KR101183096B1 - 악성 코드 검사 장치 및 방법 - Google Patents

악성 코드 검사 장치 및 방법 Download PDF

Info

Publication number
KR101183096B1
KR101183096B1 KR1020100062116A KR20100062116A KR101183096B1 KR 101183096 B1 KR101183096 B1 KR 101183096B1 KR 1020100062116 A KR1020100062116 A KR 1020100062116A KR 20100062116 A KR20100062116 A KR 20100062116A KR 101183096 B1 KR101183096 B1 KR 101183096B1
Authority
KR
South Korea
Prior art keywords
file
history information
diagnostic
malicious code
diagnosis
Prior art date
Application number
KR1020100062116A
Other languages
English (en)
Other versions
KR20120001369A (ko
Inventor
황규범
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020100062116A priority Critical patent/KR101183096B1/ko
Publication of KR20120001369A publication Critical patent/KR20120001369A/ko
Application granted granted Critical
Publication of KR101183096B1 publication Critical patent/KR101183096B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

악성 코드 검사 장치 및 방법이 개시된다. 본 발명의 실시예들은 검사 대상 파일 또는 폴더(folder)에 검사 이력 정보 또는 파일 변경 이력 정보 등을 기록함으로써, 악성 코드 방지 프로그램이 업데이트된 경우, 새로 추가되거나 변경된 진단 함수만을 사용하여 악성 코드 검사를 수행하거나 새로 추가되거나 변경된 파일에 대해서만 악성 코드 검사를 수행함으로써, 전수 검사로 인한 시스템 성능 저하를 방지할 수 있다.

Description

악성 코드 검사 장치 및 방법{APPARATUS AND METHOD FOR INSPECTING MALICIOUS CODE}
본 발명의 실시예들은 백신 프로그램과 같이 악성 코드 방지 프로그램을 사용하여 악성 코드 검사를 수행할 때 악성 코드 검사의 효율성을 증대시킬 수 있는 기술들과 관련된다.
최근, 초고속 인터넷 환경이 구축되면서, 프로그램이나 이-메일(e-mail) 등을 통해 유포되는 악성 코드로 인한 피해가 급증하고 있다.
보통, 악성 코드는 컴퓨터의 속도를 저하시킬 수 있고, 웹 브라우저의 초기 페이지를 불건전 사이트로 고정할 수 있으며, 사용자의 컴퓨터를 스팸 메일 발송 서버로 사용하거나 DDoS(Distributed Denial of Service Attack) 공격의 거점 PC로 사용할 수 있고, 사용자의 개인 정보를 유출시킬 수 있다.
악성 코드가 사용자의 컴퓨터에 설치되고 해를 입히는 방식은 ActiveX, Java Applet, Java WebStart, .NETClickOnce, Flash, UCC 등 다양하게 존재하나, 모두 HTTP 프로토콜을 이용하여 웹 서버로부터 원본 파일을 받는다는 점은 동일하다.
최근에는 이러한 악성 코드의 유포를 방지하기 위해 다양한 방어기재에 대한 연구가 진행되고 있다.
먼저, 악성 코드 방지를 위한 설치형 보안 프로그램은 각 개인 컴퓨터에 설치되는 프로그램으로 악성 코드나 바이러스 및 음란물의 실행을 감지하고, 이미 감염된 컴퓨터를 치료하는 형태로 작동되며, 일반적인 백신 프로그램이 이러한 방식에 해당한다.
또한, 악성 코드를 방지하기 위한 방법으로 네트워크 앞단에 설치된 방화벽에서 불건전 사이트로 분류된 URL DB를 바탕으로 트래픽(traffic)을 차단하는 방식이 있으며, URL을 수집하는 방식에 대해서는 여러가지 기법들이 존재한다.
전술한 바와 같이 악성 코드를 방지하기 위한 여러가지 기법들이 존재하나 보통, 악성 코드는 사용자의 부주의로 컴퓨터에 설치되는 경우가 많다. 더욱이 최근에는 널리 사용되는 애플리케이션의 취약점을 통해서 설치되어 사용자의 주의여부와는 관계없이 공격을 당하는 경우가 늘고 있어 악성 코드를 적절히 방어할 수 있는 방어기재에 대한 연구가 필요하다.
본 발명의 실시예들은 검사 대상 파일 또는 폴더(folder)에 검사 이력 정보 또는 파일 변경 이력 정보 등을 기록함으로써, 악성 코드 방지 프로그램이 업데이트된 경우, 새로 추가되거나 변경된 진단 함수만을 사용하여 악성 코드 검사를 수행하거나 새로 추가되거나 변경된 파일에 대해서만 악성 코드 검사를 수행함으로써, 전수 검사로 인한 시스템 성능 저하를 방지하고자 한다.
본 발명의 일실시예에 따른 악성 코드 검사 장치는 검사 대상 파일에 기록된 검사 이력 정보와 악성 코드 방지 프로그램에 포함된 복수의 진단 함수들의 생성 이력 정보를 비교하는 비교부, 상기 비교부의 비교 결과를 기초로 상기 복수의 진단 함수들 중 상기 파일의 진단에 활용되지 않은 적어도 하나의 진단 함수가 존재하는지 여부를 판단하는 판단부 및 상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수가 존재하는 경우, 상기 적어도 하나의 진단 함수를 이용하여 상기 파일에 악성 코드가 존재하는지 여부를 진단하는 진단부를 포함한다.
또한, 본 발명의 일실시예에 따른 악성 코드 검사 방법은 검사 대상 파일에 기록된 검사 이력 정보와 악성 코드 방지 프로그램에 포함된 복수의 진단 함수들의 생성 이력 정보를 비교하는 단계, 상기 비교 결과를 기초로 상기 복수의 진단 함수들 중 상기 파일의 진단에 활용되지 않은 적어도 하나의 진단 함수가 존재하는지 여부를 판단하는 단계 및 상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수가 존재하는 경우, 상기 적어도 하나의 진단 함수를 이용하여 상기 파일에 악성 코드가 존재하는지 여부를 진단하는 단계를 포함한다.
본 발명의 실시예들은 검사 대상 파일 또는 폴더(folder)에 검사 이력 정보 또는 파일 변경 이력 정보 등을 기록함으로써, 악성 코드 방지 프로그램이 업데이트된 경우, 새로 추가되거나 변경된 진단 함수만을 사용하여 악성 코드 검사를 수행하거나 새로 추가되거나 변경된 파일에 대해서만 악성 코드 검사를 수행함으로써, 진단 함수 전수 검사로 인한 시스템 성능 저하를 방지할 수 있다.
도 1은 본 발명의 일실시예에 따른 악성 코드 검사 장치의 구조를 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 악성 코드 검사 방법을 도시한 순서도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하에서, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다.
현행 악성 코드 방지 프로그램들은 검사 대상 파일의 변경 여부와 무관하게 컴퓨터 등과 같이 사용자 단말기에 존재하는 모든 파일에 대해 관련된 모든 진단 함수를 이용해 검사를 수행하는 전수 검사 방식을 사용하고 있다.
또한, 현행 악성 코드 방지 프로그램들은 프로그램 엔진이 업데이트된 경우, 업데이트로 인해 새로 추가되거나 변경된 진단 함수들뿐만 아니라 이미 검사를 수행하였던 진단 함수들까지 모두 사용하여 악성 코드를 검사하는 방식을 사용하고 있다.
이러한 악성 코드 검사 방식은 이미 검사를 완료하여 악성 코드가 존재하지 않는 것으로 판정된 파일을 다시 한번 검사하거나 악성 코드가 발견되지 않은 것으로 판정된 진단 함수를 이용하여 악성 코드에 대한 검사를 다시 수행한다는 점에서 시스템 효율성을 다소 떨어뜨릴 수 있다.
보통, 안티바이러스 검사에서는 시스템 성능에 거의 영향이 없는 시그니처를 이용하는 진단 함수가 이용되기도 하지만, 악성코드에 특정화된 진단 함수들의 경우에는 시그니처 진단 함수와 비교해 실행 시간이 수십 또는 수백배 이상 많이 소요되기도 한다.
따라서, 이러한 악성코드에 특성화된 진단 함수에 대한 불필요한 실행을 줄인다면 전체적인 시스템 성능의 향상을 기대할 수 있다.
예컨대, "A.EXE"와 "B.EXE"라는 파일에 대해 악성 코드 방지 프로그램을 사용하여 2010. 03. 10일자로 검사를 수행하였고, 상기 두 파일 모두 정상적인 파일인 것으로 판단되었다고 가정하자.
만약, 2010. 04. 01일에 "C.EXE"라는 파일이 생성되었고, 사용자가 2010. 04. 20일에 상기 악성 코드 방지 프로그램을 이용하여 악성 코드를 검사하는 경우, 상기 악성 코드 방지 프로그램은 "A.EXE", "B.EXE" 및 "C.EXE"에 대해 모두 악성 코드 검사를 수행할 것이다.
즉, 현행 악성 코드 방지 프로그램은 새로 생성된 "C.EXE"의 악성 코드 감염여부만을 검사하면 될 것을 이미 정상적인 파일인 것으로 판정된 "A.EXE"와 "B.EXE"에 대해서도 다시 모든 진단 함수를 이용하여 검사를 수행함으로써, 시스템 성능을 저하시킬 수 있다.
또 다른 예로, 악성 코드 방지 프로그램이 2010. 03. 10일자로 "진단 함수 1"과 "진단 함수 2"를 이용하여 "A.EXE"라는 파일에 대해 검사를 수행하였고, 검사 결과 "A.EXE"는 정상 파일인 것으로 판정되었다고 가정하자.
만약, 2010. 04. 20일자로 상기 악성 코드 방지 프로그램이 업데이트되면서 "진단 함수 3"이 추가된 경우, 상기 악성 코드 방지 프로그램은 "A.EXE"에 대해 "진단 함수 3"만을 사용하여 악성 코드 검사를 수행하면 될 것을 이미 정상인 것으로 판정된 "진단 함수 1" 및 "진단 함수 2"를 다시 사용하여 "A.EXE"에 대한 검사를 수행함으로써, 진단 함수가 많아 질 경우, 시스템 성능을 저하시킬 수 있다.
따라서, 본 발명의 실시예들은 검사 대상 파일 또는 폴더(folder)에 검사 이력 정보 또는 파일 변경 이력 정보 등을 기록함으로써, 악성 코드 방지 프로그램이 업데이트된 경우, 새로 추가되거나 변경된 진단 함수만을 사용하여 악성 코드 검사를 수행하거나, 새로 추가되거나 변경된 파일에 대해서만 악성 코드 검사를 수행함으로써, 진단 함수의 전수 검사로 인한 시스템 성능 저하를 방지하고자 한다.
도 1은 본 발명의 일실시예에 따른 악성 코드 검사 장치의 구조를 도시한 도면이다.
도 1을 참조하면, 악성 코드 검사 장치(110)는 비교부(111), 판단부(112) 및 진단부(113)를 포함한다.
여기서, 악성 코드 검사 장치(110)는 퍼스널 컴퓨터, MP3 플레이어, PMP, 네비게이션 단말기, 모바일 단말기, PDA 등 마이크로 프로세서 기반의 단말 장치로 구성될 수 있거나 상기 단말 장치에 포함되는 장치로 구성될 수 있다.
비교부(111)는 검사 대상 파일에 기록된 검사 이력 정보와 악성 코드 방지 프로그램에 포함된 복수의 진단 함수들의 생성 이력 정보를 비교한다.
본 발명의 일실시예에 따르면, 상기 검사 이력 정보는 상기 파일을 검사한 날짜, 시각 또는 상기 파일에 대한 검사를 수행하였을 당시 상기 악성 코드 방지 프로그램의 버전 정보 등이 될 수 있다.
또한, 본 발명의 일실시예에 따르면, 상기 생성 이력 정보는 상기 복수의 진단 함수들이 생성된 시각 또는 상기 복수의 진단 함수들이 변경된 시각 정보 등이 될 수 있다.
판단부(112)는 비교부(111)의 비교 결과를 기초로 상기 복수의 진단 함수들 중 상기 파일의 진단에 활용되지 않은 적어도 하나의 진단 함수가 존재하는지 여부를 판단한다.
진단부(113)는 상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수가 존재하는 경우, 상기 적어도 하나의 진단 함수를 이용하여 상기 파일에 악성 코드가 존재하는지 여부를 진단한다.
이때, 본 발명의 일실시예에 따르면, 진단부(113)는 상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수가 존재하지 않는 경우, 상기 파일에 대한 진단을 수행하지 않을 수 있다.
이상의 과정을 예를 들어 설명하면 다음과 같다.
먼저, 상기 검사 이력 정보는 상기 악성 코드 방지 프로그램이 상기 파일에 대한 검사를 수행한 일자라고 가정하고, 상기 생성 이력 정보는 상기 복수의 진단 함수들이 생성되거나 변경된 일자라고 가정하자.
이때, 비교부(111)는 상기 파일에 대한 마지막 검사 일자와 상기 복수의 진단 함수들의 생성 또는 변경 일자를 비교한다.
그리고 나서, 판단부(112)는 상기 복수의 진단 함수들 중에서 상기 파일에 대한 마지막 검사 일자 이후에 생성 또는 변경된 적어도 하나의 진단 함수가 존재하는지 여부를 판단한다.
만약, 판단부(112)의 판단 결과, 상기 파일에 대한 마지막 검사 일자 이후에 생성 또는 변경된 적어도 하나의 진단 함수가 존재하는 경우, 진단부(113)는 상기 적어도 하나의 진단 함수를 이용하여 상기 파일에 악성 코드가 존재하는지 여부를 진단한다.
하지만, 판단부(112)의 판단 결과, 상기 파일에 대한 마지막 검사 일자 이후에 생성 또는 변경된 적어도 하나의 진단 함수가 존재하지 않는 경우, 진단부(113)는 상기 파일에 대한 진단을 수행하지 않는다.
즉, 본 발명의 일실시예에 따른 악성 코드 검사 장치(110)는 상기 악성 코드 방지 프로그램이 업데이트된 경우, 검사 대상 파일에 대해 이미 정상이라고 판단한 진단 함수 이외에 새로 생성되거나 변경된 진단 함수만을 이용하여 상기 파일에 대한 검사를 수행함으로써, 모든 진단 함수를 이용하여 파일 검사를 수행함에 따라 발생 가능한 시스템 성능 저하를 줄일 수 있다.
이때, 본 발명의 일실시예에 따르면, 진단부(113)는 상기 파일의 진단에 이미 활용되었던 진단 함수라도 새롭게 생성 또는 변경된 진단 함수를 사용하기 위해 반드시 활용되어야 하는 경우에는 상기 파일의 진단에 이미 활용되었던 상기 진단 함수를 다시 이용하여 상기 파일에 대한 진단을 수행할 수 있다.
다시 말해서, 진단부(113)는 새롭게 생성 또는 변경된 진단 함수가 진단 함수의 상호 의존성에 따라 상기 파일의 진단에 이미 활용되었던 진단 함수에 종속되는 경우, 상기 파일의 진단에 이미 활용되었던 진단 함수라도 예외적으로 다시 한번 사용할 수 있다.
본 발명의 일실시예에 따르면, 악성 코드 검사 장치(110)는 기록부(114)를 더 포함할 수 있다.
기록부(114)는 진단부(113)가 상기 파일에 대한 진단을 완료하면, 진단 완료 시점을 기초로 상기 검사 이력 정보를 업데이트하여 상기 파일에 기록할 수 있다.
본 발명의 일실시예에 따르면, 상기 파일에는 파일 변경 이력 정보가 기록되어 있을 수 있고, 이때, 판단부(112)는 상기 파일에 기록된 상기 파일 변경 이력 정보를 기초로 상기 파일에 대한 마지막 검사가 수행된 이후 상기 파일이 변경되었는지 여부를 판단할 수 있다.
이때, 진단부(113)는 상기 파일이 변경된 것으로 판단된 경우, 상기 복수의 진단 함수들을 이용하여 상기 변경된 파일에 악성 코드가 존재하는지 여부를 진단할 수 있다.
이때, 본 발명의 일실시예에 따르면, 진단부(113)는 상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수가 존재하지 않고, 상기 파일이 변경되지 않은 것으로 판단된 경우, 상기 파일에 대한 진단을 수행하지 않을 수 있다.
또한, 본 발명의 일실시예에 따르면, 판단부(112)는 상기 파일 변경 이력 정보를 기초로 상기 파일이 신규로 생성된 파일인지 여부를 판단할 수 있다.
이때, 진단부(113)는 상기 파일이 신규로 생성된 파일인 것으로 판단된 경우, 상기 복수의 진단 함수들을 이용하여 상기 신규로 생성된 파일에 악성 코드가 존재하는지 여부를 진단할 수 있다.
이상의 과정을 예를 들어 설명하면 다음과 같다.
사용자가 상기 악성 코드 방지 프로그램을 이용하여 사용자 단말기에 저장된 파일들에 대한 검사를 수행하는 경우, 판단부(112)는 상기 파일들에 기록된 파일 변경 이력 정보를 확인하여 상기 파일들 중 새롭게 생성된 파일이 존재하는지 여부나 변경된 파일이 존재하는지 여부를 판단한다.
만약, 판단부(112)의 판단 결과, 상기 파일들 중 마지막 검사가 수행된 이후 변경된 파일이 존재하거나 새롭게 생성된 파일이 존재하는 경우, 진단부(113)는 상기 악성 코드 방지 프로그램에 포함된 모든 진단 함수들을 이용하여 상기 변경된 파일 또는 상기 새롭게 생성된 파일에 대한 진단을 수행한다.
즉, 본 발명의 일실시예에 따른 악성 코드 검사 장치(110)는 악성 코드 검사를 수행할 때 새롭게 생성된 파일이나 변경된 파일에 대해서만 모든 진단 함수를 이용하여 검사를 수행하고, 이미 정상 파일인 것으로 판정된 파일에 대해서는 새롭게 추가되거나 변경된 진단 함수가 존재하지 않는다면, 검사를 수행하지 않음으로써, 모든 파일에 대해 모든 진단 함수를 이용하여 검사를 수행함으로 인해 발생 가능한 시스템 성능 저하를 줄일 수 있다.
이때, 본 발명이 일실시예에 따르면, 기록부(114)는 진단부(113)가 상기 파일을 진단함에 따라 상기 파일이 변경된 경우, 상기 파일 변경 이력 정보를 업데이트하여 상기 파일에 기록할 수 있다.
즉, 기록부(114)는 악성 코드 검사를 수행한 이후 상기 검사 이력 정보 및 상기 파일 변경 이력 정보를 업데이트하여 상기 파일에 기록할 수 있다.
이때, 상기 파일이 "A.EXE"라고 가정하는 경우, 상기 검사 이력 정보 및 상기 파일 변경 이력 정보는 NTFS의 경우, "A.EXE:ScanResult"에 "{lastScanEngineData(4), FileSize(4), MftTime(8), LSN(8)}"로 저장될 수 있다.
여기서, "lastScanEngineData"는 마지막 검사 정보 즉, 검사 이력 정보를 의미하고, "FileSize"는 파일의 크기 정보를 의미하며, "MftTime"은 NTFS 파일 시스템에서 Mft에 파일 정보가 작성된 시각 정보를 의미하고, "LSN"은 파일이 변경된 이력이 담긴 정보를 의미한다.
그리고, 괄호의 숫자는 바이트(byte)를 의미한다.
즉, 악성 코드 검사가 완료된 이후 기록부(114)가 상기 파일에 상기 검사 이력 정보 및 상기 파일 변경 이력 정보를 "ScanResult"로 저장하면, 다음 악성 코드 검사 시에 판단부(112)는 "lastScanEngineData"를 참조하여 상기 악성 코드 방지 프로그램에 파일의 진단에 활용되지 않은 진단 함수가 포함되어 있는지 여부를 판단할 수 있고, 파일시스템 내 파일 관련 정보를 읽어, "FileSize" 또는 "LSN"을 참조하여 파일이 변경되었는지 여부를 판단할 수 있으며, "MftTime" 또는 "LSN"을 참조하여 파일이 새롭게 생성되었는지 여부를 판단할 수 있다.
도 2는 본 발명의 일실시예에 따른 악성 코드 검사 방법을 도시한 순서도이다.
단계(S210)에서는 검사 대상 파일에 기록된 검사 이력 정보와 악성 코드 방지 프로그램에 포함된 복수의 진단 함수들의 생성 이력 정보를 비교한다.
단계(S220)에서는 단계(S210)의 비교 결과를 기초로 상기 복수의 진단 함수들 중 상기 파일의 진단에 활용되지 않은 적어도 하나의 진단 함수가 존재하는지 여부를 판단한다.
단계(S230)에서는 상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수가 존재하는 경우, 상기 적어도 하나의 진단 함수를 이용하여 상기 파일에 악성 코드가 존재하는지 여부를 진단한다.
본 발명의 일실시예에 따르면, 단계(S230)에서는 상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수가 존재하지 않는 경우, 상기 파일에 대한 진단을 수행하지 않을 수 있다.
또한, 본 발명의 일실시예에 따르면, 단계(S220)에서는 상기 파일에 기록된 파일 변경 이력 정보를 기초로 상기 파일에 대한 마지막 검사가 수행된 이후 상기 파일이 변경되었는지 여부를 판단할 수 있다.
이때, 단계(S230)에서는 상기 파일이 변경된 것으로 판단된 경우, 상기 복수의 진단 함수들을 이용하여 상기 변경된 파일에 악성 코드가 존재하는지 여부를 진단할 수 있다.
이때, 본 발명의 일실시예에 따르면, 단계(S230)에서는 상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수가 존재하지 않고, 상기 파일이 변경되지 않은 것으로 판단된 경우, 상기 파일에 대한 진단을 수행하지 않을 수 있다.
또한, 본 발명의 일실시예에 따르면, 단계(S220)에서는 상기 파일 변경 이력 정보를 기초로 상기 파일이 신규로 생성된 파일인지 여부를 판단할 수 있다.
이때, 단계(S230)에서는 상기 파일이 신규로 생성된 파일인 것으로 판단된 경우, 상기 복수의 진단 함수들을 이용하여 상기 신규로 생성된 파일에 악성 코드가 존재하는지 여부를 진단할 수 있다.
또한, 본 발명의 일실시예에 따르면, 상기 악성 코드 검사 방법은 단계(S230)이후에 상기 파일에 대한 진단이 완료되면, 상기 진단 완료 시점을 기초로 상기 검사 이력 정보를 업데이트하여 상기 파일에 기록하는 단계를 더 포함할 수 있다.
이때, 본 발명의 일실시예에 따르면, 상기 기록하는 단계는 단계(S230)에서 상기 파일의 진단이 완료됨에 따라 상기 파일이 변경된 경우, 상기 파일 변경 이력 정보를 업데이트하여 상기 파일에 기록할 수 있다.
이상, 도 2를 참조하여 본 발명의 일실시예에 따른 악성 코드 검사 방법에 대해 설명하였다. 여기서, 본 발명의 일실시예에 따른 악성 코드 검사 방법은 도 1을 이용하여 설명한 악성 코드 검사 장치의 구성과 대응될 수 있으므로, 이에 대한 보다 상세한 설명은 생략하기로 한다.
본 발명에 따른 실시예들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
110: 악성 코드 검사 장치
111: 비교부 112: 판단부
113: 기록부 114: 진단부

Claims (15)

  1. 검사 대상 파일에 기록된 검사 이력 정보와 악성 코드 방지 프로그램에 포함된 복수의 진단 함수들의 생성 이력 정보를 비교하는 비교부;
    상기 비교부의 비교 결과를 기초로 상기 복수의 진단 함수들 중 상기 파일의 진단에 활용되지 않은 적어도 하나의 진단 함수가 존재하는지 여부를 판단하는 판단부; 및
    상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수가 존재하는 경우, 상기 적어도 하나의 진단 함수를 이용하여 상기 파일에 악성 코드가 존재하는지 여부를 진단하는 진단부
    를 포함하며,
    상기 검사 이력 정보는 상기 파일에 대한 마지막 검사가 수행된 시점을 포함하며, 상기 생성 이력 정보는 상기 복수의 진단 함수 각각에 대하여 생성 시점 또는 변경 시점 중 적어도 하나를 포함하며,
    상기 판단부는, 상기 검사 이력 정보에 포함된 상기 마지막 검사가 수행된 시점 이후 생성 또는 변경된 적어도 하나의 진단 함수가 존재하는지 여부를 기초로 상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수가 존재하는지 여부를 판단하며,
    상기 진단부는, 상기 검사 이력 정보에 포함된 상기 마지막 검사가 수행된 시점 이후 생성 또는 변경된 상기 적어도 하나의 진단 함수를 상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수로 하여 상기 파일에 악성 코드가 존재하는지 여부를 진단하는, 악성 코드 검사 장치.
  2. 제1항에 있어서,
    상기 판단부는
    상기 파일에 기록된 파일 변경 이력 정보를 기초로 상기 파일에 대한 마지막 검사가 수행된 이후 상기 파일이 변경되었는지 여부를 판단하고,
    상기 진단부는
    상기 파일이 변경된 것으로 판단된 경우, 상기 복수의 진단 함수들을 이용하여 상기 변경된 파일에 악성 코드가 존재하는지 여부를 진단하는 악성 코드 검사 장치.
  3. 제2항에 있어서,
    상기 판단부는
    상기 파일 변경 이력 정보를 기초로 상기 파일이 신규로 생성된 파일인지 여부를 판단하고,
    상기 진단부는
    상기 파일이 신규로 생성된 파일인 것으로 판단된 경우, 상기 복수의 진단 함수들을 이용하여 상기 신규로 생성된 파일에 악성 코드가 존재하는지 여부를 진단하는 악성 코드 검사 장치.
  4. 제1항에 있어서,
    상기 진단부는
    상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수가 존재하지 않는 경우, 상기 파일에 대한 진단을 수행하지 않는 악성 코드 검사 장치.
  5. 제2항에 있어서,
    상기 진단부는
    상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수가 존재하지 않고, 상기 파일이 변경되지 않은 것으로 판단된 경우, 상기 파일에 대한 진단을 수행하지 않는 악성 코드 검사 장치.
  6. 제2항에 있어서,
    상기 파일에 대한 진단이 완료되면, 진단 완료 시점을 기초로 상기 검사 이력 정보를 업데이트하여 상기 파일에 기록하는 기록부
    를 더 포함하는 악성 코드 검사 장치.
  7. 제6항에 있어서,
    상기 기록부는
    상기 진단부가 상기 파일을 진단함에 따라 상기 파일이 변경된 경우, 상기 파일 변경 이력 정보를 업데이트하여 상기 파일에 기록하는 악성 코드 검사 장치.
  8. 검사 대상 파일에 기록된 검사 이력 정보와 악성 코드 방지 프로그램에 포함된 복수의 진단 함수들의 생성 이력 정보를 비교하는 단계;
    상기 비교 결과를 기초로 상기 복수의 진단 함수들 중 상기 파일의 진단에 활용되지 않은 적어도 하나의 진단 함수가 존재하는지 여부를 판단하는 단계; 및
    상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수가 존재하는 경우, 상기 적어도 하나의 진단 함수를 이용하여 상기 파일에 악성 코드가 존재하는지 여부를 진단하는 단계를 포함하며,
    상기 검사 이력 정보는 상기 파일에 대한 마지막 검사가 수행된 시점을 포함하며, 상기 생성 이력 정보는 상기 복수의 진단 함수 각각에 대하여 생성 시점 또는 변경 시점 중 적어도 하나를 포함하며,
    상기 판단하는 단계는, 상기 검사 이력 정보에 포함된 상기 마지막 검사가 수행된 시점 이후 생성 또는 변경된 적어도 하나의 진단 함수가 존재하는지 여부를 기초로 상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수가 존재하는지 여부를 판단하며,
    상기 진단하는 단계는, 상기 검사 이력 정보에 포함된 상기 마지막 검사가 수행된 시점 이후 생성 또는 변경된 상기 적어도 하나의 진단 함수를 상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수로 하여 상기 파일에 악성 코드가 존재하는지 여부를 진단하는, 악성 코드 검사 방법.
  9. 제8항에 있어서,
    상기 판단하는 단계는
    상기 파일에 기록된 파일 변경 이력 정보를 기초로 상기 파일에 대한 마지막 검사가 수행된 이후 상기 파일이 변경되었는지 여부를 판단하고,
    상기 진단하는 단계는
    상기 파일이 변경된 것으로 판단된 경우, 상기 복수의 진단 함수들을 이용하여 상기 변경된 파일에 악성 코드가 존재하는지 여부를 진단하는 악성 코드 검사 방법.
  10. 제9항에 있어서,
    상기 판단하는 단계는
    상기 파일 변경 이력 정보를 기초로 상기 파일이 신규로 생성된 파일인지 여부를 판단하고,
    상기 진단하는 단계는
    상기 파일이 신규로 생성된 파일인 것으로 판단된 경우, 상기 복수의 진단 함수들을 이용하여 상기 신규로 생성된 파일에 악성 코드가 존재하는지 여부를 진단하는 악성 코드 검사 방법.
  11. 제8항에 있어서,
    상기 진단하는 단계는
    상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수가 존재하지 않는 경우, 상기 파일에 대한 진단을 수행하지 않는 악성 코드 검사 방법.
  12. 제9항에 있어서,
    상기 진단하는 단계는
    상기 파일의 진단에 활용되지 않은 상기 적어도 하나의 진단 함수가 존재하지 않고, 상기 파일이 변경되지 않은 것으로 판단된 경우, 상기 파일에 대한 진단을 수행하지 않는 악성 코드 검사 방법.
  13. 제9항에 있어서,
    상기 파일에 대한 진단이 완료되면, 진단 완료 시점을 기초로 상기 검사 이력 정보를 업데이트하여 상기 파일에 기록하는 단계
    를 더 포함하는 악성 코드 검사 방법.
  14. 제13항에 있어서,
    상기 기록하는 단계는
    상기 진단하는 단계에서 상기 파일의 진단이 완료됨에 따라 상기 파일이 변경된 경우, 상기 파일 변경 이력 정보를 업데이트하여 상기 파일에 기록하는 악성 코드 검사 방법.
  15. 제8항 내지 제14항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.
KR1020100062116A 2010-06-29 2010-06-29 악성 코드 검사 장치 및 방법 KR101183096B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100062116A KR101183096B1 (ko) 2010-06-29 2010-06-29 악성 코드 검사 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100062116A KR101183096B1 (ko) 2010-06-29 2010-06-29 악성 코드 검사 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20120001369A KR20120001369A (ko) 2012-01-04
KR101183096B1 true KR101183096B1 (ko) 2012-09-20

Family

ID=45609083

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100062116A KR101183096B1 (ko) 2010-06-29 2010-06-29 악성 코드 검사 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101183096B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101435341B1 (ko) 2013-08-29 2014-08-27 닉스테크 주식회사 Svm을 이용한 dlp 트레이싱 대상 파일 분류에 관한 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101436494B1 (ko) * 2013-03-07 2014-09-01 주식회사 안랩 악성코드 검사 시스템 및 악성코드 검사 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007034623A (ja) 2005-07-26 2007-02-08 Sharp Corp コンピュータウイルスの検出方法、プログラム、プログラムが記憶された記録媒体およびコンピュータウイルスの検出装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007034623A (ja) 2005-07-26 2007-02-08 Sharp Corp コンピュータウイルスの検出方法、プログラム、プログラムが記憶された記録媒体およびコンピュータウイルスの検出装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101435341B1 (ko) 2013-08-29 2014-08-27 닉스테크 주식회사 Svm을 이용한 dlp 트레이싱 대상 파일 분류에 관한 방법

Also Published As

Publication number Publication date
KR20120001369A (ko) 2012-01-04

Similar Documents

Publication Publication Date Title
US7620990B2 (en) System and method for unpacking packed executables for malware evaluation
RU2514140C1 (ru) Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов
US6785820B1 (en) System, method and computer program product for conditionally updating a security program
US8042186B1 (en) System and method for detection of complex malware
RU2531861C1 (ru) Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
US8356354B2 (en) Silent-mode signature testing in anti-malware processing
US8745703B2 (en) Identifying exploitation of vulnerabilities using error report
US7475135B2 (en) Systems and methods for event detection
EP2515250A1 (en) System and method for detection of complex malware
RU2617654C2 (ru) Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя
CN109583202B (zh) 用于检测进程的地址空间中的恶意代码的系统和方法
JP5738283B2 (ja) マルウェアスキャンに関する誤警報検出
EP2469445A1 (en) Optimization of anti-malware processing by automated correction of detection rules
KR100620313B1 (ko) 마이크로소프트 실행파일의 구조적 특성을 이용한 악성프로그램 검출 시스템 및 방법
CN106326731B (zh) 防止不良程序的安装和执行的系统和方法
JP5863973B2 (ja) プログラム実行装置及びプログラム解析装置
RU2697954C2 (ru) Система и способ создания антивирусной записи
US20110283358A1 (en) Method and system to detect malware that removes anti-virus file system filter driver from a device stack
JP6238093B2 (ja) マルウェアリスクスキャナー
JP5779334B2 (ja) 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム
CN106326737A (zh) 用于检测可在虚拟堆栈机上执行的有害文件的系统和方法
US11397812B2 (en) System and method for categorization of .NET applications
CN108959936B (zh) 一种基于路径分析的缓冲区溢出漏洞自动利用方法
RU2617923C2 (ru) Система и способ настройки антивирусной проверки
KR101183096B1 (ko) 악성 코드 검사 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150910

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160912

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170911

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180910

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190910

Year of fee payment: 8