안 서버로부터 핵 차단기준이 업데이트되지 않더라도 해당 신규 해킹 프로세스를 인식하고 임계시간이 지나면 해당 신규 해킹프로세스의 고유 해쉬값을 핵 차단기준에 추가한 후 해당 해킹프로세스의 실행을 차단할 수도 있다.
물론, 보안프로세스가 게임 핵을 진단하더라도 일정 시간동안 해당 게임 핵을 차단하지 않기 때문에 겉으로 보기에는 종래의 방법과 다를 바가 없는 듯이 보인다. 그러나, 이 발명에 따르면 게임 핵 개발자는 아주 손쉬운 방법으로도(예컨대, 게임 핵을 다시 컴파일 하는 방법으로도) 보안프로세스의 핵 차단기준을 회피할 수 있다. 그러면 새롭게 컴파일된 그 신규 게임 핵(이 신규 게임 핵의 패턴은 기존 게임 핵의 패턴과 동일함)은 다시 게이머들에게 배포될 것이며, 보안프로세스는 게임 핵 샘플을 수집하지 않더라도 패턴을 기반으로 해당 게임 핵을 바로 진단할 수 있게 된다. 즉, 보안회사 입장에서 보면 게임 핵 패턴을 수집하고 분석하는데 소요되는 시간을 줄일 수가 있게 된다.
어짜피 새로운 버전의 게임 핵이 배포되면 해당 게임 핵을 수집하고 분석하는데 12시간 내지 24시간이 소요되며, 그 동안 새로운 버전의 게임 핵은 다수의 게이머들이 사용할 수 있다. 이 발명은 새로운 버전의 게임 핵을 게이머들이 전혀 사용하지 못하도록 하는데 그 목적이 있는 것이 아니며, 게임 핵 개발자들이 게임 핵의 패턴을 수정하지 않고도 새로운 버전의 게임 핵을 배포하도록 유도함으로써, 게임 핵 진단에 소모되는 보안 회사의 노력 및 시간을 줄이고자 하는데 그 목적이 있다.
도 3은 이 발명의 한 실시예에 따른 보안프로세스의 해킹프로세스 차단방법을 도시한 동작 흐름도이다.
보안프로세스가 실행되면, 컴퓨터에서 실행중인 일반프로세스 중 하나를 검사대상프로세스로 선정하고(S31), 선정된 검사대상프로세스의 패턴을 추출하 고(S32), 검사대상프로세스의 추출된 패턴이 핵 진단기준에 포함되는지를 판단한다(S33).
단계 S33의 판단 결과, 검사대상프로세스의 패턴이 핵 진단기준에 포함되지 않으면, 해당 검사대상프로세스를 비해킹프로세스로 인식하고 해당 비해킹프로세스의 실행을 허용한다(S34).
단계 S33의 판단 결과, 검사대상프로세스의 패턴이 핵 진단기준에 포함되면 검사대상프로세스를 해킹프로세스로 진단하되, 진단된 모든 해킹프로세스에 대해 그 실행을 바로 차단하는 것이 아니라 검사대상프로세스의 고유 해쉬값을 계산하며(S35), 계산된 고유 해쉬값이 핵 차단기준에 포함되는지를 판단한다(S36).
단계 S36의 판단 결과, 검사대상프로세스의 고유 해쉬값이 핵 차단기준에 존재하면, 해당 검사대상프로세스를 차단대상 해킹프로세스로 인식하고 그 차단대상 해킹프로세스의 실행을 차단한다(S37).
단계 S36의 판단 결과, 검사대상프로세스의 고유 해쉬값이 핵 차단기준에 존재하지 않으면, 해당 검사대상프로세스를 신규 해킹프로세스로 인식하고(S38), 해당 신규 해킹프로세스의 고유 해쉬값을 보안서버에게 전송한다(S39).
여기서, 신규 해킹프로세스의 고유 해쉬값은 메모리에 로드된 상기 해킹프로세스의 전역 또는 일부 특정 부분의 해쉬값을 계산함으로써 얻거나, 또는, 신규 해킹프로세스를 실행시킨 핵 파일의 전역 또는 일부 특정 부분의 해쉬값을 계산함으로써 얻을 수 있다.
또한, 보안 프로세스는 이 신규 해킹프로세스의 고유 해쉬값을 보안서버에 전송함에 있어서, 암호화하여 전송하는 것이 바람직하다.
여기서, 핵 진단기준은 해킹프로세스의 다수의 특징적 패턴을 저장하며, 보안프로세스는 검사대상프로세스가 핵 진단기준에 저장된 다수의 특징적 패턴을 모두 포함할 경우 해킹프로세스로 인식하거나, 검사대상프로세스가 핵 진단기준에 저장된 다수의 특징적 패턴 중 적어도 일부를 포함할 경우 해킹프로세스로 인식한다.
모든 실행프로세스에 대해 단계 S31 내지 단계 S39를 반복 수행한다.
게이머 컴퓨터의 보안 프로세스로부터 신규 해킹프로세스에 대한 고유 해쉬값이 입력되면, 보안서버는 보안정책에 따라 신규 해킹프로세스를 사용하는 게이머 수 또는 신규 해킹프로세스가 초기 검출된 후 경과시간을 기준으로 신규 해킹프로세스의 고유 해쉬값을 핵 차단기준에 추가함으로써, 보안프로그램을 업데이트한다. 핵 차단기준에 신규 해킹프로세스의 고유 해쉬값이 추가되면 보안프로세스는 해당 신규 해킹프로세스의 실행을 차단한다. 또는, 게이머 컴퓨터의 보안 프로세스는 신규 해킹프로세스를 검출한 후 임계시간이 경과하면 신규 해킹프로세스의 고유 해쉬값을 핵 차단기준에 추가함으로써, 해당 신규 해킹프로세스의 실행을 차단할 수 있다.
또한, 도 3에서는 검사대상프로세스의 패턴을 검출하여 핵 진단기준과 비교한 후 검사대상프로세스의 고유 해쉬값을 계산하여 핵 차단기준과 비교하였으나, 이 발명은 이에 한정되지 아니하며, 검사대상프로세스의 고유 해쉬값을 계산하여 핵 차단기준과 비교한 후, 검사대상프로세스의 패턴을 검출하여 핵 진단기준과 비교할 수도 있다.
이상에서 본 발명에 대한 기술사상을 첨부도면과 함께 서술하였지만, 이는 본 발명의 가장 양호한 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술분야의 통상의 지식을 가진 자라면 누구나 본 발명의 기술사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.
도 1은 게임 핵 개발자와 게이머 및 보안회사간 게임 핵 업데이트 및 보안프로그램 업데이트 과정을 도시한 도면,
도 2는 이 발명이 적용되는 해킹프로세스의 실행 차단시스템을 도시한 구성도,
도 3은 이 발명의 한 실시예에 따른 해킹프로세스의 실행 차단방법을 도시한 동작 흐름도이다.

Claims (16)

  1. 보안프로세스가 컴퓨터에서 실행중인 프로세스 중 검사대상프로세스를 선정하는 제1단계와;
    상기 보안프로세스가 검사대상프로세스의 패턴을 추출하여 핵 진단기준과 비교하는 제2단계와;
    상기 보안프로세스가 상기 제2단계의 비교 결과, 상기 검사대상프로세스의 패턴이 상기 핵 진단기준에 포함되면 상기 검사대상프로세스를 해킹프로세스로 판단하는 제3단계와;
    상기 보안프로세스가 상기 해킹프로세스의 고유 해쉬값을 계산하여 핵 차단기준과 비교하는 제4단계와;
    상기 보안 프로세스가 상기 제4단계의 비교 결과, 상기 해킹프로세스의 고유 해쉬값이 상기 핵 차단기준에 포함되면 상기 해킹프로세스의 실행을 바로 차단하고, 상기 해킹프로세스의 고유 해쉬값이 상기 핵 차단기준에 포함되지 않으면 상기 해킹프로세스를 신규 해킹프로세스로 판단하고 상기 신규 해킹프로세스가 초기 검출된 후 기설정된 조건의 시간이 경과되면 상기 신규 해킹프로세스의 실행을 차단하는 제5단계를 포함한 것을 특징으로 하는 해킹프로세스의 실행 차단방법.
  2. 제 1 항에 있어서, 상기 보안프로세스가 상기 제2단계의 비교 결과, 상기 검사대상프로세스의 패턴이 상기 핵 진단기준에 포함되지 않으면 상기 검사대상프로세스를 비해킹프로세스로 판단하고, 상기 검사대상프로세스의 실행을 허용하는 제6 단계를 더 포함한 것을 특징으로 하는 해킹프로세스의 실행 차단방법.
  3. 제 1 항에 있어서, 상기 제4단계는 메모리에 로드된 상기 해킹프로세스의 적어도 일부분의 해쉬값을 계산하여 상기 해킹프로세스의 고유 해쉬값으로 설정하는 것을 특징으로 하는 해킹프로세스의 실행 차단방법.
  4. 제 1 항에 있어서, 상기 제4단계는 상기 해킹프로세스를 실행시킨 파일의 적어도 일부분의 해쉬값을 계산하여 상기 해킹프로세스의 고유 해쉬값으로 설정하는 것을 특징으로 하는 해킹프로세스의 실행 차단방법.
  5. 제 1 항에 있어서, 상기 제5단계는,
    상기 보안 프로세스가 상기 제4단계의 비교 결과, 상기 해킹프로세스의 고유 해쉬값이 상기 핵 차단기준에 포함되지 않으면 상기 해킹프로세스를 신규 해킹프로세스로 판단하고 상기 신규 해킹프로세스의 고유 해쉬값을 보안서버에게 전송하는 것을 특징으로 하는 해킹프로세스의 실행 차단방법.
  6. 제 5 항에 있어서, 상기 보안 프로세스가 상기 신규 해킹프로세스의 고유 해쉬값을 암호화하여 상기 보안서버에게 전송하는 것을 특징으로 하는 해킹프로세스의 실행 차단방법.
  7. 제 5 항에 있어서, 상기 보안서버는 상기 신규 해킹프로세스가 초기 검출된 후 상기 신규 해킹프로세스의 검출 횟수가 임계값 이상이면 상기 신규 해킹프로세스의 고유 해쉬값을 상기 핵 차단기준에 추가하는 것을 특징으로 하는 해킹프로세스의 실행 차단방법.
  8. 제 5 항에 있어서, 상기 보안서버는 상기 신규 해킹프로세스가 초기 검출된 후 임계시간이 경과되면 상기 신규 해킹프로세스의 고유 해쉬값을 상기 핵 차단기준에 추가하는 것을 특징으로 하는 해킹프로세스의 실행 차단방법.
  9. 제 1 항에 있어서, 상기 제5단계는, 상기 보안 프로세스가 상기 해킹프로세스를 신규 해킹프로세스로 판단한 후 임계시간이 경과되면 상기 신규 해킹프로세스의 실행을 차단하는 것을 특징으로 하는 해킹프로세스의 실행 차단방법.
  10. 보안프로세스가 컴퓨터에서 실행중인 프로세스 중 검사대상프로세스를 선정하는 제1단계와;
    상기 보안프로세스가 검사대상프로세스의 고유 해쉬값을 계산하여 핵 차단기준과 비교하는 제2단계와;
    상기 보안프로세스가 상기 제2단계의 비교 결과, 상기 검사대상프로세스의 고유 해쉬값이 상기 핵 차단기준에 포함되면 상기 검사대상프로세스의 실행을 바로 차단하는 제3단계와;
    상기 보안프로세스가 상기 제2단계의 비교 결과, 상기 검사대상프로세스의 고유 해쉬값이 상기 핵 차단기준에 포함되지 않으면 상기 검사대상프로세스의 실행을 허용하고 상기 검사대상프로세스의 패턴을 추출하여 핵 진단기준과 비교하는 제4단계와;
    상기 보안프로세스가 상기 제4단계의 비교 결과, 상기 검사대상프로세스의 패턴이 상기 핵 진단기준에 포함되면 상기 검사대상프로세스를 신규 해킹프로세스로 판단하고 상기 신규 해킹프로세스의 고유 해쉬값을 보안서버에게 전송하고 상기 신규 해킹프로세스가 초기 검출된 후 기설정된 조건의 시간이 경과되면 상기 신규 해킹프로세스의 실행을 차단하는 제5단계를 포함한 것을 특징으로 하는 해킹프로세스의 실행 차단방법.
  11. 제 10 항에 있어서, 상기 보안서버는 상기 신규 해킹프로세스가 초기 검출된 후 상기 신규 해킹프로세스의 고유 해쉬값의 검출 횟수가 임계값 이상이면 상기 신규 해킹프로세스의 고유 해쉬값을 상기 핵 차단기준에 추가하는 것을 특징으로 하는 해킹프로세스의 실행 차단방법.
  12. 제 10 항에 있어서, 상기 보안서버는 상기 신규 해킹프로세스가 초기 검출된 후 임계시간이 경과되면 상기 신규 해킹프로세스의 고유 해쉬값을 상기 핵 차단기준에 추가하는 것을 특징으로 하는 해킹프로세스의 실행 차단방법.
  13. 제 10 항에 있어서, 상기 보안 프로세스가 상기 신규 해킹프로세스의 고유 해쉬값을 암호화하여 상기 보안서버에게 전송하는 것을 특징으로 하는 해킹프로세 스의 실행 차단방법.
  14. 보안프로세스가 컴퓨터에서 실행중인 프로세스 중 검사대상프로세스를 선정하는 제1단계와;
    상기 보안프로세스가 검사대상프로세스의 고유 해쉬값을 계산하여 핵 차단기준과 비교하는 제2단계와;
    상기 보안프로세스가 상기 제2단계의 비교 결과, 상기 검사대상프로세스의 고유 해쉬값이 상기 핵 차단기준에 포함되면 상기 검사대상프로세스의 실행을 바로 차단하는 제3단계와;
    상기 보안프로세스가 상기 제2단계의 비교 결과, 상기 검사대상프로세스의 고유 해쉬값이 상기 핵 차단기준에 포함되지 않으면 상기 검사대상프로세스의 실행을 허용하고 상기 검사대상프로세스의 패턴을 추출하여 핵 진단기준과 비교하는 제4단계와;
    상기 보안프로세스가 상기 제4단계의 비교 결과, 상기 검사대상프로세스의 패턴이 상기 핵 진단기준에 포함되면 임계시간 경과 후 상기 검사대상프로세스의 실행을 차단하는 제5단계를 포함한 것을 특징으로 하는 해킹프로세스의 실행 차단방법.
  15. 제 10 항 내지 제 14 항 중 어느 한 항에 있어서, 상기 제2단계는 메모리에 로드된 상기 검사대상프로세스의 적어도 일부분의 해쉬값을 계산하여 상기 검사대 상프로세스의 고유 해쉬값으로 설정하는 것을 특징으로 하는 해킹프로세스의 실행 차단방법.
  16. 제 10 항 내지 제 14 항 중 어느 한 항에 있어서, 상기 제2단계는 상기 검사대상프로세스를 실행시킨 파일의 적어도 일부분의 해쉬값을 계산하여 상기 검사대상프로세스의 고유 해쉬값으로 설정하는 것을 특징으로 하는 해킹프로세스의 실행 차단방법.
KR1020090083015A 2009-09-03 2009-09-03 해킹 프로세스의 실행 차단방법 Active KR101042857B1 (ko)

Priority Applications (8)

Application Number Priority Date Filing Date Title
KR1020090083015A KR101042857B1 (ko) 2009-09-03 2009-09-03 해킹 프로세스의 실행 차단방법
GB1202862.7A GB2485505B (en) 2009-09-03 2010-07-29 Method for blocking the execution of a hacking process
PCT/KR2010/004982 WO2011027976A2 (ko) 2009-09-03 2010-07-29 해킹 프로세스의 실행 차단방법
US13/394,112 US20120254998A1 (en) 2009-09-03 2010-07-29 Method for blocking the execution of a hacking process
DE112010003525T DE112010003525T5 (de) 2009-09-03 2010-07-29 Verfahren zum Sperren der Ausführung eines Hackprozesses
JP2012527810A JP2013504113A (ja) 2009-09-03 2010-07-29 ハッキングプロセスの実行遮断方法
CN2010800385678A CN102483783A (zh) 2009-09-03 2010-07-29 黑客攻击处理的执行阻断方法
TW099127947A TW201109970A (en) 2009-09-03 2010-08-20 Method for blocking execution of hacking process

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090083015A KR101042857B1 (ko) 2009-09-03 2009-09-03 해킹 프로세스의 실행 차단방법

Publications (2)

Publication Number Publication Date
KR20110024850A KR20110024850A (ko) 2011-03-09
KR101042857B1 true KR101042857B1 (ko) 2011-06-20

Family

ID=43649743

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090083015A Active KR101042857B1 (ko) 2009-09-03 2009-09-03 해킹 프로세스의 실행 차단방법

Country Status (8)

Country Link
US (1) US20120254998A1 (ko)
JP (1) JP2013504113A (ko)
KR (1) KR101042857B1 (ko)
CN (1) CN102483783A (ko)
DE (1) DE112010003525T5 (ko)
GB (1) GB2485505B (ko)
TW (1) TW201109970A (ko)
WO (1) WO2011027976A2 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101515493B1 (ko) * 2013-09-10 2015-05-11 경북대학교 산학협력단 프로세스 모니터링과 키보드 잠금을 이용한 프로세스 관리 방법 및 프로세스 관리 장치

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101446525B1 (ko) * 2013-09-27 2014-10-06 주식회사 유라코퍼레이션 차량 해킹 방지 시스템, 방법, 및 상기 방법을 실행시키기 위한 컴퓨터 판독 가능한 프로그램을 기록한 매체
KR102175651B1 (ko) * 2018-12-24 2020-11-06 넷마블 주식회사 해킹툴 탐지 방법 및 이를 수행하는 사용자 단말 및 서버

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070029540A (ko) * 2005-09-10 2007-03-14 배기봉 특수 설계된 전자 mark 의 파일 삽입 및 파일 기본 속성기반으로 하는 신종 악성코드 탐지/제거 기능 및 패치 관리기능, 조기 경보 기능을 제공하는 시스템 종합 보안솔루션 구현 기법
US20070094178A1 (en) 2005-08-19 2007-04-26 Electronics And Telecommunications Research Institute Method and apparatus for storing pattern matching data and pattern matching method using the same
KR20080029602A (ko) * 2006-09-29 2008-04-03 한국전자통신연구원 기밀문서 유출 방지 방법 및 장치
KR100841737B1 (ko) 2006-03-27 2008-06-27 주식회사 아라기술 인터넷 컨텐츠의 전송 관리 방법 및 시스템

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6094731A (en) * 1997-11-24 2000-07-25 Symantec Corporation Antivirus accelerator for computer networks
US7882555B2 (en) * 2001-03-16 2011-02-01 Kavado, Inc. Application layer security method and system
US6944772B2 (en) * 2001-12-26 2005-09-13 D'mitri Dozortsev System and method of enforcing executable code identity verification over the network
KR100483700B1 (ko) * 2003-12-03 2005-04-19 주식회사 잉카인터넷 온라인 게임 클라이언트 보안을 위한 실시간 프로세스 불법 접근 및 조작 차단 방법
US7698744B2 (en) * 2004-12-03 2010-04-13 Whitecell Software Inc. Secure system for allowing the execution of authorized computer program code
US7725703B2 (en) * 2005-01-07 2010-05-25 Microsoft Corporation Systems and methods for securely booting a computer with a trusted processing module
CN100450046C (zh) * 2006-08-30 2009-01-07 北京启明星辰信息技术有限公司 一种结合病毒检测与入侵检测的方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070094178A1 (en) 2005-08-19 2007-04-26 Electronics And Telecommunications Research Institute Method and apparatus for storing pattern matching data and pattern matching method using the same
KR20070029540A (ko) * 2005-09-10 2007-03-14 배기봉 특수 설계된 전자 mark 의 파일 삽입 및 파일 기본 속성기반으로 하는 신종 악성코드 탐지/제거 기능 및 패치 관리기능, 조기 경보 기능을 제공하는 시스템 종합 보안솔루션 구현 기법
KR100841737B1 (ko) 2006-03-27 2008-06-27 주식회사 아라기술 인터넷 컨텐츠의 전송 관리 방법 및 시스템
KR20080029602A (ko) * 2006-09-29 2008-04-03 한국전자통신연구원 기밀문서 유출 방지 방법 및 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101515493B1 (ko) * 2013-09-10 2015-05-11 경북대학교 산학협력단 프로세스 모니터링과 키보드 잠금을 이용한 프로세스 관리 방법 및 프로세스 관리 장치

Also Published As

Publication number Publication date
GB201202862D0 (en) 2012-04-04
CN102483783A (zh) 2012-05-30
GB2485505A (en) 2012-05-16
KR20110024850A (ko) 2011-03-09
WO2011027976A2 (ko) 2011-03-10
GB2485505B (en) 2014-12-03
TW201109970A (en) 2011-03-16
US20120254998A1 (en) 2012-10-04
JP2013504113A (ja) 2013-02-04
WO2011027976A3 (ko) 2011-04-28
DE112010003525T5 (de) 2012-10-04

Similar Documents

Publication Publication Date Title
Mu et al. Understanding the reproducibility of crowd-reported security vulnerabilities
CN105989283B (zh) 一种识别病毒变种的方法及装置
CN110414239B (zh) 一种软件供应链安全分析方法及装置
Zhang et al. Identifying security critical properties for the dynamic verification of a processor
CN110619210A (zh) 一种模拟器检测方法及系统
JP6778761B2 (ja) ハイブリッドプログラムバイナリ特徴の抽出及び比較
US8561178B2 (en) Chipset based cheat detection platform for online applications
CN105641930B (zh) 游戏数据的校验方法及装置
KR101042857B1 (ko) 해킹 프로세스의 실행 차단방법
CN118215917A (zh) 计算机驱动程序的漏洞分析
Karkallis et al. Detecting video-game injectors exchanged in game cheating communities
CN113704749A (zh) 一种恶意挖矿检测处理方法和装置
KR101237161B1 (ko) 온라인 게임의 비공개 봇 검출방법
Stuckman et al. A testbed for the evaluation of web intrusion prevention systems
Kaiser et al. Fides: Remote anomaly-based cheat detection using client emulation
Collins et al. Anti-cheat: Attacks and the effectiveness of client-side defences
KR100457405B1 (ko) 타이머 api 후킹 여부 판단방식에 의한 스피드 핵 사용여부 검출방법
Anwar et al. Extracting threat intelligence from cheat binaries for anti-cheating
CN108875361A (zh) 一种监控程序的方法、装置、电子设备及存储介质
Price et al. House rules: Designing the scoring algorithm for cyber grand challenge
Barakat et al. Interactive Application Security Testing with Hybrid Fuzzing and Statistical Estimators
KR101934381B1 (ko) 해킹툴 탐지 방법 및 이를 수행하는 사용자 단말 및 서버
Yee et al. A static and dynamic visual debugger for malware analysis
Maggio et al. Seance: Divination of tool-breaking changes in forensically important binaries
KR101480244B1 (ko) 클래스 단위의 시그니처를 이용한 악성 어플리케이션 탐지 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20090903

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20110211

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20110531

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20110614

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20110614

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20140626

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20140626

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20180531

Year of fee payment: 8

PR1001 Payment of annual fee

Payment date: 20180531

Start annual number: 8

End annual number: 8

PR1001 Payment of annual fee

Payment date: 20200615

Start annual number: 10

End annual number: 10

PR1001 Payment of annual fee

Payment date: 20210531

Start annual number: 11

End annual number: 11

PR1001 Payment of annual fee

Payment date: 20220531

Start annual number: 12

End annual number: 12

PR1001 Payment of annual fee

Payment date: 20230531

Start annual number: 13

End annual number: 13

PR1001 Payment of annual fee

Payment date: 20240814

Start annual number: 14

End annual number: 14

PR1001 Payment of annual fee

Payment date: 20250616

Start annual number: 15

End annual number: 15