KR101174751B1 - 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법 - Google Patents

커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법 Download PDF

Info

Publication number
KR101174751B1
KR101174751B1 KR1020100093308A KR20100093308A KR101174751B1 KR 101174751 B1 KR101174751 B1 KR 101174751B1 KR 1020100093308 A KR1020100093308 A KR 1020100093308A KR 20100093308 A KR20100093308 A KR 20100093308A KR 101174751 B1 KR101174751 B1 KR 101174751B1
Authority
KR
South Korea
Prior art keywords
driver
registry
event
function
kernel
Prior art date
Application number
KR1020100093308A
Other languages
English (en)
Other versions
KR20120031745A (ko
Inventor
정현철
임채태
오주형
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020100093308A priority Critical patent/KR101174751B1/ko
Priority to US12/942,700 priority patent/US20120079594A1/en
Publication of KR20120031745A publication Critical patent/KR20120031745A/ko
Application granted granted Critical
Publication of KR101174751B1 publication Critical patent/KR101174751B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법에 관한 것으로서, 컴퓨터의 로딩 시점에서 프로세스가 생성되는 경우 또는 프로세스가 삭제되는 경부 호출하는 PsSetCreateProcessNotifyRoutine 함수 내부의 커널드라이버에 존재하는 함수를 콜백(Callback)함수로 등록하여, 프로세스의 생성 및 종료에 따른 프로세스 이벤트를 리턴(return)받는 프로세스 모니터 드라이버; 내부에 존재하는 함수를 드라이버 로딩 시점에서 레지스트리 접근 및 감시를 위해 호출하는 CmRegisterCallback 함수 내부에 콜백함수로 등록하여, 레지스트리 이벤트를 리턴받는 레지스트리 모니터 드라이버; 윈도우 시스템에서 존재하는 Filter Manager에 커널드라이버 자체를 mini filter 드라이버로 등록하여 파일관련 입출력 이벤트를 리턴받는 파일 모니터 드라이버; 및 프로세스 이벤트, 레지스트리 이벤트 및 입출력 이벤트를 커널 드라이버와 응용 프로그램이 동시에 접근할 수 있는 공유 메모리를 통해 인가받아 기 설정된 모니터링 대상 프로세스의 데이터만을 선별하여 기 정의된 공유 메모리 영역에 저장하는 행위 이벤트 컬렉터;를 포함한다.

Description

커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법{MALWARE AUTO-ANALYSIS SYSTEM AND METHOD USING KERNEL CALL-BACK MECHANISM}
본 발명은 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법에 관한 것으로서, 더욱 상세하게는 별도의 후킹 코드 삽입없이 커널 매니저에 등록된 콜백 함수를 통해 행위 모니터링이 가능하기 때문에 성능상의 문제없이 커널레벨 행위 분석을 제공하는 기술에 관한 것이다.
도 1에 도시된 바와 같이, 최근 신종/변종 악성코드의 수가 급격히 증가함에 따라, 7.7 DDoS 공격과 같이 악성코드를 이용한 사이버 공격의 피해가 지속적으로 증가하고 있으며, 금전적인 피해 유발로 그 심각성이 증대되고 있다.
또한, 수집되는 악성코드의 80% 이상이 분석 방해 및 지연을 목적으로 커널 루트킷, 실행압축, DLL/바이너리 코드 삽입 등을 사용하고 있어, 악성코드에 대한 신속한 대응이 어려운 실정이다.
급증하고 있는 악성코드 대응하기 위해 대부분의 안티바이러스 벤더들은 악성코드 행위 분석 자동화 시스템을 구축하여, 빠른 시간에 치명적 위협 악성코드를 우선적으로 선별해서 대응하고 있다. 악성코드 자동 분석을 위한 기술로 윈도우 시스템 후킹 기법을 이용한 분석 기술이 일반적으로 사용되고 있다.
응용 레벨 API 후킹을 이용한 악성코드 자동 분석 기술은 윈도우 커널에 대한 전문적인 지식 없이도 빠른 시스템 구축이 가능한 장점이 있으나, 커널레벨 구동 악성코드 분석에 어려움이 있다.
또한, 커널레벨 악성코드 행위 분석 기술은 SSDT, IDT 등 윈도우 커널 오브젝트에 행위 모니터링을 위한 후킹코드(Hooking Code)를 삽입하기 때문에 커널레벨 구동 악성코드에 대해서도 분석할 수 있으나, 동일 후킹기술을 사용하는 악성코드의 행위 분석이 어렵고, 시스템 후킹에 따른 성능 상의 문제가 발생한다.
지금까지 제안된 악성코드 행위 분석 기술은 악성코드가 호출한 API를 모니터링 한 다음 API 호출 패턴을 분석하여 행위를 탐지하는 기술에 중점을 두고 연구되어 왔다. 그러나, 대부분의 연구들이 커널 루트킷 기능 보유 악성코드 분석에 어려움이 있으며, 대량의 악성코드 분석에 따른 성능 문제가 발생한다.
도 2에 도시된 바와 같이, Sunbelt사의 CWSandbox는 악성코드를 가상환경 기반 분석 환경에서 실행하고, 악성 프로세스의 쓰레드로 모니터링 모듈인 CWMonitor.dll파일을 삽입한다. 삽입 이 후 악성코드가 실행되는 과정에서 발생하는 윈도우 API 호출 정보를 API후킹 기법을 이용하여 가로 챈 다음, 파일, 레지스트리, 프로세스 생성 이벤트를 분석한다. 그러나, Win32 API 호출을 이용하기 때문에 윈도우 커널 영역에서 IRP 메시지 생성, Native API 호출 등과 같은 커널 레벨 구동 악성코드 분석에 어려움이 있다.
한편, 도 3에 도시된 바와 같은 Ikarus software사의 TTAnalyze와 오픈 프로젝트의 ZeroWine은 QEMU에서 처리하는 악성코드의명령어(Instruction)를 모니터링해서 호출 API정보를 추출한다. QEMU는 악성코드의 명령어를 하나씩 번역해서 실제 CPU에서 실행되는 것처럼 가상으로 실행하게 된다. 따라서 명령어 순차 실행에 따른 분석 시간 지연이 발생한다.
그리고, 도 4에 도시된 바와 같은 Artem Dinaburge 등이 제안한 Ether는 악성코드의 가상환경 탐지 기능 무력화에 중점을 두고 개발된 도구로, 현재는 악성코드 행위 모니터링만 가능하다. Ether는 Intel-VT기술이 적용된 CPU와 XEN 3.0를 이용해서 하드웨어 기반 가상화 시스템에서 악성코드를 실행하기 때문에 다양한 가상환경탐지 무력화 기능을 제공한다. 그러나, 악성코드 실행을 위해 발생하는 모든 명령어(Insrturction)을 분석 및 필터링해서 파일쓰기등과 같이 특정행위 모니터링에 복잡함이 존재한다.
본 발명의 목적은, 지능형 분석 방해 기법이 적용된 악성코드를 커널레벨에서 모니터링할 수 있으며, 행위 모니터링에 따른 시스템 성능 저하를 막을 수 있는 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템을 제공함에 있다.
본 발명은 구체적으로, 윈도우 커널에 존재하는 I/O Filter, 프로세스, 레지스트리 등과 같은 커널 매니저에 콜백 함수를 등록하여 발생하는 콜백 메시지로 행위 모니터링을 수행하되, 후킹코드 삽입에 따른 분석 오류가 발생하지 않으며, 성능 저하없이 커널레벨에서 행위 모니터링을 제공함에 그 특징적인 목적이 있다.
이러한 기술적 과제를 달성하기 위한 본 발명의 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템은, 컴퓨터의 로딩 시점에서 프로세스가 생성되는 경우 또는 프로세스가 삭제되는 경부 호출하는 PsSetCreateProcessNotifyRoutine 함수 내부의 커널드라이버에 존재하는 함수를 콜백(Callback)함수로 등록하여, 프로세스의 생성 및 종료에 따른 프로세스 이벤트를 리턴(return)받는 프로세스 모니터 드라이버; 내부에 존재하는 함수를 드라이버 로딩 시점에서 레지스트리 접근 및 감시를 위해 호출하는 CmRegisterCallback 함수 내부에 콜백함수로 등록하여, 레지스트리 이벤트를 리턴받는 레지스트리 모니터 드라이버; 윈도우 시스템에서 존재하는 Filter Manager에 커널드라이버 자체를 mini filter 드라이버로 등록하여 파일관련 입출력 이벤트를 리턴받는 파일 모니터 드라이버; 및 프로세스 이벤트, 레지스트리 이벤트 및 입출력 이벤트를 커널 드라이버와 응용 프로그램이 동시에 접근할 수 있는 공유 메모리를 통해 인가받아 기 설정된 모니터링 대상 프로세스의 데이터만을 선별하여 기 정의된 공유 메모리 영역에 저장하는 행위 이벤트 컬렉터;를 포함한다.
그리고, 상술한 시스템을 기반으로 하는 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법은, 프로세스 모니터 드라이버가 컴퓨터 로딩 시점에서 프로세스가 생성되는 경우 또는 프로세스가 삭제되는 경부 호출하는 PsSetCreateProcessNotifyRoutine 함수 내부의 커널드라이버에 존재하는 함수를 콜백(Callback)함수로 등록하는 (a) 단계; 레지스트리 모니터 드라이버가 드라이버 로딩 시점에서 레지스트리 접근 및 감시를 위해 호출하는 CmRegisterCallback 함수 내부에 레지스트리 모니터 드라이버 내부에 존재하는 함수를 콜백함수로 등록하는 (b) 단계; 파일 모니터 드라이버가 윈도우 시스템에서 존재하는 Filter Manager에 커널드라이버 자체를 mini filter 드라이버로 등록하는 (c) 단계; 및 행위 이벤트 컬렉터가 프로세스 모니터 드라이버로부터 프로세스 이벤트를 인가받고, 레지스트리 모니터 드라이버로부터 레지스트리 이벤트를 인가받으며, 파일 모니터 드라이버로부터 입출력 이벤트를 인가받는 (d) 단계;를 포함한다.
상기와 같은 본 발명에 따르면, 지능형 분석 방해 기법이 적용된 악성코드를 커널레벨에서 모니터링함은 물론, 행위 모니터링에 따른 시스템 성능 저하를 막을 수 있는 커널 콜백 매커니즘을 이용하여 악성코드를 자동으로 분석하는 효과가 있다.
그리고, 본 발명에 따르면, 윈도우 커널에 존재하는 I/O Filter, 프로세스, 레지스트리 등과 같은 커널 매니저에 콜백 함수를 등록하여 발생하는 콜백 메시지로 행위 모니터링을 수행함으로써, 후킹코드 삽입에 따른 분석 오류가 발생하지 않으며, 성능 저하 없이 커널레벨에서 행위 모니터링을 제공하는 효과가 있다.
도 1은 최근의 악성코드 수집 통계를 도시한 도면.
도 2는 종래의 CWSandbox 시스템을 도시한 구성도.
도 3은 종래의 TTAnalyze 시스템을 도시한 구성도.
도 4는 종래의 Ether 시스템을 도시한 구성도.
도 5는 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템을 도시한 구성도.
도 6은 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템의 콜백 메커니즘 모듈 구성도.
도 7은 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템의 모니터링 성능을 도시한 도면.
도 8 은 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법을 도시한 순서도.
도 9 는 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법의 제S40단계 이후 과정을 도시한 순서도.
본 발명의 구체적인 특징 및 이점들은 첨부도면에 의거한 다음의 상세한 설명으로 더욱 명백해질 것이다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 발명자가 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야 할 것이다. 또한, 본 발명에 관련된 공지 기능 및 그 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는, 그 구체적인 설명을 생략하였음에 유의해야 할 것이다.
도 5 및 도 6에 도시된 바와 같이 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템(100)은 프로세스 모니터 드라이버(110), 레지스트리 모니터 드라이버(120), 파일 모니터 드라이버(130) 및 행위 이벤트 컬렉터(140)를 포함하여 구성된다.
구체적으로, 프로세스 모니터 드라이버(Process Monitor Driver)(110)는 컴퓨터의 로딩 시점에서 프로세스가 생성되는 경우 또는 프로세스가 삭제되는 경부 호출하는 PsSetCreateProcessNotifyRoutine 함수 내부의 커널드라이버에 존재하는 함수를 콜백(Callback)함수로 등록하여, 프로세스 생성 및 종료 이벤트를 전달받는다.
또한, 레지스트리 모니터 드라이버(Registry Monitor Driver)(120)는 내부에 존재하는 함수를 드라이버 로딩 시점에서 레지스트리 접근 및 감시를 위해 호출하는 CmRegisterCallback 함수 내부에 콜백함수로 등록하여, 레지스트리 이벤트를 전달받는다.
또한, 파일 모니터 드라이버(File Monitor Driver)(130)는 윈도우 시스템에서 존재하는 Filter Manager에 커널드라이버 자체를 mini filter 드라이버로 등록하여 파일관련 입출력(I/O) 이벤트를 전달받는다.
그리고, 행위 이벤트 컬렉터(Behavior Event Collector)(140)는 상기 프로세스 이벤트, 레지스트리 이벤트 및 입출력 이벤트(이하, '모니터링 데이터')를 커널 드라이버와 응용 프로그램이 동시에 접근할 수 있는 공유 메모리를 통해 인가받되, 상기 모니터링 데이터들 중에 기 설정된 모니터링 대상 프로세스의 데이터만을 선별하여 기 정의된 공유 메모리 영역에 저장한다.
또한, 행위 이벤트 컬렉터(140)는 기 설정된 주기마다 공유 메모리 영역에 접근하여 새롭게 저장된 데이터가 있는지 검사하되, 검사결과 새롭게 저장된 데이터가 존재하는 경우, 프로세스 모니터 드라이버(110), 레지스트리 모니터 드라이버(120) 및 파일 모니터 드라이버(130) 각각으로부터 모니터링 데이터를 독출한다.
이하, 도 7을 참조하여 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템의 모니터링 성능에 대해 살피면 아래와 같다.
본 발명에 따른 성능 테스트는, 악성코드 공유 커뮤니티등을 통해 수집된 최신 악성코드 108종의 상용/오픈 분석시스템과 행위 미탐 및 오탐 분석 성능을 비교하였다.
Ikarus software사의 TTAnalyze의 경우, 업그레이드 버전인 Anubis로 대체하였으며, Ether는 분석 기능을 제공하지 않아, ThreatExpert, Botwall로 대신하였다. 또한, 5종 악성코드 분석 시스템의 분석 결과 비교를 통해 3종이상의 분석 시스템에서 동일하게 탐지된 행위를 기준으로 미탐 및 오탐 건수를 측정하였다.
예를 들어, 3개 이상의 분석시스템에서 탐지된 A 악성코드의 파일 이벤트 "C:\malware.exe 생성"을 기준으로 이를 미 탐지한 나머지 2개 분석시스템의 미탐 건수를 1 증가시켰으며, 또한 동일 악성코드 A의 파일 이벤트를 "C:\tests.exe 생성"으로 분석했을 경우 오탐 건수를 1 증가 시킨다.
즉, 도 7에 도시된 성능 평가 결과에서 보는 바와 같이, 본 발명에서 제안한 커널 매커니즘을 이용한 악성코드 행위 분석 기술이 타 분석 시스템에 비해 낮은 미탐과 오탐을 보임을 확인할 수 있다.
이하, 도 8을 참조하여 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법에 대해 살피면 아래와 같다.
먼저, 도 8에 도시된 바와 같이, 프로세스 모니터 드라이버(110)가 컴퓨터 로딩 시점에서 프로세스가 생성되는 경우 또는 프로세스가 삭제되는 경부 호출하는 PsSetCreateProcessNotifyRoutine 함수 내부의 커널드라이버에 존재하는 함수를 콜백(Callback)함수로 등록한다(S10).
이어서, 레지스트리 모니터 드라이버(120)가 드라이버 로딩 시점에서 레지스트리 접근 및 감시를 위해 호출하는 CmRegisterCallback 함수 내부에 레지스트리 모니터 드라이버 내부에 존재하는 함수를 콜백함수로 등록한다(S20).
뒤이어, 파일 모니터 드라이버(130)가 윈도우 시스템에서 존재하는 Filter Manager에 커널드라이버 자체를 mini filter 드라이버로 등록한다(S30).
그리고, 행위 이벤트 컬렉터(140)가 프로세스 모니터 드라이버(110)로부터 프로세스 이벤트를 인가받고, 레지스트리 모니터 드라이버(120)로부터 레지스트리 이벤트를 인가받으며, 파일 모니터 드라이버(130)로부터 입출력 이벤트를 인가받는다(S40).
도 9를 참조하여 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법의 제S40단계 이후 과정을 살피면 아래와 같다.
행위 이벤트 컬렉터(140)가 프로세스 이벤트, 레지스트리 이벤트 및 입출력 이벤트(모니터링 데이터)들 중에 기 설정된 모니터링 대상 프로세스의 데이터만을 선별하여 기 정의된 공유 메모리 영역에 저장한다(S50).
그리고, 행위 이벤트 컬렉터(140)가 기 설정된 주기마다 공유 메모리 영역에 접근하여 새롭게 저장된 데이터가 있는지 검사하되, 검사결과 새롭게 저장된 데이터가 존재하는 경우, 프로세스 모니터 드라이버(110), 레지스트리 모니터 드라이버(120) 및 파일 모니터 드라이버(130) 각각으로부터 모니터링 데이터를 독출하는 제S40단계로 절차를 이행한다(S60).
이상으로 본 발명의 기술적 사상을 예시하기 위한 바람직한 실시예와 관련하여 설명하고 도시하였지만, 본 발명은 이와 같이 도시되고 설명된 그대로의 구성 및 작용에만 국한되는 것이 아니며, 기술적 사상의 범주를 일탈함이 없이 본 발명에 대해 다수의 변경 및 수정이 가능함을 당업자들은 잘 이해할 수 있을 것이다. 따라서 그러한 모든 적절한 변경 및 수정과 균등 물들도 본 발명의 범위에 속하는 것으로 간주되어야 할 것이다.
100: 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템
110: 프로세스 모니터 드라이버 120: 레지스트리 모니터 드라이버
130: 파일 모니터 드라이버 140: 행위 이벤트 컬렉터

Claims (5)

  1. 삭제
  2. 삭제
  3. 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법에 있어서,
    (a) 프로세스 모니터 드라이버가 컴퓨터 로딩 시점에서 프로세스가 생성되는 경우 또는 프로세스가 삭제되는 경부 호출하는 PsSetCreateProcessNotifyRoutine 함수 내부의 커널드라이버에 존재하는 함수를 콜백(Callback)함수로 등록하는 단계;
    (b) 레지스트리 모니터 드라이버가 드라이버 로딩 시점에서 레지스트리 접근 및 감시를 위해 호출하는 CmRegisterCallback 함수 내부의 레지스트리 모니터 드라이버 내부에 존재하는 함수를 콜백함수로 등록하는 단계;
    (c) 파일 모니터 드라이버가 윈도우 시스템에서 존재하는 Filter Manager에 커널드라이버 자체를 mini filter 드라이버로 등록하는 단계;
    (d) 행위 이벤트 컬렉터가 상기 프로세스 모니터 드라이버로부터 프로세스 이벤트를 인가받고, 상기 레지스트리 모니터 드라이버로부터 레지스트리 이벤트를 인가받으며, 상기 파일 모니터 드라이버로부터 입출력 이벤트를 인가받는 단계; 및
    (e) 상기 행위 이벤트 컬렉터가 상기 프로세스 이벤트, 레지스트리 이벤트 및 입출력 이벤트(모니터링 데이터)들 중에 기 설정된 모니터링 대상 프로세스의 데이터만을 선별하여 기 정의된 공유 메모리 영역에 저장하는 단계;를 포함하되,
    (f) 상기 행위 이벤트 컬렉터가 기 설정된 주기마다 공유 메모리 영역에 접근하여 새롭게 저장된 데이터가 있는지 검사하되, 검사결과 새롭게 저장된 데이터가 존재하는 경우, 상기 프로세스 모니터 드라이버, 레지스트리 모니터 드라이버 및 파일 모니터 드라이버 각각으로부터 모니터링 데이터를 독출하는 상기 (d) 단계로 절차를 이행하는 단계;를 더 포함하는 것을 특징으로 하는 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법.
  4. 삭제
  5. 삭제
KR1020100093308A 2010-09-27 2010-09-27 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법 KR101174751B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020100093308A KR101174751B1 (ko) 2010-09-27 2010-09-27 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법
US12/942,700 US20120079594A1 (en) 2010-09-27 2010-11-09 Malware auto-analysis system and method using kernel callback mechanism

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100093308A KR101174751B1 (ko) 2010-09-27 2010-09-27 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법

Publications (2)

Publication Number Publication Date
KR20120031745A KR20120031745A (ko) 2012-04-04
KR101174751B1 true KR101174751B1 (ko) 2012-08-17

Family

ID=45872090

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100093308A KR101174751B1 (ko) 2010-09-27 2010-09-27 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법

Country Status (2)

Country Link
US (1) US20120079594A1 (ko)
KR (1) KR101174751B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210066474A (ko) * 2019-11-28 2021-06-07 주식회사 안랩 악성 커널 모듈 탐지 장치 및 악성 커널 모듈 탐지 방법

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9087199B2 (en) 2011-03-31 2015-07-21 Mcafee, Inc. System and method for providing a secured operating system execution environment
US8813227B2 (en) 2011-03-29 2014-08-19 Mcafee, Inc. System and method for below-operating system regulation and control of self-modifying code
US9038176B2 (en) 2011-03-31 2015-05-19 Mcafee, Inc. System and method for below-operating system trapping and securing loading of code into memory
US9317690B2 (en) 2011-03-28 2016-04-19 Mcafee, Inc. System and method for firmware based anti-malware security
US9032525B2 (en) * 2011-03-29 2015-05-12 Mcafee, Inc. System and method for below-operating system trapping of driver filter attachment
US9262246B2 (en) 2011-03-31 2016-02-16 Mcafee, Inc. System and method for securing memory and storage of an electronic device with a below-operating system security agent
US9043903B2 (en) 2012-06-08 2015-05-26 Crowdstrike, Inc. Kernel-level security agent
WO2014015339A1 (en) * 2012-07-20 2014-01-23 Par Technology Corporation Communications interface between two non-complimentary communication devices
US9430646B1 (en) * 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
WO2015041693A1 (en) 2013-09-23 2015-03-26 Hewlett-Packard Development Company, L.P. Injection of data flow control objects into application processes
US20150113644A1 (en) * 2013-10-21 2015-04-23 Trusteer, Ltd. Exploit Detection/Prevention
US10289405B2 (en) 2014-03-20 2019-05-14 Crowdstrike, Inc. Integrity assurance and rebootless updating during runtime
US9509708B2 (en) * 2014-12-02 2016-11-29 Wontok Inc. Security information and event management
CN104766007B (zh) * 2015-03-27 2017-07-21 杭州安恒信息技术有限公司 一种基于文件系统过滤驱动实现沙箱快速恢复的方法
US10474813B1 (en) * 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
CN104731684B (zh) * 2015-04-09 2017-06-27 武汉大学 一种基于驱动过滤技术的动态文件监控和保护系统
US10339316B2 (en) 2015-07-28 2019-07-02 Crowdstrike, Inc. Integrity assurance through early loading in the boot phase
US20170195364A1 (en) * 2016-01-06 2017-07-06 Perception Point Ltd. Cyber security system and method
KR101662162B1 (ko) * 2016-03-18 2016-10-10 주식회사 블랙포트시큐리티 악성 코드의 감염 경로 역추적을 위한 사용자 행위 검출 방법
CN106169046A (zh) * 2016-07-04 2016-11-30 北京金山安全软件有限公司 防止消息钩子注入的方法、装置和终端设备
KR101865238B1 (ko) * 2016-12-13 2018-06-07 주식회사 엔피코어 악성 코드 차단 장치 및 이의 동작 방법
US10387228B2 (en) 2017-02-21 2019-08-20 Crowdstrike, Inc. Symmetric bridge component for communications between kernel mode and user mode
US10574680B2 (en) 2017-05-12 2020-02-25 Teachers Insurance And Annuity Association Of America Malware detection in distributed computer systems
US10713388B2 (en) 2017-05-15 2020-07-14 Polyport, Inc. Stacked encryption
CN107643945A (zh) * 2017-08-16 2018-01-30 南京南瑞集团公司 一种Windows xp系统下监控进程创建和销毁的方法
CN108076072B (zh) * 2018-01-16 2020-02-18 杭州电子科技大学 一种针对Web异构冗余系统的动态切换方法
CN108229171B (zh) * 2018-02-11 2023-05-12 腾讯科技(深圳)有限公司 驱动程序处理方法、装置及存储介质
KR102146882B1 (ko) * 2018-11-12 2020-08-21 주식회사 안랩 메시지 모니터링 장치 및 방법
TWI791929B (zh) * 2019-11-28 2023-02-11 瑞昱半導體股份有限公司 通用分析裝置與方法
US11784661B2 (en) * 2019-12-18 2023-10-10 Somma, Inc. Method for compressing behavior event in computer and computer device therefor
WO2021187996A1 (ru) * 2020-03-19 2021-09-23 Айкьюпи Текнолоджи, Элтиди Способ и система блокировки потенциально нежелательного программного обеспечения
CN112597492B (zh) * 2020-12-24 2023-09-19 浙大网新科技股份有限公司 一种基于Windows内核的二进制可执行文件更改监测方法
CN112906000B (zh) * 2021-03-03 2024-02-23 深信服科技股份有限公司 一种程序访问方法、装置、设备及可读存储介质
CN113051550A (zh) * 2021-03-30 2021-06-29 深信服科技股份有限公司 一种终端设备及其防护方法、装置和可读存储介质
CN113612622B (zh) * 2021-06-28 2023-01-24 苏州浪潮智能科技有限公司 一种网络操作系统下各模块告警方法、装置
CN115600204A (zh) * 2022-10-26 2023-01-13 安芯网盾(北京)科技有限公司(Cn) 一种检测shellcode恶意代码的方法和系统及计算机设备
CN115543463A (zh) * 2022-10-26 2022-12-30 安芯网盾(北京)科技有限公司 一种检测傀儡进程创建的方法及系统
CN115795462B (zh) * 2022-12-07 2023-06-16 安芯网盾(北京)科技有限公司 Linux内核模块执行进程的检测方法及装置
CN116204883B (zh) * 2023-01-11 2023-08-22 安芯网盾(北京)科技有限公司 一种基于Linux内核的文件自删除的检测与阻断方法和系统
CN115794564A (zh) * 2023-02-07 2023-03-14 北京江民新科技术有限公司 进程监视方法和计算机可读存储介质
CN116204336B (zh) * 2023-02-16 2023-09-22 中国人民解放军61660部队 一种基于注册表回调机制的用户态核心态同步方法与系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6993603B2 (en) * 2002-12-09 2006-01-31 Microsoft Corporation Managed file system filter model and architecture
US8006088B2 (en) * 2005-08-18 2011-08-23 Beyondtrust Corporation Methods and systems for network-based management of application security
US8566585B2 (en) * 2008-07-14 2013-10-22 Nyotron Information Security Ltd. System and a method for processing system calls in a computerized system that implements a kernel
US8307246B2 (en) * 2008-10-29 2012-11-06 Aternity Information Systems Ltd. Real time monitoring of computer for determining speed of various processes
US8402553B2 (en) * 2009-10-30 2013-03-19 International Business Machines Corporation Updating an operating system of a computer system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210066474A (ko) * 2019-11-28 2021-06-07 주식회사 안랩 악성 커널 모듈 탐지 장치 및 악성 커널 모듈 탐지 방법
KR102298219B1 (ko) * 2019-11-28 2021-09-06 주식회사 안랩 악성 커널 모듈 탐지 장치 및 악성 커널 모듈 탐지 방법

Also Published As

Publication number Publication date
KR20120031745A (ko) 2012-04-04
US20120079594A1 (en) 2012-03-29

Similar Documents

Publication Publication Date Title
KR101174751B1 (ko) 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법
US11625485B2 (en) Method of malware detection and system thereof
US10083294B2 (en) Systems and methods for detecting return-oriented programming (ROP) exploits
EP3039608B1 (en) Hardware and software execution profiling
US10460099B2 (en) System and method of detecting malicious code in files
RU2645268C2 (ru) Сложное классифицирование для выявления вредоносных программ
US8516589B2 (en) Apparatus and method for preventing virus code execution
US9852295B2 (en) Computer security systems and methods using asynchronous introspection exceptions
Kawakoya et al. Memory behavior-based automatic malware unpacking in stealth debugging environment
KR102307534B1 (ko) 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들
US8117660B2 (en) Secure control flows by monitoring control transfers
Oyama Trends of anti-analysis operations of malwares observed in API call logs
US8627478B2 (en) Method and apparatus for inspecting non-portable executable files
CN106991324B (zh) 一种基于内存保护类型监控的恶意代码跟踪识别方法
US7971258B1 (en) Methods and arrangement for efficiently detecting and removing malware
US9424427B1 (en) Anti-rootkit systems and methods
CN109101815B (zh) 一种恶意软件检测方法及相关设备
Pagani et al. Introducing the temporal dimension to memory forensics
US20150121531A1 (en) System and method for preserving and subsequently restoring emulator state
Dai et al. Behavior-based malware detection on mobile phone
Xuan et al. Toward revealing kernel malware behavior in virtual execution environments
Zaki et al. Unveiling the kernel: Rootkit discovery using selective automated kernel memory differencing
Nadim et al. Characteristic features of the kernel-level rootkit for learning-based detection model training
US20230096108A1 (en) Behavior analysis based on finite-state machine for malware detection
US9342694B2 (en) Security method and apparatus

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150720

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee