KR101213821B1 - 동적 변환을 통한 프로액티브 컴퓨터 말웨어 보호 - Google Patents

동적 변환을 통한 프로액티브 컴퓨터 말웨어 보호 Download PDF

Info

Publication number
KR101213821B1
KR101213821B1 KR1020077008704A KR20077008704A KR101213821B1 KR 101213821 B1 KR101213821 B1 KR 101213821B1 KR 1020077008704 A KR1020077008704 A KR 1020077008704A KR 20077008704 A KR20077008704 A KR 20077008704A KR 101213821 B1 KR101213821 B1 KR 101213821B1
Authority
KR
South Korea
Prior art keywords
block
instructions
malware
execution
program code
Prior art date
Application number
KR1020077008704A
Other languages
English (en)
Other versions
KR20070083702A (ko
Inventor
아드리안 엠. 마리네스쿠
아드리안 이. 스테판
게오르게 마리우스 게오르게스쿠
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20070083702A publication Critical patent/KR20070083702A/ko
Application granted granted Critical
Publication of KR101213821B1 publication Critical patent/KR101213821B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/16Protection against loss of memory contents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Devices For Executing Special Programs (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 잠재적인 말웨어 장치를 안전한 프로그램 코드로 변환하기 위한 시스템 및 방법을 포함한다. 잠재적인 말웨어는 특정 컴퓨터로만 사용하도록 고안된 CPU 프로그램 코드, 플랫폼에 독자적인 .NET 바이트 코드, 및 스크립팅 프로그램 코드 등을 포함하지만 이에 한정되지 않는 복수의 서로 다른 유형의 소스 언어들 중 임의의 하나로부터 변환된다. 변환된 프로그램 코드는 특정 컴퓨터로만 사용하도록 고안된 CPU에 의해 이해되고 실행될 수 있는 프로그램 코드로 컴파일된다. 실행 이전 및/또는 실행 중에, 본 발명은 스캐너로 하여금 메모리 내에 저장된 잠재적인 말웨어를 찾기 위한 검색을 하게 한다. 말웨어가 탐지되지 않은 경우, 컴퓨팅 장치는 CPU가 변환된 프로그램 코드를 실행하게 한다. 그러나, 실행 중에 잠재적인 말웨어를 저장하는 컴퓨터 메모리가 변경된 경우 잠재적인 말웨어의 실행 및/또는 분석이 인터럽트될 수 있다. 이 예에서, 현재 메모리에 저장된 잠재적인 말웨어는 실행되기 전에 안전한 프로그램 코드로 변환된다.
Figure R1020077008704
말웨어, 프로그램 코드, 컴파일, 바이러스, 보안

Description

동적 변환을 통한 프로액티브 컴퓨터 말웨어 보호{PROACTIVE COMPUTER MALWARE PROTECTION THROUGH DYNAMIC TRANSLATION}
본 발명은 컴퓨팅 장치에 관한 것으로, 보다 상세히는 말웨어(malware)로부터 컴퓨팅 장치를 보호는 것에 관한 것이다.
점점 더 많은 컴퓨터 및 기타 컴퓨팅 장치가 인터넷 등의 다양한 네트워크를 통해 상호 접속될수록, 특히 네트워크 또는 정보 스트림을 통해 전달되는 침입 또는 공격으로부터의 컴퓨터 보안이 점점 더 중요해졌다. 당업자들은 컴퓨터 바이러스, 컴퓨터 웜(worm), 시스템 컴포넌트 교체, 서비스 거부 공격, 심지어는 적법한 컴퓨터 시스템 특징의 오용/남용을 포함하는 (이에 특별히 한정되지 않음) - 이들 모두는 불법 목적으로 하나 이상의 컴퓨터 시스템의 취약성을 이용한 것이다 - 다수의 다양한 형태로 이들 공격이 발생함을 인식할 것이다. 당업자들은 본 발명 및 설명의 간단함을 위하여 다양한 컴퓨터 공격이 기술적으로 서로 구별됨을 인식할 것이지만, 모든 악성 컴퓨터 프로그램은 이하 일반적으로 컴퓨터 말웨어, 더 간단히는 말웨어라 칭할 것이다.
컴퓨팅 장치가 컴퓨터 말웨어에 의해 공격되거나 "감염"되는 경우, 시스템 장치 사용불가능; 펌웨어, 애플리케이션, 또는 데이터 파일 삭제 또는 파손; 네트워크 상의 다른 위치로 잠재적으로 기밀 데이터 전송; 컴퓨팅 장치 전원이 꺼짐; 또는 컴퓨팅 장치에 충돌을 일으킴을 포함하는 불리한 결과들이 다양하게 존재한다. 게다가 모두는 아니지만 다수의 컴퓨터 말웨어의 다른 유해한 양상은 감염된 컴퓨팅 장치가 다른 시스템을 감염시키는 데에 이용된다는 것이다.
컴퓨터 말웨어, 구체적으로는 컴퓨터 바이러스 및 웜으로부터의 종래의 방어는 안티바이러스 소프트웨어이다. 일반적으로 설명하자면, 안티바이러스 소프트웨어는 들어오는 데이터를 스캔하여, 공지된 컴퓨터 말웨어에 관련된 식별가능한 패턴을 탐색한다. 또한, 안티바이러스 소프트웨어는 들어오는 데이터를 공지된 말웨어의 특징들과 비교하는 발견적 학습(heuristic) 기술을 점점 더 이용하고 있다. 여하튼 간에, 컴퓨터 말웨어를 탐지할 때에, 안티바이러스 소프트웨어는 감염된 데이터로부터 컴퓨터 말웨어를 제거하거나, 데이터를 격리시키거나, 감염된 들어오는 데이터를 삭제함으로서 응답할 수 있다. 불행하게도, 안티바이러스 소프트웨어는 통상적으로 공지된 식별가능한 컴퓨터 말웨어를 다룬다. 이는, 종종, 데이터 내의 패턴을 말웨어의 "시그너처(signature)"라 칭하는 것과 일치시킴으로써 이루어진다. 이 말웨어 탐지 모델의 핵심적인 결함들 중 하나는 컴퓨팅 장치 상의 안티바이러스 소프트웨어가 말웨어를 식별하고 응답하도록 업데이트될 때까지는 공지되지 않은 컴퓨터 말웨어는 네트워크 내에서 검사되지 않은 상태로 전파될 수 있다는 것이다.
안티바이러스 소프트웨어가 수 천개의 공지된 컴퓨터 말웨어를 인식하는 데 에 보다 정교하고 효율적이게 될수록, 컴퓨터 말웨어도 보다 정교해진다. 예를 들면, 현재 말웨어 컴퓨터 사용자는 말웨어 시그너처를 인식될 수 없는 패턴 이면에 숨겨서 모호하게 하도록 현재 말웨어를 암호화한다. 예를 들면, 다형성 말웨어는 말웨어 복호화 루틴 및 암호화된 말웨어 "페이로드(payload)"로 구성되어 있다. 사용자가 감염된 프로그램을 실행할 때, 말웨어 복호화 루틴은 컴퓨팅 장치의 제어를 획득하고 이전에 암호화된 말웨어 페이로드를 복호화한다. 그 다음 복호화 루틴은 복호화된 말웨어 페이로드로 컴퓨팅 장치의 제어를 이동시킨다. 새로운 타깃이 감염될 때마다, 말웨어는 복호화 루틴과 말웨어 페이로드를 둘다 복제한다. 통상적으로, 말웨어 페이로드를 암호화하는 데에 이용되는 암호화 키는 말웨어가 복제될 때 변경된다. 결과적으로, 암호화된 말웨어는 말웨어가 안티바이러스 소프트웨어에 의해 인식될 수 있게 하는 식별가능한 패턴 또는 "시그너처"를 가지지 않는다.
반다형성(oligomorphic) 말웨어가 생성되었을 때, 안티바이러스 소프트웨어 개발자는 복호화 루틴이 말웨어 버전들 간에 일정하게 유지되었음을 인식하였다. 안티바이러스 소프트웨어 개발자는 단지 말웨어 시그너처들을 찾기 위한 스캐닝 만을 하는 것이 아니라 말웨어와 관련될 공지된 특정 복호화 루틴을 찾기 위한 스캐닝을 함으로써 이러한 취약점을 이용하였다. 이에 응답하여, 악의 있는 컴퓨터 사용자는 복호화 루틴을 식별할 수 없도록 설계된 보다 정교한 말웨어를 개발하였다(이하에는 말웨어 시그너처를 숨기도록 설계된 기술을 이용하는 모든 유형의 말웨어는 "모호한 말웨어"라 칭할 것이다).
도 1은 "페이로드"를 배포하는 데에 이용될 수 있는 다형성 말웨어(100)로서 알려진 일 유형의 모호한 말웨어를 도시하는 도면이다. 도 1에 도시된 바와 같이, 다형성 말웨어(100)는 호스트 프로그램(102)에 첨부되며, 이 예에서는 암호화 엔진(106), 복호화 루틴(110), 및 다형성 파일 감염기(108)를 포함하는 바이러스(104)로서 도시된다. 다형성 말웨어(100)는 식별가능한 시그너처를 식별할 수 없도록 바이러스(104)의 세그먼트를 암호화한다. 그러나, 바이러스(104)는 또한 바이러스(104)가 전파될 때마다 임의화된 암호화 루틴을 생성하는 암호화 엔진(106)을 포함한다. 바이러스(104)가 런칭(launch)되면, 다형성 파일 감염기(110)는 새로운 타깃을 식별하고 컴퓨터 메모리에 바이러스(104)를 복제한다. 이 시점에서, 암호화 엔진(106)은 이전에 개발되었던 암호화 루틴과의 유사성을 거의 가지지 않거나 전혀 가지지 않는 새로운 암호화 루틴을 무작위로 생성한다. 그 다음 암호화된 바이러스(104) 복제본이 식별되는 타깃에 첨부된다. 결과적으로, 바이러스(104)가 암호화되고 암호화 및 복호화에 이용되는 루틴들은 감염에 따라 달라진다. 고정된 말웨어 시그너처 또는 고정된 암호화 루틴이 아니라면, 통상의 안티바이러스 소프트웨어는 시그너처를 식별할 수 없기 때문에 다형성 말웨어(100)를 탐지할 수 없다.
상술한 문제점에 비추어볼 때, 컴퓨터 사용자는 모호한 말웨어와 같은 말웨어로부터 순응적으로 컴퓨터를 보호하는 소프트웨어를 가지는 것이 바람직할 것이다.
본 발명은 말웨어로부터 컴퓨팅 장치를 보호하기 위한 보안 모델을 제공한다. 본 발명의 일 양태에 따르면, 컴퓨팅 장치에 관련된 잠재적인 말웨어를 안전한 프로그램 코드로 변환하기 위한 방법이 제공된다. 이러한 본 발명의 양태는 메모리에서의 식별된 프로그램 진입점에서 잠재적인 말웨어를 분석하는 것을 시작한다. 잠재적인 말웨어의 초기 분석은 기본 블록의 마지막 명령어를 만날 때까지 명령어를 디코딩함으로써 프로그램 코드를 "기본 블록"으로 나누는 것을 포함한다. 기본 블록 내의 명령어가 이전에 스캐닝되지 않았을 경우의 예에서, 스캐너는 말웨어를 찾기 위하여 기본 블록을 검색한다. 말웨어가 탐지되고 충분한 수준의 정밀도를 가지고 말웨어의 식별이 이루어진 경우, 말웨어를 포함하는 파일은 감염되었다고 보고된다. 이 예에서, 본 발명에 의한 추가 분석은 필요하지 않다. 다른 예에서, 기본 블록의 디코딩된 명령어는 동등하고 안전한 실행가능 프로그램 코드로 변환된다. 잠재적인 말웨어로부터 직접 변환이 수행될 수 있다. 대안으로 변환은 실행가능한 프로그램 코드로 "컴파일"되는 아키텍처 중립적인 포맷을 이용하여 수행될 수 있다.
본 발명의 다른 양태에 따르면, 변환된 프로그램 코드의 기본 블록을 안전하게 실행하기 위한 방법이 제공된다. 이러한 본 발명의 양태는 변환된 프로그램 코드의 기본 블록이 변환된 이후에 변경되었는지 판정하는 것을 포함한다. 변경이 일어난 경우의 예에서, 이 수정된 기본 블록은 실행되기 이전에 변환된다. 변경이 일어나지 않았다면, 더 이상의 변환은 필요하지 않으며 기존의 "컴파일된" 프로그램 코드가 실행된다. 실행가능한 프로그램 코드는 이전에 변환된 프로그램 코드가 실행의 결과로서 변경되었는지 판정할 수 있다. 프로그램 코드의 변경되었던 임의의 기본 블록들은 버려지고 실행되기 전에 다시 변환된다. 실행이 완료된 후, 현재 실행 지점이 업데이트되어, 실행의 제어를 다음 기본 블록으로 이동시킨다. 그 다음 말웨어가 식별되거나, 인터럽트 상태가 일어나거나, 프로그램이 실행을 완료할 때까지 기본 블록의 변환 및 실행이 반복된다.
도 1은 본 발명을 이용하여 식별할 수 있는 다형성 말웨어의 컴포넌트들을 도시하는 블록도.
도 2는 본 발명에 따라 동적 변환을 수행하고 프로그램 코드를 실행하기에 적절한 컴퓨팅 장치의 컴포넌트들의 블록도.
도 3은 본 발명에 따라 아키텍처 중립적인 포맷을 이용하여 잠재적인 말웨어를 안전한 프로그램 코드로 변환하는 과정을 도시하는 블록도.
도 4는 본 발명에 따라 잠재적인 말웨어를 안전한 프로그램 코드로 변환하는 데에 이용될 수 있는 변환 방법의 예시적인 실시예를 도시하는 흐름도.
도 5는 본 발명에 따라 프로그램 코드를 실행하는 데에 이용될 수 있는 실행 방법의 예시적인 실시예를 도시하는 흐름도.
본 발명의 상술한 양태 및 다수의 부수적인 이점들은 첨부된 도면을 참조하여 이루어질 이하의 상세한 설명을 참조하여 보다 잘 이해될 것이기 때문에 보다 쉽게 인식될 것이다.
본 발명에 따르면, 컴퓨팅 장치와 관련된 잠재적인 말웨어를 안전한 프로그램 코드로 변환하기 위한 시스템, 방법, 및 컴퓨터 판독가능 매체가 제공된다. 잠재적인 말웨어는 특정 컴퓨터로만 사용하도록 고안된(native) CPU 프로그램 코드, 플랫폼에 독자적인 .NET 바이트 코드, 및 스크립팅 프로그램 코드를 포함하지만 이에 한정되지 않는 복수의 서로 다른 유형의 소스 언어들 중 임의의 하나로부터 아키텍처-중립적인 포맷으로 된 안전하고 기능적으로 동등한 프로그램 코드로 변환된다. 그 다음 이 변환된 프로그램 코드는 특정 컴퓨터로만 사용하도록 고안된 CPU에 의해 실행될 수 있는 프로그램 코드로 다시 "컴파일"된다. 실행 이전 및/또는 실행 중에, 본 발명은 스캐너로 하여금 메모리에 저장된 말웨어를 찾기 위한 검색을 하게 한다. 말웨어가 탐지되지 않으면, 컴퓨팅 장치는 CPU로 하여금 변환된 프로그램 코드를 실행시키게 한다. 그러나, 잠재적인 말웨어를 저장하는 컴퓨터 메모리가 실행 중에 변경된다면 실행이 인터럽트될 수 있다. 이 예에서, 현재 메모리에 저장된 새로운 잠재적인 말웨어는 실행되기 전에 안전한 프로그램 코드로 변환될 것이다.
본 발명은 주로 특정 컴퓨터 아키텍처 및 소프트웨어 언어에 관련하여 기술될 것이지만, 당업자 및 다른 이들은 본 발명이 이들 설명된 것과는 다른 컴퓨터 아키텍처 또는 소스 언어에서도 적용될 수 있다고 인식할 것이다. 다음 설명은 먼저 본 발명이 구현될 수 있는 시스템의 개관을 제공한다. 그 다음 본 발명을 구현하는 방법이 기술된다. 본원에 제공된 예시적인 예들은 본 발명을 개시된 정확한 형태로 제한하거나 이 형태로 모두 표현될 수 있는 것을 의도하지 않는다. 마찬가 지로, 본원에 기술된 임의의 단계들은 동일한 결과를 성취하기 위하여 다른 단계, 또는 단계들의 조합으로 서로 교체될 수 있다.
이제 도 2를 참조해 보면, 다음은 본 발명이 구현될 수 있는 하나의 적절한 말웨어 탐지 시스템(200)의 예시적인 개관을 제공하는 것을 의도하였다. 도시된 말웨어 탐지 시스템(200)은 중앙 처리 장치(202), 스캐너(204), 변환 엔진(206), 블록 관리자(208), 컴파일 엔진(210), 및 가상 환경(212)을 포함한다. 본 발명의 일 실시예에서, 가상 환경(212)은 가상 I/O 시스템(214) 및 가상 메모리(216)를 포함한다. 또한, 이하 보다 상세히 기술될 바와 같이, 변환 엔진(206) 및 컴파일 엔진(210)은 플러그-인 모듈(218 및 220)과 같은 하나 이상의 플러그-인 모듈을 각각 지원할 수 있다. 본 발명의 일 실시예를 기술하는 일반적인 관점에서, 말웨어 탐지 시스템(200)의 컴포넌트들은 모호한 말웨어를 탐지하는 스캐너(204)가 필요로 하는 인프라스트럭처를 제공한다. 또한, 말웨어 탐지 시스템(200)의 컴포넌트들은 잠재적인 말웨어로부터 변환되는 안전한 프로그램 코드를 실행시키면서 말웨어의 고속 복호화 및 탐지를 할 수 있게 한다.
도 2에 도시된 바와 같이, 말웨어 탐지 시스템(200)은 CPU(202)를 포함한다. 당업자 및 다른 이들은 CPU(202)가 특정 컴퓨터로만 사용하도록 고안된 프로그램 코드의 실행을 지원함으로써 말웨어 탐지 시스템(200)의 전산적인 중추로서 기능하고 있음을 인식할 것이다. 모호한 말웨어를 탐지하는 데에 이용되는 하나의 종래 기술의 시스템은 가상 CPU를 포함하는 가상 운영 환경에서 프로그램 실행을 "에뮬레이팅(emulate)"한다. 에뮬레이션 중에, 가상 운영 환경에서 관측된 프로그램 이 벤트에 기초하여 행위 시그너처가 생성된다. 행위 시그너처는 에뮬레이팅된 프로그램이 말웨어인지를 판정하기 위한 분석에 적절하게 구성된다. 이러한 유형의 시스템에서, 가상 CPU 상에 프로그램의 각 명령어가 에뮬레이팅된다. 결과적으로, 에뮬레이션은 본 발명이 제공하는 말웨어 탐지 인프라스트럭처에 비교해볼 때 시간-소모적이고 현저한 성능 저하를 일으킬 수 있다. 예를 들면, 루프로 된 프로그램 명령어는 프로그램 명령어의 효력이 이전 반복에서 관측되었을 경우라도 가상 CPU 상에서는 그 루프 전반에 걸친 순환마다 에뮬레이팅된다. 또한, 프로그램은 상당한 전산적인 오버헤드를 소비하는 소프트웨어로 구현된 가상 CPU 상에서 에뮬레이팅된다. 대조적으로, 본 발명은 실질적인 또는 하드웨어 기반 CPU(202) 상에서 프로그램 코드를 실행시킨다. 말웨어가 실행되지 않음을 보장하기 위하여, 잠재적인 말웨어 내의 프로그램 코드는 실행되기 전에 안전한 프로그램 코드로 변환된다.
도 2에 도시된 바와 같이, 말웨어 탐지 시스템(200)은 말웨어를 탐지하도록 설계된 스캐너(204)를 포함한다. 당업자 및 다른 이들에 공지된 바와 같이, 다수의 서로 다른 소프트웨어 벤더들은 말웨어의 프로그램 코드 특징을 식별하도록 구성된 안티바이러스 소프트웨어 내의 스캐너를 포함한다. 불행히도, 현존하는 스캐너는 실행 이전에 잠재적인 말웨어를 안전한 프로그램 코드로 변환하는 시스템에 관련하여 동작하도록 구성되지 않았다. 대신에, 몇몇의 현존하는 스캐너는 상술한 유형의 에뮬레이션 시스템과 관련하여 동작한다. 이들 시스템에서, 스캐너는 추가적인 오버헤드를 부과하여 에뮬레이션 과정이 상당한 양의 시간을 필요로 할 수 있다. 그러나, 본 발명에 의해 구현된 소프트웨어 루틴은 스캐너(204)에 "언패 킹(unpack)" (즉, 복호화)되거나 그렇지 않으면 런타임 시에 메모리에 로딩된 말웨어와 같은 모호한 말웨어를 빠르게 식별하는 데에 필요한 인프라스트럭처를 제공한다.
말웨어 탐지 시스템(200)은 또한 잠재적인 말웨어를 아키텍처 중립적인 프로그램 코드로 변환하도록 설계된 변환 엔진(206)을 포함한다. 보다 상세히는, 변환 엔진(206)은 특정 컴퓨터로만 사용하도록 고안된 CPU 프로그램 코드, 플랫폼에 독자적인 바이트 코드, 및 스크립팅 프로그램 코드를 포함하지만 이에 한정되지 않은 복수의 서로 다른 포맷 중 임의의 하나로 된 소스 언어로부터 잠재적인 말웨어를 디코딩할 수 있다. 그 다음 이 디코딩된 프로그램 코드 내의 각 명령어는 아키텍처-중립적인 포맷으로 변환된다. 변환 중에, 디코딩된 프로그램 코드는 기본 블록들로 분할될 수 있다. 당업자 및 다른 이들에게 공지된 바와 같이, 기본 블록은 시퀀스의 시작에서의 단일한 진입점(entry point) 및 시퀀스의 끝에서의 단일한 출구점(exit point)만을 포함하는 프로그램 코드의 시퀀스이다. 다시 말하자면, 기본 블록은 기껏해야 하나의 "점프" 명령어를 포함한다. 변환된 프로그램 코드의 기본 블록들은 잠재적인 말웨어가 본 발명에 의해 변환되고 실행되는 단위들이다. 프로그램 코드가 다수의 소스 언어로부터 변환될 수 있기 때문에, 변환 엔진(206)은 플러그-인 모듈(218)과 같은 플러그-인 모듈을 지원한다. 플러그-인 모듈은 소스 언어로 된 프로그램 코드를 아키텍처-중립적인 포맷으로 된 안전한 프로그램 코드로 변환하기 위한 로직을 제공한다. 대안적인 실시예에서, 변환 엔진(206)은 잠재적인 말웨어를 소스 언어로부터 실행될 수 있는 안전한 프로그램 코드로 바로 변 환한다. 이 실시예에서, 아키텍처-중립적인 포맷은 이용되지 않는다. 그러나, 아키텍처-중립적인 포맷은 변환 엔진(206)이 복수의 소스 언어로부터 프로그램 코드를 변환하도록 구성될 경우의 예에서 변환 과정의 구현을 간단히 한다.
말웨어 탐지 시스템(200)은 또한 기본 블록의 실행을 관리하기 위한 블록 관리자(208)를 포함한다. 블록 관리자(208)는 기본 블록을 분석하고 서로 다른 기본 블록들 간의 관계에 관련된 정보를 저장하는 데이터 구조를 작성하도록 구성된다. 변환된 프로그램 코드가 실행된 이후에, 블록 관리자(208)에 포함된 로직은 추가적인 프로그램 코드를 변환할 시점을 결정하기 위한 결정 프로세스를 제공한다. 이와 관련하여, 블록 관리자(208)는 데이터 구조에 저장된 데이터를 참조하고 업데이트할 것이다. 또한, 블록 관리자(208)는 스캐너(204)가 말웨어를 찾기 위해 프로그램 코드를 검색해야할 시점을 결정하기 위한 로직을 포함한다.
도 2에 도시된 바와 같이, 말웨어 탐지 시스템(200)은 CPU(202)에 의해 실행될 수 있는 프로그램 코드를 생성하는 컴파일 엔진(210)을 포함한다. 보다 상세히는, 변환 엔진(206)에 의해 생성된 아키텍처-중립적인 프로그램 코드는 컴파일 엔진(210)에 의해 아키텍처-특정 포맷으로 컴파일된다. 프로그램 코드가 서로 다른 아키텍처에 대하여 컴파일될 필요가 있을 수 있기 때문에, 컴파일 엔진(206)은 플러그-인 모듈(220)과 같은 플러그-인 모듈을 지원한다. 플러그-인 모듈은 아키텍처-중립적인 프로그램 코드를 특정 컴퓨터 아키텍처에 의해 부과되는 제약사항을 따르는 프로그램 코드로 컴파일하기 위한 로직을 제공한다.
도 2에 도시된 바와 같이, 말웨어 탐지 시스템(200)은 또한 가상 I/O 시스 템(214) 및 가상 메모리(216)를 포함하는 가상 환경(212)을 지원한다. 가상 환경의 기능 중 다수가 본 발명을 이해하는 데에 중요하지 않기 때문에, 이들은 본 명세서에서 상세히 기술되지 않을 것이다. 또한, 이들은 본 발명을 이해하는 데에 중요하지 않기 때문에, 다수의 가상 환경(212)의 컴포넌트는 도 2에 도시되지 않는다. 본 발명에 관련하여, 가상 환경(212)은 잠재적인 말웨어의 자원 이용에 관련하는 정보를 제공한다. 예를 들면, 블록 관리자(208)는 프로그램 코드 변환 시점을 결정하기 위한 결정 프로세스를 제공한다. 이와 관련하여, 블록 관리자(208)는 실행 중에 메모리 내에서 기본 블록이 변경되었는지를 판정하기 위한 호출을 가상 환경(212)에 할 수 있다. 가상 환경(212)은 메모리 할당에서의 변경을 포함하는 자원의 이용과 관련된 정보를, 본 발명에 의해 구현되는 소프트웨어 루틴에 제공하도록 구성된다.
도 2에 도시된 바와 같이, 말웨어 탐지 시스템(200)의 각 컴포넌트, 예를 들면, CPU(202), 스캐너(204), 변환 엔진(206), 블록 관리자(208), 컴파일 엔진(210), 및 가상 환경(212)은 상호 접속되어 다른 컴포넌트들과 통신할 수 있다. 당업자 및 다른 이들에게 알려진 바와 같이, 도 2는 본 발명에 의해 구현된 기능을 수행할 수 있는 하나의 말웨어 탐지 시스템(200)의 간단한 일례이다. 말웨어 탐지 시스템(200)의 실질적인 실시예는 도 2에 도시되거나 첨부된 텍스트에 기술되지 않은 추가적인 컴포넌트를 가질 것이다. 또한, 도 2는 변환된 프로그램 코드를 안전하게 실행사기 위한 하나의 컴포넌트 아키텍처를 도시하지만, 다른 컴포넌트 아키텍처가 가능하다.
이제, 도 3을 참조해 보면, 말웨어 탐지를 위해 안전한 프로그램 코드를 생성하도록 본 발명에 의해 구현되는 컴포넌트 및 루틴이 기술된다. 도 3은 AMD-64 실행가능물(302), X86-32 실행가능물(304), 및 .NET 바이트 코드(306)를 포함하는 잠재적인 말웨어의 3가지 예를 도시한다. 또한 도 3에는 도 2에 도시되었던 변환 엔진(206), 컴파일 엔진(210), 및 플러그인-모듈(218-220)도 도시된다. 일반적으로 설명하자면, 변환 엔진(206) 및 컴파일 엔진(210)은 실행하기에 안전한 프로그램 코드를 생성하는 것에 관련하여 동작한다. 도 3에 도시된 본 발명의 실시예는 아키텍처 중립적인 포맷을 이용하여 안전한 프로그램 코드를 생성한다. 그러나, 대안적인 실시예에서, 잠재적인 말웨어(302-306)는 아키텍처 중립적인 포맷을 이용하지 않고 안전한 프로그램 코드로 직접 변환될 수 있다.
통상적으로 동적 변환은 프로그램 코드를 소스 언어로부터 타깃 언어 또는 포맷으로 변환하기 위한 과정으로서 정의된다. 통상적으로 프로그램 코드는 목적을 만족시키기 위하여 변환된다. 예를 들면, 몇몇의 현존하는 변환기는 명령어 세트를 더 작지만 기능적으로 동등한 명령어 세트로 줄임으로써 프로그램 코드를 최적화한다. 다른 예로서, 몇몇의 CPU는 레가시(legacy) 프로그램이 새로운 컴퓨팅 장치 상에 실행될 수 있도록 프로그램 코드를 구식의 컴퓨터 아키텍처가 이해하는 언어로부터 최근에 개발된 언어로 변환하는 것을 지원한다. 대부분의 최신의 변환기는 프로그램 코드를 변환하는 과정이 프로그램 코드가 실행되고 있을 때 런타임 시 또는 "진행 중에(on the fly)" 수행된다는 점에서 동적이다. 동적 변환을 구현하는 과정은 말웨어 탐지와는 다른 영역으로 제한되었다. 그러나, 도 3에 도시된 바와 같이, 본 발명은 말웨어 탐지를 위하여 프로그램 코드를 소스 언어(즉, AMD 64 비트, X86 32 비트, 및 .NET 바이트 코드)로부터 타깃 포맷(즉, 아키텍처-중립적인 포맷)으로 변환하기 위한 변환 엔진(206)에서의 일반화된 프레임워크를 제공한다. 다시 말하자면, 변환 엔진(206)은 단지 2개의 언어들 간의 프로그램 코드 변환으로 한정되지 않는다. 대신에, 변환 엔진(206)은 복수의 소스 언어들로부터의 변환을 지원하도록 구성될 수 있다. 이와 관련하여, 소스 언어와 아키텍처-중립적인 포맷 간의 변환을 지원하기 위하여 플러그-인 모듈이 변환 엔진(206)에 추가될 수 있다. 도 3에 도시된 소스 언어 유형들은 예시적인 것이며 제한적이지 않는다고 해석되어야 한다. 예를 들면, 본 발명은 도 3에 도시되지 않은 스크립팅 언어 또는 아키텍처-독자적인 소스 언어로부터 프로그램 코드를 변환하도록 구성될 수 있다.
본 발명의 실질적인 실시예에서, 플러그-인 모듈(218)은 "X86" 32-비트 명령어 세트의 요구사항을 만족시키는 언어와 아키텍처-중립적인 포맷 간의 변환을 지원한다. 변환 처리 시에, 프로그램 코드는 소스 언어로부터 타깃 언어로 된 기능적으로 동등한 코드로 변환될 뿐만 아니라, 프로그램 코드는 "안전"(즉, 실행될 때 컴퓨팅 장치에 손상을 입힐 수 없게)해질 수 있다. 예를 들면, 다음의 명령어는 소스 언어로 구현될 수 있다 - "X/Y", 여기서 "X" 및 "Y"는 숫자 값임 -. 이러한 유형의 명령어는 "Y"가 값 0과 같을 경우 프로그램을 충돌하게 할 수 있다. 이 예에서, 명령어는 "Y는 0이 아닌 한에서 X/Y"로 변환된다. 다른 예로서, 플러그-인 모듈(218)은 하드웨어 장치, 메모리, 및 레지스터 등의 자원을 액세스하는 것을 시 도하는 명령어를 변환한다. 도 2를 참조하여 상술한 바와 같이, 본 발명은 가상 자원을 보유하는 가상 환경(212)에 관련하여 구현된다. 이 예에서, 본 발명은 가상 자원과 실제 자원 간에 필요한 매핑이 완료되도록 자원을 액세스하는 명령어를 변환한다.
도 3에 도시된 바와 같이, 잠재적인 말웨어(302-306)가 아키텍처-중립적인 프로그램 코드(308)로 변환된 이후에, 컴파일 엔진(210) 및 플러그-인 모듈(220)은 아키텍처-중립적인 프로그램 코드(308)를 안전한 프로그램 코드로 "컴파일"한다. 도 3에서, 안전한 프로그램 코드는 안전한 프로그램 코드(310), 안전한 프로그램 코드(312), 및 안전한 프로그램 코드(314)로 나타내었다. 도시된 바와 같이, 안전한 프로그램 코드는 (도 2의) CPU(202)의 아키텍처에 따라 복수의 서로 다른 포맷들 중 임의의 하나일 수 있다. 당업자 및 다른 이들에 공지된 바와 같이, 컴파일링은 통상적으로 고급 프로그램 코드를 실행가능한 코드로 변환하는 것으로 정의된다. 본 발명에 관련하여, 컴파일 엔진(210)은 아키텍처-중립적인 프로그램 코드(308)로부터 실행가능한 프로그램 코드를 생성한다. 본 발명의 일 실시예에서, 아키텍처-중립적인 프로그램 코드(308)는 2진 포맷으로 되어 있다. 그러므로, 컴파일 엔진(210)에 의해 수행되는 "컴파일"은 아키텍처-중립적인 2진 코드로부터 실행가능한 프로그램 코드를 생성하는 것으로서 정의된다. 또한, 컴파일 엔진(210)은 아키텍처-중립적인 포맷으로부터 특정 컴퓨터 아키텍처의 제약사항을 만족시키는 실행가능한 코드로 프로그램 코드를 "컴파일"하기 위한 일반화된 프레임워크를 제공한다. 다시 말하자면, 컴파일 엔진(210)은 프로그램 코드를 2개의 포맷들 간 에 "컴파일"하는 것에 제한되지 않는다. 대신에, 컴파일 엔진(210)은 아키텍처-중립적인 프로그램 코드(308)를 CPU(202)의 아키텍처에 따라 다른, 복수의 포맷들 중 임의의 하나로 된 프로그램 코드로 컴파일할 수 있다. 이에 관련하여, 컴파일 엔진(210)에 의해 제공되는 기능은 플러그-인 모듈에 의해 확장될 수 있다. 본 발명의 실질적인 실시예에서, 플러그-인 모듈(220)은 아키텍처-중립적인 프로그램 코드를 "X86" 32-비트 명령어 세트의 제약사항을 만족시키는 프로그램 코드로 "컴파일"하는 것을 지원한다.
도 4는 본 발명에 따라 형성된 변환 방법(400)의 한 예시적인 실시예를 도시하는 흐름도이다. 잠재적인 말웨어를 실행하라는 요청을 수신하는 것에 응답하여, 변환 방법(400)은 잠재적인 말웨어 내의 명령어를 순차적으로 분석한다. 본 발명에 의해 이전에 분석되지 않았던 기본 블록의 첫 번째 명령어인 명령어를 만나게 될 때, 변환 방법(400)은 스캐너가 이 기본 블록에서 말웨어를 찾기 위한 검색을 수행하도록 한다. 선택된 명령어는 명령어의 속성을 기술하는 데이터 세트로 디코딩된다. 그 다음 데이터 세트는 이 선택된 명령어를 아키텍처-중립적인 포맷으로 된 안전하고 기능적으로 동등한 프로그램 코드로 변환하는 데에 이용된다. 프로그램 코드의 기본 블록이 아키텍처-중립적인 포맷으로 변환된 이후에, 변환된 프로그램 코드는 실행가능한 코드로 "컴파일"된다. 도 1 내지 3 및 첨부된 설명을 계속하여 참조하여, 이제 도 4에 도시된 예시적인 변환 방법(400)이 기술될 것이다.
단계(402)에서, 변환 방법(400)은 아이들(idle) 상태를 유지하며 잠재적인 말웨어를 실행하라는 요청을 기다린다. 당업자 및 다른 이들은 잠재적인 말웨어를 실행하라는 요청이 다양한 서로 다른 메카니즘을 통해 개시될 수 있음을 인식할 것이다. 예를 들면, 컴퓨터 사용자는 프로그램에 관련된 아이콘을 "더블 클릭"함으로써 프로그램의 실행을 개시하라는 요청을 발행할 수 있다. 다른 예로써, 컴퓨터 사용자는 드롭-다운 메뉴 또는 다른 그래픽 기반 입력 시스템으로부터의 "파일 열기" 명령을 발행함으로써 파일과 관련된 프로그램의 실행을 개시할 수 있다. 그러나, 당업자 및 다른 이들에게 알려진 바와 같이, 상기 제공된 예들은 예시적인 것이며 제한적이지 않는 것으로 해석되어야 하며, 잠재적인 말웨어를 실행하라는 요청을 발행하기 위한 다수의 서로 다른 메카니즘이 존재한다.
단계(402)에서 수신된 요청을 만족시키기 위하여, 단계(404)에서, 현존하는 운영 체제의 컴포넌트는 잠재적인 말웨어를 실행하기 위한 준비를 하는 액션을 수행한다. 통상적으로, 프로그램을 실행하기 위하여, 운영 체제는 프로그램을 위한 주소 공간(즉, 메모리)을 초기화하고 이 초기화된 주소 공간으로 필요한 프로그램 코드를 복사한다. 그러나, 당업자들 및 다른 이들에 공지된 바와 같이, 말웨어는 말웨어 시그너처가 식별될 수 있기 전에 페이로드를 복호화하거나 그렇지 않으면 "언패킹"함으로써 실행 중에 메모리의 데이터를 변경할 수 있다. 통상적으로, 말웨어 페이로드는 이미 메모리에 저장된 데이터에 산술 및/또는 논리 연산을 적용한 결과로서 "언패킹"된다. 여하튼 간에, 단계(404)에서 잠재적인 말웨어에 관련된 프로그램 코드가 메모리에 로딩된다.
단계(406)에서, 변환 방법(400)은 기본 블록들 간의 실행 흐름을 포함하는, 잠재적인 말웨어에서의 기본 블록의 속성을 기술하는 데이터 구조를 초기화한다. 도 5를 참조하여 이하 더 상세히 기술될 바와 같이, 통상적으로 본 발명이 프로그램 코드를 실행하는 단위는 기본 블록이다. 단계(406)에서, 각 기본 블록을 기술하는 정보를 가지는 데이터 구조가 초기화된다. 예를 들면, 현재의 기본 블록 다음에 실행되기로 스케줄링 된 기본 블록의 뒤에 오는 기본 블록이 식별되고 데이터 구조에 저장된다. 또한, 기본 블록들 간에 일어나는 제어 이동 유형(즉, 조건적인 분기 및 비조건적인 분기 등)이 식별되고 데이터 구조에 저장된다. 이와 관련하여, 다른 기본 블록으로부터의 제어를 받아들이거나 다른 기본 블록으로 제어를 이동시키는 명령어가 식별된다.
단계(408)에서, 변환 방법(400)에 의해 분석되어야 할 명령어가 선택된다. 전술된 바와 같이, 프로그램 내의 명령어들은 정의된 순서대로 실행된다. 그러나, 분기와 같은 특정 명령어들은 실행되기로 스케줄링 된 다음 명령어를 식별하는 데에 이용되는 레지스터에 새로운 값을 배치함으로써 정상적인 실행 순서에 인터럽트를 건다. 이하 보다 상세히 기술될 바와 같이, 정상적인 실행 순서에 인터럽트를 거는 명령어는 기본 블록의 끝을 표시한다. 변환 방법(400)에 의해 수행되는 분석은 프로그램이 실행될 때 일어나는 것과 동일한 실행 흐름을 따른다. 그러나, 프로그램 코드가 분석되고 그 후에 실행되는 기본 단위는 기본 블록이다. 이러한 실행 흐름을 따르는 명령어들이 본 기술 분야에 일반적으로 공지된 기술을 이용하여 식별될 수 있기 때문에, 단계(408)에서 변환 방법에 의해 이용되는 기술의 설명은 본원에서는 더 제공되지 않는다.
도 4에 도시된 바와 같이, 변환 방법(400)은, 단계(410)에서, 단계(408)에서 선택된 명령어가 본 발명에 의해 이전에 분석되지 않았던 기본 블록의 첫 번째 명령어인지를 판정한다. 본 발명의 일 실시예에서, 프로그램 진입점 또는 점프 명령어의 수신지 주소에 있는 명령어가 기본 블록의 첫 번째 명령어로서 식별된다. 또한, 변환 방법(400)은 선택된 명령어의 주소를 이전에 분석되었던 기본 블록 각각의 첫 번째 명령어의 주소(존재할 경우)와 비교함으로써 기본 블록이 안전한 프로그램 코드로 미리 변환되었는지를 판정한다. 선택된 명령어가 이전에 분석된 기본 블록의 첫 번째 명령어의 주소와 일치하지 않는다면, 선택된 명령어는 이전에 안전한 프로그램 코드로 변환되지 않았던 새로운 기본 블록의 시작부이며 변환 방법(400)은 단계(412)로 진행된다. 반대로, 선택된 명령어가 기본 블록의 첫 번째 명령어가 아니거나 현재 기본 블록이 이전에 분석되었다면, 변환 방법(400)은 단계(414)로 진행된다.
단계(412)에서, 단계(406)에서 초기화된 데이터 구조에 단계(410)에서 식별된 기본 블록에 대한 진입점이 생성된다. 상술한 바와 같이, 본 발명에 의해 보유되는 데이터 구조는 안전한 프로그램 코드로 변환된 기본 블록의 속성을 기술한다. 예를 들면, 각 기본 블록의 시작 주소 및 기본 블록의 속성을 기술하는 다른 데이터가 데이터 구조에 저장된다. 또한, 단계(412)에서 데이터 구조의 진입점을 생성하는 것은 기본 블록과 관련된 특정 변수를 인스턴트화(instantiate)하는 것을 포함한다. 예를 들면, 말웨어를 찾기 위하여 기본 블록이 스캐닝되었음을 나타내는 변수(이하 "스캐닝됨 변수"라 칭함) 및 기본 블록이 안전한 프로그램 코드로 변환되었는지를 나타내는 변수(이하 "변환됨 변수"라 칭함)가 인스턴트화되고 데이터 구조에 저장된다. 이들 변수가 인스턴트화된 경우, 단계(412)에서, 이들의 값들은 기본 블록이 말웨어를 찾기 위해 스캐닝되지 않았거나 안전한 프로그램 코드로 변환되지 않았음을 나타낸다.
단계(414)에서, 변환 방법(400)은 선택된 명령어를 포함하는 기본 블록이 실행되기 전에 말웨어를 찾기 위하여 검색될 필요가 있는지를 판정한다. 상술한 바와 같이, 말웨어를 찾기 위해 기본 블록이 이전에 검색되었는지를 나타내는 "스캔닝됨" 변수는 각 기본 블록과 관련된다. 단계(414)에서, 변환 방법(400)은 현재 기본 블록과 관련된 변수의 값을 식별한다. 말웨어를 찾기 위해 현재 기본 블록이 이전에 검색되지 않았다면, 변환 방법(400)은 단계(416)로 진행된다. 반대로, 기본 블록이 이전에 검색되었다면, 변환 방법(400)은 후술될 단계(426)로 진행된다.
단계(416)에서, 변환 방법(400)은 단계(408)에서 선택된 명령어가 위치되는 기본 블록의 스캔을 수행시킨다. 본 발명의 일 실시예에서, (도 2의) 스캐너(204) 내의 소프트웨어로 구현된 루틴은 말웨어를 찾기 위하여 현재 기본 블록을 검색한다. 상술한 바와 같이, 대부분의 안티바이러스 소프트웨어 애플리케이션 또는 스캐너는 데이터의 패턴을 말웨어 "시그너처"와 일치시킴으로써 말웨어를 찾기 위한 검색을 한다. 그러나, 몇몇의 모호한 말웨어가 존재할 때 일어나는 경우와 같이, 실행 중에 데이터가 "언패킹"(즉, 복호화)되거나 다른 경우 메모리에 로딩될 때, 기존의 안티바이러스 소프트웨어에 대한 취약성이 발생한다. 이 예에서, 수행되고 있는 말웨어를 찾기 위한 추가적인 스캐닝 없이 잠재적인 말웨어의 프로그램 코드의 실행이 계속된다. 다시 말하자면, 런타임 시에 데이터가 "언패킹"될 때 실행에 인터럽트가 걸리지 않는다. 그러나, 도 5를 참조하여 이하 보다 상세히 기술될 바와 같이, 본 발명은 런타임 시에 데이터가 "언패킹"될 때 프로그램 실행에 인터럽트를 거는 것이다. 그러므로, 단계(416)에서, 말웨어 페이로드가 "언패킹"되거나 다른 경우 메모리로 로딩된 이후에 스캐너(204)는 모호한 말웨어를 찾기 위해 검색을 하고 있을 수 있다. 또한, 단계(416)에서, 현재 기본 블록이 스캐닝된 이후에, 변환 방법(400)은 말웨어를 찾기 위하여 현재 기본 블록이 검색되었음을 나타내는 현재 기본 블록에 관련된 "스캐닝됨" 변수의 값을 설정한다.
도 4에 도시된 바와 같이, 단계(418)에서, 변환 방법(400)은 현재 기본 블록이 단계(416)에서 말웨어에 감염되어 있는 것으로 식별되었는지를 판정한다. 말웨어 감염이 식별되었다면, 방법(400)은 단계(420)에서 본 기술 분야에서 일반적으로 공지된 기술을 이용하여 이 감염을 사용자에게 보고하는 것을 진행한다. 말웨어 감염이 식별되지 않았다면, 변환 방법(400)은 후술될 단계(426)로 진행한다.
단계(422)에서, 변환 방법(400)은 충분한 정밀도를 가지고 말웨어의 식별이 이루어졌는지 판정한다. 말웨어가 탐지되었다면, 통상적으로 말웨어의 시그너처 또는 다른 특징으로부터의 말웨어의 식별을 명백히 알 수 있다. 그러나, 몇몇의 예에서, 말웨어 감염은 말웨어의 정확한 식별을 알지 않고도 명백히 알 수 있다. 예를 들면, 몇몇의 말웨어는 구별하기에 어려운 변형물을 가진다. 여하튼 간에, 기본 블록이 감염되었고 충분한 정밀도를 가지고 말웨어의 식별이 이루어졌다면, 변환 방법(400)은 이 방법은 종료하는 단계(424)로 진행한다. 반대로, 말웨어의 식별이 충분한 정밀도를 가지고 이루어지지 않았다면, 변환 방법(400)은 단계(426) 로 진행된다.
단계(426)에서, 변환 방법(400)은 선택된 명령어를 포함하는 기본 블록이 실행되기 전에 안전한 프로그램 코드로 변환될 필요가 있는지를 판정한다. 상술한 바와 같이, 본 발명은 기본 블록이 이전에 변환되었고 안전하고 실행가능한 프로그램 코드로 "컴파일"되었는지를 나타내는 "변환됨" 변수를 각 기본 블록에 연관시킨다. 기본 블록이 이전에 변환되지 않았고 실행가능하고 안전한 프로그램 코드로 "컴파일"되지 않았다면, 변환됨 변수는 기본 블록이 잠재적인 말웨어임을 나타낸다. 단계(426)에서, 변환 방법(400)은 현재 기본 블록에 대한 변환됨 변수의 값을 식별한다. 현재 기본 블록이 잠재적인 말웨어라면, 변환 방법(400)은 단계(428)로 진행된다. 반대로, 기본 블록이 이전에 변환되었고 안전하고 실행가능한 프로그램 코드로 "컴파일"되었다면, 변환 방법(400)은 이 방법을 종료하는 단계(440)로 진행된다. 이 예에서, 기본 블록은 도 5를 참조하여 이하 기술될 실행 방법(500)에 따라 안전하게 실행될 수 있다.
도 4에 도시된 바와 같이, 변환 방법(400)은 단계(428)에서 선택된 명령어를 소스 언어(즉, 특정 컴퓨터로만 사용하도록 고안된 CPU 프로그램 코드, 플랫폼에 독자적인 바이트 코드, 및 스크립팅 프로그램 코드, 등)로부터 명령어를 기술하는 데이터 세트로 디코딩한다. 이 데이터 세트는 명령어의 길이 및 유형, 피연산자의 개수 및 유형, 및 이 명령어를 실행시키는 데에 필요한 특권 레벨을 포함하지만 이에 한정되지 않는다. 단계(428)에서, 선택된 명령어는 선택된 명령어에 의해 제공된 기능이 아키텍처-중립적인 포맷으로 변환될 수 있도록 소스 언어로부터 명령어 를 기술하는 데이터 세트로 디코딩된다. 선택된 명령어가 본 기술 분야에서 일반적으로 공지된 기술을 이용하여 디코딩될 수 있기 때문에, 본 발명에 의해 이용된 기술의 설명은 본원에 더 제공되지 않는다.
단계(430)에서, 선택된 명령어는 아키텍처-중립적인 포맷인 안전한 프로그램 코드로 변환된다. 변환은 (도 2의) 플러그-인 모듈(218)과 같은 변환 엔진(206)에 대한 플러그-인 모듈에 의해 수행될 수 있다. 본 발명의 한 예시적인 실시예를 기술하는 일반적인 관점에서, 변환 방법(400)은 분석되고 있는 선택된 명령어를 아키텍처-중립적인 포맷인 안전한 명령어로 변환한다. 변환을 수행하기 위하여, "언패킹"(즉, 복호화)하거나 다른 경우 말웨어 기능을 생성하는데 이용될 수 있는 각 유형의 명령어는 변환 엔진(206)에 대한 플러그-인 모듈에 포함된 루틴에 의해 안전한 프로그램 코드로 변환된다. 이와 관련하여, 산술 연산(즉, "덧셈", "곱셈", 등), 비트단위 연산(즉, "and", "or", "xor", 등), 하드웨어 장치에의 입/출력(즉, "판독", "기록", 등) 등을 구현하는 명령어는 아키텍처-중립적인 포맷으로 된 기능적으로 동등한 프로그램 코드로 변환된다. 예를 들면, 본 발명은 가상의 I/O 시스템(214)을 포함하는 (도 2의) 가상의 환경(212) 내의 자원을 이용한다. 그러므로, 선택된 명령어가 I/O 장치를 액세스하기를 시도한다면, 방법(400)은 입력 및 출력이 가상의 I/O 시스템(214)에 송신되도록 명령어를 변환한다. 본 발명에 의해 변환되는 명령어의 특정 예가 기술되었지만, 제공된 예들은 예시적인 것이며 제한적인 것이 아니라고 해석되어야 한다.
도 4에 도시된 바와 같이, 변환 방법(400)은, 단계(432)에서, 단계(408)에서 선택된 명령어가 기본 블록의 마지막 명령인지를 판정한다. 당업자들 및 다른 이들은 기본 블록이 점프 명령어와 같은 단일한 출구점에서 종료됨을 인식한다. 단계(432)에서, 변환 방법(400)은 분석되고 있는 명령어가 기본 블록의 마지막 명령어인지 판정한다. 본 기술 분야에서 일반적으로 공지된 기술을 이용하여 기본 블록의 마지막 명령어가 식별될 수 있기 때문에, 본 발명에 의해 이용되는 기술의 다른 설명은 본원에 더 자세히 기술되지 않는다. 분석되고 있는 명령어가 현재 기본 불록의 마지막 명령어라면, 변환 방법(400)은 단계(432)로 진행된다. 반대로, 선택된 명령어가 기본 블록의 마지막 명령어가 아니라면, 변환 방법(400)은 단계(408)로 다시 진행되고 현재 기본 블록의 마지막 명령어가 선택될 때까지 단계(408) 내지 단계(432)가 반복된다.
도 4에 도시된 바와 같이, 단계(434)에서, 변환 방법(400)은 현재 기본 블록이 실행가능한 프로그램 코드로 "컴파일"되게 한다. 당업자들 및 다른 이들에 공지된 바와 같이, 컴파일러는 소스 언어로 작성된 프로그램 코드를 획득하는 프로그램이며 특정 아키텍처용으로 설계된 실행가능한 프로그램 코드를 생성한다. 통상적으로, 컴파일러는 우선 소스 언어로부터 모든 프로그램 코드를 차례로 파싱한다. 그 다음 하나 이상의 연속적인 단계로, 컴파일러는 명령어가 다른 명령어들을 올바르게 참조하는 것을 보장하도록 실행가능한 프로그램 코드를 작성한다. 컴파일러에 의해 생성된 출력물은 컴퓨팅 장치의 아키텍처 요구사항을 만족시키고 CPU가 순차적으로 명령어를 수행할 수 있게 한다. 본 발명에 관련하여, 단계(434)에서, 변환 방법(400)은 아키텍처-중립적인 프로그램 코드로부터 실행가능한 프로그램 코드 를 생성한다. 아키텍처-중립적인 프로그램 코드는 2진 포맷으로 되어 있기 때문에, 단계(434)에서 일어나는 "컴파일"은 아키텍처-중립적인 2진 코드로부터 실행가능한 프로그램 코드를 생성하는 것을 포함한다. 또한, 이하 보다 상세히 설명할 바와 같이, "컴파일" 중에, 하나 이상의 명령어가 컴파일된 코드에 추가될 수 있다. 본 발명의 실질적인 실시예에서, 컴파일 엔진(210)에 대한 플러그-인 모듈(220)은 아키텍처-중립적인 프로그램 코드를 "X86" 32-비트 명령어 세트의 제약사항을 만족시키는 프로그램 코드로 "컴파일"하는 것을 지원한다. 그 다음 변환 방법은 이 방법을 종료하는 단계(440)로 진행한다.
단계(436)에서, 변환 방법(400)은 "컴파일"된 프로그램 코드의 마지막 명령어가 점프 명령어인지 판정한다. 통상적으로, 기본 블록은 실행의 제어를 현재 기본 블록 외부의 프로그램 코드로 이동시키는 점프 명령어로 종료한다. 단계(430)에서, 본 발명은 기본 블록이 실행된 이후에 실행의 제어를 (도 2의) 블록 관리자(208)로 복귀시키는 새로운 점프 명령어로 마주친 점프 명령어를 변환한다. 기본 블록이 실행되기 전에, 블록 관리자(208)는 스캐너(204)가 말웨어를 찾기 위한 검색을 하게 하는 것을 포함하는 상술한 특정 액션을 수행한다. 그러나, 프로그램 코드의 기본 블록은 말웨어 탐지를 위하여 본 발명에 의해 분할되고, 합쳐지거나, 다르게 조작될 수 있다. 예를 들면, 도 5를 참조하여 이하 보다 상세히 기술될 바와 같이, 현재 실행 시점 이후에 실행에 의하여 메모리 내의 프로그램 코드가 기본 블록에서 변경될 때, 말웨어를 찾기 위한 기본 블록 스캐닝을 하지 않고 실행을 계속하는 것은 바람직하지 못한 기능을 일으킬 수 있다. 이 예에서, 기본 블록은 2 개 이상의 기본 블록으로 "분할"된다. 결과적으로 이러한 예 및 다른 예에서, 변환 방법(400)은 점프 명령어로 종료되지 않는 기본 블록을 만날 것이다. 컴파일된 프로그램 코드의 마지막 명령어가 점프 명령어라면, 프로그램 제어는 현재 기본 블록이 실행된 이후에 블록 관리자(208)로 복귀할 것이다. 이 예에서, 변환 방법(400)은 이 방법을 종료하는 블록(440)으로 진행한다. 반대로, 컴파일된 프로그램 코드의 마지막 명령어가 점프 명령어가 아니라면, 제어는 현재 기본 블록이 실행된 이후에 블록 관리자(208)로 정상적으로 복귀하지 않을 것이다. 이 예에서, 변환 방법(400)은 단계(438)로 진행한다.
단계(438)에서, 기본 블록의 실행이 완료된 이후에 (도 2의) 블록 관리자(208)로 프로그램 제어를 복귀시키는 명령어가 "컴파일된" 프로그램 코드에 추가된다. 본 발명은 프로그램 실행에서의 흐름의 양태를 관리하여, 메모리에 로딩되는 잠재적인 말웨어를 실행되기 전에 스캐닝하고 안전한 프로그램 코드로 변환할 수 있다. 전술한 바와 같이, 블록 관리자(208)는 실행의 흐름을 제어한다. 그러므로, 단계(438)에서, 기본 블록의 실행이 완료된 이후에 프로그램 제어를 블록 관리자(208)로 복귀시키는 명령어가 컴파일된 프로그램 코드에 추가된다.
본 발명의 대안적인 실시예에서는, 프로그램 제어를 블록 관리자(208)로 이동시키지 않는 명령어가 "컴파일된" 프로그램 코드에 추가된다. 이 실시예에서, 실행되기로 스케줄링 된 다음 기본 블록이 깨끗하다면(clean), 예를 들면, 이전에 말웨어를 찾기 위해 스캐닝되고 실행의 결과로서 변경되지 않았다면, 단계(438)에서 프로그램 제어를 실행되기로 스케줄링 된 다음 기본 블록으로 이동시키는 명령 어가 추가된다.
도 4를 참조하여 기술된 변환 방법(400)에서의 단계들은 또한 도시된 것과는 다른 순서로 수행될 수도 있다. 또한, 본 발명의 범위로부터 벗어나지 않고 몇몇의 단계들이 추가되거나 변환 방법(400)으로부터 제거될 수 있다. 예를 들면, 잠재적인 말웨어의 기본 블록이 안전한 프로그램 코드로 변환된 이후에, 안전한 프로그램 코드는 "최적화", 즉, 실행이 빠르게 되도록 재구성될 수 있다. 그러므로, 도 4에 도시된 방법(400)은 본 발명의 실시예가 구현될 수 있는 방식 중 단지 하나의 예를 제공한다.
도 5는 변환된 프로그램 코드의 기본 블록을 실행하기 위한 도 4를 참조하여 상술한 변환 방법(400)에 관련하여 이용될 수 있는 하나의 예시적인 실행 방법(500)의 흐름도이다. 보다 상세히는, 기본 블록의 명령어는 순차적으로 선택되고 하드웨어-기반 CPU 상에서 실행된다. 몇몇의 예에서, 메모리 내의 프로그램 코드는 "언패킹"(즉, 복호화)되고 이전에 변환된 프로그램 코드가 변경된다. 이 예에서, 변경되었던 기본 블록들은 "더러운", 예를 들면, 말웨어를 찾기 위하여 검색되고 실행되기 전에 안전한 프로그램 코드로 변환될 필요가 있는 것들이다. 도 1 내지 4 및 첨부된 설명을 계속하여 참조해보면, 이제 도 5에 도시된 예시적인 실행 방법(500)이 기술될 것이다.
단계(502)에서, 실행 방법(500)은 변환된 프로그램 코드가 실행될 준비가 될 때까지 아이들 상태를 유지하고 기다린다. 본 발명의 실질적인 실시예에서, 변환된 프로그램 코드는 (도 4의) 변환 방법(400)이 기본 블록을 변환하는 것을 완료할 때가 실행될 준비가 된 것이다.
단계(504)에서, 실행 방법(500)은 실행되기로 스케줄링 된 기본 블록의 명령어를 선택한다. 본 발명의 일 실시예에서, 안전한 프로그램 코드로 변환된 기본 블록은 "버퍼" 또는 임시 저장소로서 이용되는 메모리 영역에 저장된다. "버퍼"에 할당된 메모리 주소는 잠재적인 말웨어에 의해 변경되지 않을 수 있다. 선택된 명령어마다, 실행 방법(500)은 명령어를 실행시킨다. 그 다음 실행이 인터럽트 상태를 발생시켰는지에 관한 판정이 이루어진다. 이 예에서 선택된 명령어가 인터럽트 상태를 발생시켰다면, 실행 방법(500)은 인터럽트 상태의 출처를 식별한다. 몇몇의 예에서, 인터럽트 상태는 "언패킹"(즉, 복호화)되고 있는 메모리의 프로그램 코드로부터 발생된다. 이 예에서, 변경되었거나 겹쳐쓰기된 기본 블록은 실행되기 전에 안전한 프로그램 코드로 다시 변환된다.
단계(506)에서, 실행 방법(500)은 선택된 명령어를 실행되게 한다. 당업자들 및 다른 이들에게 공지된 바와 같이, CPU의 주된 목적은 명령어를 실행하는 것이다. 그러므로, 복수의 상업적으로 이용가능한 CPU 중 임의의 하나가 이러한 실행 방법(500)의 양태를 구현하는 데에 이용될 수 있다. 통상적으로, CPU는 명령어가 메모리로부터 순차적으로 "페칭(fetch)"된 다음 "실행"되는 "패치와 실행" 싸이클을 따른다. 본 발명에 관련하여, 명령어는 잠재적인 말웨어를 저장하는 메모리 위치 대신에 버퍼로부터 "패칭"된다. 상술한 바와 같이, 버퍼는 컴퓨팅 장치를 말웨어의 영향에 노출시키지 않고 안전하게 실행될 수 있는 변환된 프로그램 코드를 포함한다.
실행 중에, 방법(500)은 선택된 명령어가 불법적이거나 독재적인 동작을 수행하기를 시도하는지를 판정한다. 예를 들면, 선택된 명령어는 번호를 0으로 나누는 산술 연산을 수행하거나 우선적인 메모리 위치에 액세스하는 것을 시도할 수 있다. 본 발명의 일 실시예에서, 잠재적인 말웨어로부터 변환된 안전한 프로그램 코드는 프로그램 코드가 실행 중에 일어나는 오류 상태를 탐지하고 실행에 인터럽트를 걸 수 있도록 구성된다. 실행 중에 오류 상태가 식별된다면, 종래에 개발된 예외 처리기가 오류 상태로부터 복원하는 것을 시도할 것이다. 당업자들 및 다른 이들에 공지된 바와 같이, 예외 처리기는 인터럽트를 처리하는 구조화된 방법을 이용하는 이벤트 구동식 루틴이다. 몇몇의 예에서는, 인터럽트 상태를 만난 이후에도 오류 상태가 복원될 수 있고 프로그램 처리가 재개될 수 있다. 다른 예에서는, 인터럽트 상태가 중대한 것이므로 완료되기 전에는 프로그램 실행이 중단된다. 그러나, 예외 처리기에 프로그램 제어를 이동시키기 전에, 오류 상태가 복원될 수 있는 경우에는 실행을 재개하는 데에 필요한 정보가 저장된다.
도 5에 도시된 바와 같이, 단계(508)에서, 선택된 명령어가 실행된 이후에 실행 방법(500)은 실행의 결과로서 인터럽트 상태가 일어났는지를 판정한다. 인터럽트 상태는 (1) 실행에 의해 현재 기본 블록의 실행 포인트 다음의 데이터가 변경될 경우, (2) 실행에 의해 실행되기로 스케줄링 된 다음 기본 블록의 데이터가 변경될 경우를 포함하지만 이에 한정되지 않는 서로 다른 경우에서 일어날 수 있다. 이하 보다 상세히 기술될 바와 같이, 실행 방법(500)은 이들 인터럽트 상태를 서로 다른게 처리한다. 단계(508)에서 인터럽트 상태가 탐지되면 실행 방법(500)은 후 술될 블록(512)으로 진행된다. 반대로, 단계(508)에서 인터럽트 상태가 탐지되지 않는다면, 실행 방법(500)은 단계(510)로 진행된다.
단계(510)에서, 실행 방법(500)은 현재 기본 블록의 모든 명령어가 실행되었는지를 판정한다. 전술한 바와 같이, 본 발명이 프로그램 코드를 실행하는 기본 단위는 기본 블록이다. 현재 기본 블록의 명령어 모두가 실행되었다면, 실행 방법(500)은 후술될 단계(520)로 진행된다. 반대로, 현재 기본 블록의 명령어 중 임의의 것이 실행되지 않았다면, 방법(500)은 단계(504)로 다시 진행되고 현재 기본 블록의 명령어 모두가 실행될 때까지 단계(504) 내지 단계(510)가 반복된다.
단계(512)에서, 실행 방법(500)은 단계(508)에서 식별된 인터럽트 상태가 프로그램 코드의 즉시 변환을 요구하는지를 판정한다. 예를 들면, 실행에 의하여 잠재적인 말웨어가 "언패킹"(즉, 복호화)되어 선택된 명령어 다음에 실행되기로 스케줄링 된 현재 기본 블록의 프로그램 코드가 변경되는 경우의 예에서는, 실행이 재개되기 전에 이 변경된 프로그램 코드의 변환이 수행된다. 도 4에 관련하여 앞서 기술된 바와 같이, 프로그램 코드의 기본 블록은 말웨어 탐지를 위하여 본 발명에 의해 분할되고, 합쳐지거나, 다르게 조작될 수 있다. 현재 실행점 다음의 현재 기본 블록의 프로그램 코드가 변경된 경우의 예에서는, 현재 기본 블록은 2개의 기본 블록으로 분할된다; 제1 기본 블록은 이미 실행되었던 프로그램 코드를 포함하고 제2 기본 블록은 선택된 명령어 다음의 프로그램 코드를 포함한다. 이하 보다 상세히 기술될 바와 같이, 제2 기본 블록은 말웨어를 찾기 위해 스캐닝되고 실행되기 전에 안전한 프로그램 코드로 변환된다. 프로그램 코드의 즉시 변환이 필요하지 않는다면, 실행 방법(500)은 후술될 단계(516)로 진행된다. 반대로, 프로그램 코드의 즉시 변환이 필요하다면, 실행 방법(500)은 단계(514)로 진행된다.
단계(514)에서, 실행 방법(500)은 기본 블록이 스캐닝되고 안전한 프로그램 코드로 변환되게 한다. 보다 상세히는, 단계(514)에 도달하면, 기본 블록은 현재 실행점에 기초하여 2개의 기본 블록으로 분할되었다. 선택된 명령어 다음에 실행되기로 스케줄링된 프로그램 코드를 포함하는 기본 블록은 스캐닝될 필요가 있다고 표시되고 실행되기 전에 안전한 프로그램 코드로 변환된다. 프로그램 코드의 기본 블록을 안전한 프로그램 코드로 변환하기 위한 방법의 일례는 도 4를 참조하여 상술하였다. 그 다음, 실행 방법(500)은 후술될 단계(520)로 진행된다.
단계(516)에서, 실행 방법(500)은 실행의 결과로 현재 기본 블록 다음에 실행되기로 스케줄링 된 다음 기본 블록의 프로그램 코드가 변경됨에 의하여 단계(508)에서 식별된 인터럽트 상태가 일어났는지 판정한다. 예를 들면, 선택된 명령어를 실행함에 의하여 프로그램 코드가 "언패킹"(즉, 복호화)되어 다음 기본 블록의 데이터가 변경되는 경우의 예에서는, 다음 기본 블록은 실행되기 전에 말웨어를 찾기 위한 검색이 되고 안전한 프로그램 코드로 변환된다. 다음 기본 블록의 프로그램 코드가 변경됨에 의하여 단계(508)에서 식별된 인터럽트 상태가 일어난 경우, 실행 방법(500)은 단계(518)로 진행된다. 반대로, 다른 이유로 인하여 인터럽트 상태가 일어난 경우, 실행 방법(500)은 후술될 단계(520)로 진행된다.
단계(518)에서, 실행 방법(500)은 선택된 명령어를 실행시키는 결과로서 변경되었던 기본 블록(들)을 표시하여 기본 블록들이 실행되기 전에 말웨어를 찾기 위한 검색이 되고 안전한 프로그램 코드로 변환되도록 한다. 도 4를 참조하여 (단계(412)에서) 기술된 바와 같이, 스캐닝됨 변수 및 변환됨 변수는 각 기본 블록과 관련된다. 이들 변수들은 기본 블록이 말웨어를 찾기 위한 검색이 완료되었고 안전한 프로그램 코드로 변환되었는지를 나타낸다. 단계(518)에서, 실행 방법(500)은 실행의 결과로서 변경되었던 기본 블록 각각과 관련된 변수들의 값을 변경시켜 기본 블록(들)이 실행되기 전에 말웨어를 찾기 위하여 스캐닝되고 안전한 프로그램 코드로 변환될 필요가 있음을 나타낸다.
단계(520)에서, 실행 방법(500)은 (도 4의) 단계(406)에서 초기화되었던 데이터 구조를 업데이트한다. 전술한 바와 같이, 본 발명은 데이터 구조를 이용하여 기본 블록들 간의 실행의 흐름을 추적한다. 이러한 본 발명의 양태를 구현함에 있어서, (도 2의) 블록 관리자(208)는 실행의 제어를 획득하고 데이터 구조에 대한 업데이트를 수행한다. 당업자 및 다른 이들은 실행 방법(500)을 이용하여 기본 블록을 실행하는 것은 본래의 실행 흐름을 변경시킬 수 있음을 인식할 것이다. 예를 들면, 기본 블록을 실행하는 것은 메모리에 로딩된 데이터를 이전에 복호화된 데이터에 의해 변경시킬 수 있다. 분명, 이러한 경우, 기본 블록들 간의 본래의 실행 흐름이 변경된다. 결과적으로, 실행 방법(500)은 실행의 결과로서 일어났던 변경을 반영하도록 데이터 구조를 업데이트한다. 통상적으로, 그 다음에 실행되기로 스케줄링된 다음 기본 블록은 변환 방법(400) 및 실행 방법(500)에 따라 안전한 프로그램 코드로 변환되고 실행될 것이다. 그 다음 실행 방법(500)은 이 방법을 종료하는 단계(522)로 진행된다.
본 발명의 바람직한 실시예가 예시되었고 기술되었지만, 본 발명의 사상 및 범위를 벗어나지 않는 다양한 변경이 이루어질 수 있다고 인식될 것이다.
독접적인 소유권 또는 특권을 청구하는 본 발명의 실시예는 이하의 특허 청구범위와 같이 정의된다.

Claims (35)

  1. 잠재적 말웨어를 실행하라는 요청을 수신한 것에 응답하여 안전한 프로그램 코드를 생성하기 위한 컴퓨터 구현된(computer-implemented) 방법으로서,
    컴퓨터 시스템의 하드웨어 프로세서에 의해 실행될 실행 파일(executable)을 메모리에 로딩하는 단계;
    상기 실행 파일을 명령어들의 블록들로 분할하는 단계 - 명령어들의 블록은 단일 진입점(entry point) 및 단일 출구점(exit point)을 가지고, 상기 명령어들의 블록들은 제1 블록 및 제2 블록을 포함하고, 상기 제1 블록 및 제2 블록의 명령어들은 각각 기능을 수행하고, 상기 블록들의 속성들은 데이터 구조에 유지되고, 상기 속성들은 특정 블록의 명령어들이 안전한 명령어들로 변환되었는지 여부에 관한 표시를 포함함 - ;
    상기 제1 블록을 실행하기 전에, 상기 제1 블록의 명령어들을 상기 제1 블록의 명령어들과 동일 기능을 수행하는 안전한 명령어들로 변환하고, 상기 제1 블록의 명령어들이 안전한 명령어들로 변환되었다는 것을 표시하도록 상기 데이터 구조 내의 상기 제1 블록의 속성들을 업데이트하는 단계;
    상기 하드웨어 프로세서 상에서 상기 제1 블록의 안전한 명령어들을 실행하는 단계;
    상기 제2 블록을 실행하기 전에, 상기 제2 블록의 명령어들을 상기 제2 블록의 명령어들과 동일 기능을 수행하는 안전한 명령어들로 변환하고, 상기 제2 블록의 명령어들이 안전한 명령어들로 변환되었다는 것을 표시하도록 상기 데이터 구조 내의 상기 제2 블록의 속성들을 업데이트하는 단계;
    상기 하드웨어 프로세서 상에서 상기 제2 블록의 안전한 명령어들의 실행을 개시하는 단계;
    상기 제2 블록의 안전한 명령어들의 실행 동안에, 상기 제2 블록의 안전한 명령어들이 상기 제1 블록의 명령어들을 수정하는 것을 검출하는 단계; 및
    상기 제1 블록의 명령어들이 변환되지 않았다는 것을 표시하도록 상기 제1 블록의 속성들을 업데이트하는 단계 - 상기 제1 블록의 안전한 명령어들을 실행하려고 시도할 때에, 상기 제1 블록의 수정된 명령어들은 상기 제1 블록을 실행하기 전에 새로운 안전한 명령어들로 변환됨 -
    를 포함하는 컴퓨터 구현된 방법.
  2. 제1항에 있어서, 상기 제1 블록 및 제2 블록의 안전한 명령어들은 상기 실행 파일로부터 떨어진 위치에 있는 메모리에 저장되는 컴퓨터 구현된 방법.
  3. 제1항에 있어서, 상기 제2 블록의 안전한 명령어들이 상기 제1 블록의 명령어들을 수정하는 것을 검출하는 단계는 인터럽트를 처리하는 단계를 포함하는 컴퓨터 구현된 방법.
  4. 제1항에 있어서, 상기 데이터 구조는 말웨어를 찾기 위해 특정 블록이 스캔되었는지 여부에 관한 표시를 더 포함하고,
    상기 방법은, 상기 제1 블록 또는 제2 블록을 실행하기 전에, 상기 데이터 구조의 속성들에 액세스함으로써 말웨어를 찾기 위해 실행될 블록이 스캔되었는지 여부를 결정하는 단계 - 상기 속성들이 실행될 상기 블록이 스캔되지 않았다는 것을 표시하는 경우에, 상기 블록이 실행 전에 스캔되고, 이에 따라, 상기 속성들이 업데이트됨 - 를 더 포함하는 컴퓨터 구현된 방법.
  5. 제1항에 있어서, 상기 데이터 구조는 블록들 간의 실행 흐름의 표시를 더 포함하는 컴퓨터 구현된 방법.
  6. 제1항에 있어서, 안전한 명령어들은,
    말웨어 기능을 구현할 수 없는 아키텍처-중립적인 포맷으로 명령어들의 세트를 생성하는 단계 - 상기 명령어들의 세트는 상기 블록으로부터의 명령어들과 동일한 기능을 제공함 - ; 및
    상기 아키텍처-중립적인 포맷으로 작성된 명령어들의 세트를 적어도 하나의 컴퓨팅 장치 상에서 실행 가능한 프로그램 코드로 컴파일하는 단계
    에 의해 생성되는 컴퓨터 구현된 방법.
  7. 제1항에 있어서, 안전한 명령어들은,
    실행 동안에 일어나는 오류들을 검출하는 것을 수행하는 기능;
    실행을 인터럽트하고 예외 처리기를 호출하는 것을 수행하는 기능; 및
    상기 예외 처리기가 실행을 완료한 후에 실행 재개에 필요한 정보를 저장하는 것을 수행하는 기능을
    포함하는 컴퓨터 구현된 방법.
  8. 잠재적 말웨어를 실행하라는 요청을 수신한 것에 응답하여 안전한 프로그램 코드를 생성하기 위한 컴퓨터 구현된(computer-implemented) 방법으로서,
    컴퓨터 시스템의 하드웨어 프로세서에 의해 실행될 실행 파일(executable)을 메모리에 로딩하는 단계;
    상기 실행 파일을 명령어들의 블록들로 분할하는 단계 - 명령어들의 블록은 단일 진입점(entry point) 및 단일 출구점(exit point)을 가지고, 상기 명령어들의 블록들은 제1 블록을 포함하고, 상기 제1 블록의 명령어들은 기능을 수행하고, 상기 블록들의 속성들은 데이터 구조에 유지되고, 상기 속성들은 특정 블록의 명령어들이 안전한 명령어들로 변환되었는지 여부에 관한 표시를 포함함 - ;
    상기 제1 블록을 실행하기 전에, 상기 제1 블록의 명령어들을 상기 제1 블록의 명령어들과 동일 기능을 수행하는 안전한 명령어들로 변환하고, 상기 제1 블록의 명령어들이 안전한 명령어들로 변환되었다는 것을 표시하도록 상기 데이터 구조 내의 상기 제1 블록의 속성들을 업데이트하는 단계;
    상기 하드웨어 프로세서 상에서 상기 제1 블록의 안전한 명령어들을 실행하는 단계;
    상기 제1 블록의 안전한 명령어들의 실행 동안에, 상기 제1 블록의 안전한 명령어가 현재 실행 지점 다음에 있는 상기 제1 블록의 하나 이상의 명령어들을 수정하는 것을 검출하는 단계;
    상기 제1 블록을 2개의 블록들로 분할하는 단계 - 분할된 첫 번째 블록은 상기 하나 이상의 명령어들의 수정 전에 이미 실행된 안전한 명령어들을 포함하고, 분할된 두 번째 블록은 수정된 상기 하나 이상의 명령어들을 포함하는 상기 현재 실행 지점 다음의 상기 제1 블록의 명령어들을 포함함 - ; 및
    상기 분할된 두 번째 블록을 실행하기 전에 상기 분할된 두 번째 블록의 명령어들을 새로운 안전한 명령어들로 변환하는 단계
    를 포함하는 컴퓨터 구현된 방법.
  9. 제8항에 있어서, 상기 안전한 명령어들은 상기 실행 파일로부터 떨어진 위치에 있는 메모리에 저장되는 컴퓨터 구현된 방법.
  10. 제8항에 있어서, 상기 제1 블록의 안전한 명령어가 상기 현재 실행 지점 다음에 있는 상기 제1 블록의 하나 이상의 명령어들을 수정하는 것을 검출하는 단계는 인터럽트를 처리하는 단계를 포함하는 컴퓨터 구현된 방법.
  11. 제8항에 있어서, 상기 데이터 구조는 말웨어를 찾기 위해 특정 블록이 스캔되었는지 여부에 관한 표시를 더 포함하고,
    상기 방법은, 상기 제1 블록을 실행하기 전에, 상기 데이터 구조의 속성들에 액세스함으로써 말웨어를 찾기 위해 상기 제1 블록이 스캔되었는지 여부를 결정하는 단계 - 상기 속성들이 상기 제1 블록이 스캔되지 않았다는 것을 표시하는 경우에, 상기 제1 블록이 실행 전에 스캔되고, 이에 따라, 상기 속성들이 업데이트됨 - 를 더 포함하는 컴퓨터 구현된 방법.
  12. 제8항에 있어서, 상기 데이터 구조는 블록들 간의 실행 흐름의 표시를 더 포함하는 컴퓨터 구현된 방법.
  13. 제8항에 있어서, 안전한 명령어들은,
    말웨어 기능을 구현할 수 없는 아키텍처-중립적인 포맷으로 명령어들의 세트를 생성하는 단계 - 상기 명령어들의 세트는 상기 블록으로부터의 명령어들과 동일한 기능을 제공함 - ; 및
    상기 아키텍처-중립적인 포맷으로 작성된 명령어들의 세트를 적어도 하나의 컴퓨팅 장치 상에서 실행 가능한 프로그램 코드로 컴파일하는 단계
    에 의해 생성되는 컴퓨터 구현된 방법.
  14. 제8항에 있어서, 안전한 명령어들은,
    실행 동안에 일어나는 오류들을 검출하는 것을 수행하는 기능;
    실행을 인터럽트하고 예외 처리기를 호출하는 것을 수행하는 기능; 및
    상기 예외 처리기가 실행을 완료한 후에 실행 재개에 필요한 정보를 저장하는 것을 수행하는 기능을
    포함하는 컴퓨터 구현된 방법.
  15. 컴퓨터 실행가능 명령어들을 저장하는 컴퓨터 판독가능 저장 매체로서,
    상기 컴퓨터 실행가능 명령어들은, 컴퓨터 시스템의 프로세서에 의한 실행시에, 잠재적 말웨어를 실행하라는 요청을 수신한 것에 응답하여,
    상기 컴퓨터 시스템의 하드웨어 프로세서에 의해 실행될 실행 파일(executable)을 메모리에 로딩하는 단계;
    상기 실행 파일을 명령어들의 블록들로 분할하는 단계 - 명령어들의 블록은 단일 진입점(entry point) 및 단일 출구점(exit point)을 가지고, 상기 명령어들의 블록들은 제1 블록 및 제2 블록을 포함하고, 상기 제1 블록 및 제2 블록의 명령어들은 각각 기능을 수행하고, 상기 블록들의 속성들은 데이터 구조에 유지되고, 상기 속성들은 특정 블록의 명령어들이 안전한 명령어들로 변환되었는지 여부에 관한 표시를 포함함 - ;
    상기 제1 블록을 실행하기 전에, 상기 제1 블록의 명령어들을 상기 제1 블록의 명령어들과 동일 기능을 수행하는 안전한 명령어들로 변환하고, 상기 제1 블록의 명령어들이 안전한 명령어들로 변환되었다는 것을 표시하도록 상기 데이터 구조 내의 상기 제1 블록의 속성들을 업데이트하는 단계;
    상기 하드웨어 프로세서 상에서 상기 제1 블록의 안전한 명령어들을 실행하는 단계;
    상기 제2 블록을 실행하기 전에, 상기 제2 블록의 명령어들을 상기 제2 블록의 명령어들과 동일 기능을 수행하는 안전한 명령어들로 변환하고, 상기 제2 블록의 명령어들이 안전한 명령어들로 변환되었다는 것을 표시하도록 상기 데이터 구조 내의 상기 제2 블록의 속성들을 업데이트하는 단계;
    상기 하드웨어 프로세서 상에서 상기 제2 블록의 안전한 명령어들의 실행을 개시하는 단계;
    상기 제2 블록의 안전한 명령어들의 실행 동안에, 상기 제2 블록의 안전한 명령어들이 상기 제1 블록의 명령어들을 수정하는 것을 검출하는 단계; 및
    상기 제1 블록의 명령어들이 변환되지 않았다는 것을 표시하도록 상기 제1 블록의 속성들을 업데이트하는 단계 - 상기 제1 블록의 안전한 명령어들을 실행하려고 시도할 때에, 상기 제1 블록의 수정된 명령어들은 상기 제1 블록을 실행하기 전에 새로운 안전한 명령어들로 변환됨 -
    를 수행함으로써, 안전한 프로그램 코드를 생성하는 컴퓨터 판독가능 저장 매체.
  16. 제15항에 있어서, 상기 제1 블록 및 제2 블록의 안전한 명령어들은 상기 실행 파일로부터 떨어진 위치에 있는 메모리에 저장되는 컴퓨터 판독가능 저장 매체.
  17. 제15항에 있어서, 상기 제2 블록의 안전한 명령어들이 상기 제1 블록의 명령어들을 수정하는 것을 검출하는 단계는 인터럽트를 처리하는 단계를 포함하는 컴퓨터 판독가능 저장 매체.
  18. 제15항에 있어서, 상기 데이터 구조는 말웨어를 찾기 위해 특정 블록이 스캔되었는지 여부에 관한 표시를 더 포함하고,
    상기 컴퓨터 실행가능 명령어들은, 상기 제1 블록 또는 제2 블록을 실행하기 전에, 상기 데이터 구조의 속성들에 액세스함으로써 말웨어를 찾기 위해 실행될 블록이 스캔되었는지 여부를 결정하는 단계 - 상기 속성들이 실행될 상기 블록이 스캔되지 않았다는 것을 표시하는 경우에, 상기 블록이 실행 전에 스캔되고, 이에 따라, 상기 속성들이 업데이트됨 - 를 추가로 수행하는, 컴퓨터 판독가능 저장 매체.
  19. 제15항에 있어서, 상기 데이터 구조는 블록들 간의 실행 흐름의 표시를 더 포함하는 컴퓨터 판독가능 저장 매체.
  20. 제15항에 있어서, 상기 컴퓨터 실행가능 명령어들은,
    말웨어 기능을 구현할 수 없는 아키텍처-중립적인 포맷으로 명령어들의 세트를 생성하는 단계 - 상기 명령어들의 세트는 상기 블록으로부터의 명령어들과 동일한 기능을 제공함 - ; 및
    상기 아키텍처-중립적인 포맷으로 작성된 명령어들의 세트를 적어도 하나의 컴퓨팅 장치 상에서 실행 가능한 프로그램 코드로 컴파일하는 단계
    를 수행함으로써 안전한 명령어들을 생성하는, 컴퓨터 판독가능 저장 매체.
  21. 제15항에 있어서, 안전한 명령어들은,
    실행 동안에 일어나는 오류들을 검출하는 것을 수행하는 기능;
    실행을 인터럽트하고 예외 처리기를 호출하는 것을 수행하는 기능; 및
    상기 예외 처리기가 실행을 완료한 후에 실행 재개에 필요한 정보를 저장하는 것을 수행하는 기능을
    포함하는 컴퓨터 판독가능 저장 매체.
  22. 제15항에 있어서, 상기 컴퓨터 실행가능 명령어들은,
    상기 제1 블록의 안전한 명령어들의 실행 동안에, 상기 제1 블록의 안전한 명령어가 현재 실행 지점 다음에 있는 상기 제1 블록의 하나 이상의 명령어들을 수정하는 것을 검출하는 단계;
    상기 제1 블록을 2개의 블록들로 분할하는 단계 - 분할된 첫 번째 블록은 상기 하나 이상의 명령어들의 수정 전에 이미 실행된 안전한 명령어들을 포함하고, 분할된 두 번째 블록은 수정된 상기 하나 이상의 명령어들을 포함하는 상기 현재 실행 지점 다음의 상기 제1 블록의 명령어들을 포함함 - ; 및
    상기 분할된 두 번째 블록을 실행하기 전에 상기 분할된 두 번째 블록의 명령어들을 새로운 안전한 명령어들로 변환하는 단계
    를 수행하는, 컴퓨터 판독가능 저장 매체.
  23. 삭제
  24. 삭제
  25. 삭제
  26. 삭제
  27. 삭제
  28. 삭제
  29. 삭제
  30. 삭제
  31. 삭제
  32. 삭제
  33. 삭제
  34. 삭제
  35. 삭제
KR1020077008704A 2004-12-06 2005-12-05 동적 변환을 통한 프로액티브 컴퓨터 말웨어 보호 KR101213821B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/005,000 US7636856B2 (en) 2004-12-06 2004-12-06 Proactive computer malware protection through dynamic translation
US11/005,000 2004-12-06

Publications (2)

Publication Number Publication Date
KR20070083702A KR20070083702A (ko) 2007-08-24
KR101213821B1 true KR101213821B1 (ko) 2012-12-18

Family

ID=36575761

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077008704A KR101213821B1 (ko) 2004-12-06 2005-12-05 동적 변환을 통한 프로액티브 컴퓨터 말웨어 보호

Country Status (6)

Country Link
US (1) US7636856B2 (ko)
EP (1) EP1800434B1 (ko)
JP (1) JP4950902B2 (ko)
KR (1) KR101213821B1 (ko)
CN (1) CN101438529B (ko)
WO (1) WO2006062849A2 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11921850B2 (en) 2021-06-23 2024-03-05 Acronis International Gmbh Iterative memory analysis for malware detection

Families Citing this family (67)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7810158B2 (en) * 2004-12-16 2010-10-05 At&T Intellectual Property I, L.P. Methods and systems for deceptively trapping electronic worms
US20070067844A1 (en) * 2005-09-16 2007-03-22 Sana Security Method and apparatus for removing harmful software
US8646080B2 (en) * 2005-09-16 2014-02-04 Avg Technologies Cy Limited Method and apparatus for removing harmful software
US8719924B1 (en) * 2005-03-04 2014-05-06 AVG Technologies N.V. Method and apparatus for detecting harmful software
US7571476B2 (en) * 2005-04-14 2009-08-04 Webroot Software, Inc. System and method for scanning memory for pestware
US7349931B2 (en) * 2005-04-14 2008-03-25 Webroot Software, Inc. System and method for scanning obfuscated files for pestware
US7591016B2 (en) * 2005-04-14 2009-09-15 Webroot Software, Inc. System and method for scanning memory for pestware offset signatures
US7562293B2 (en) * 2005-05-27 2009-07-14 International Business Machines Corporation Method and apparatus for processing a parseable document
US8078740B2 (en) 2005-06-03 2011-12-13 Microsoft Corporation Running internet applications with low rights
GB2427048A (en) 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
US7730040B2 (en) * 2005-07-27 2010-06-01 Microsoft Corporation Feedback-driven malware detector
WO2007022454A2 (en) 2005-08-18 2007-02-22 The Trustees Of Columbia University In The City Of New York Systems, methods, and media protecting a digital data processing device from attack
US8763103B2 (en) 2006-04-21 2014-06-24 The Trustees Of Columbia University In The City Of New York Systems and methods for inhibiting attacks on applications
US8185737B2 (en) 2006-06-23 2012-05-22 Microsoft Corporation Communication across domains
US8261344B2 (en) * 2006-06-30 2012-09-04 Sophos Plc Method and system for classification of software using characteristics and combinations of such characteristics
US8365286B2 (en) * 2006-06-30 2013-01-29 Sophos Plc Method and system for classification of software using characteristics and combinations of such characteristics
US8151352B1 (en) * 2006-07-14 2012-04-03 Bitdefender IPR Managament Ltd. Anti-malware emulation systems and methods
US8190868B2 (en) 2006-08-07 2012-05-29 Webroot Inc. Malware management through kernel detection
US20080127114A1 (en) * 2006-11-28 2008-05-29 Amit Vasudevan Framework for stealth dynamic coarse and fine-grained malware analysis
GB2444514A (en) 2006-12-04 2008-06-11 Glasswall Electronic file re-generation
US9729513B2 (en) 2007-11-08 2017-08-08 Glasswall (Ip) Limited Using multiple layers of policy management to manage risk
US7945787B2 (en) * 2007-04-13 2011-05-17 Computer Associates Think, Inc. Method and system for detecting malware using a remote server
US7912894B2 (en) * 2007-05-15 2011-03-22 Adams Phillip M Computerized, copy-detection and discrimination apparatus and method
US10019570B2 (en) 2007-06-14 2018-07-10 Microsoft Technology Licensing, Llc Protection and communication abstractions for web browsers
GB2452479A (en) * 2007-08-31 2009-03-11 Sony Corp Content protection through deletion of a decryption key in response to a predetermined event
US8341736B2 (en) 2007-10-12 2012-12-25 Microsoft Corporation Detection and dynamic alteration of execution of potential software threats
US8353041B2 (en) * 2008-05-16 2013-01-08 Symantec Corporation Secure application streaming
US8732825B2 (en) * 2008-05-28 2014-05-20 Symantec Corporation Intelligent hashes for centralized malware detection
US8745703B2 (en) * 2008-06-24 2014-06-03 Microsoft Corporation Identifying exploitation of vulnerabilities using error report
US8938806B1 (en) 2008-06-26 2015-01-20 Emc Corporation Partial pattern detection with commonality factoring
US20090328210A1 (en) * 2008-06-30 2009-12-31 Microsoft Corporation Chain of events tracking with data tainting for automated security feedback
US8522200B2 (en) 2008-08-28 2013-08-27 Microsoft Corporation Detouring in scripting systems
US20100058474A1 (en) * 2008-08-29 2010-03-04 Avg Technologies Cz, S.R.O. System and method for the detection of malware
US9122797B2 (en) * 2008-09-30 2015-09-01 Honeywell International Inc. Deterministic remote interface unit emulator
US11489857B2 (en) 2009-04-21 2022-11-01 Webroot Inc. System and method for developing a risk profile for an internet resource
US9087195B2 (en) * 2009-07-10 2015-07-21 Kaspersky Lab Zao Systems and methods for detecting obfuscated malware
JP2013523043A (ja) 2010-03-22 2013-06-13 エルアールディシー システムズ、エルエルシー ソースデータセットの完全性を識別及び保護する方法
US8082585B1 (en) * 2010-09-13 2011-12-20 Raymond R. Givonetti Protecting computers from malware using a hardware solution that is not alterable by any software
US9058492B1 (en) * 2011-02-14 2015-06-16 Symantec Corporation Techniques for reducing executable code vulnerability
US9032526B2 (en) * 2011-05-12 2015-05-12 Microsoft Technology Licensing, Llc Emulating mixed-code programs using a virtual machine instance
US20120331303A1 (en) * 2011-06-23 2012-12-27 Andersson Jonathan E Method and system for preventing execution of malware
EP2756366B1 (en) 2011-09-15 2020-01-15 The Trustees of Columbia University in the City of New York Systems, methods, and media for detecting return-oriented programming payloads
CN103257914B (zh) * 2012-02-16 2016-08-17 联想(北京)有限公司 一种获取电池信息的方法和电子装置
US9424427B1 (en) 2012-03-16 2016-08-23 Bitdefender IPR Management Ltd. Anti-rootkit systems and methods
CN104798075A (zh) * 2012-09-28 2015-07-22 惠普发展公司,有限责任合伙企业 应用随机化
US9043906B2 (en) * 2012-11-28 2015-05-26 William Christopher Hardy System and method for preventing operation of undetected malware loaded onto a computing device
RU2514142C1 (ru) 2012-12-25 2014-04-27 Закрытое акционерное общество "Лаборатория Касперского" Способ повышения эффективности работы аппаратного ускорения эмуляции приложений
US9471783B2 (en) * 2013-03-15 2016-10-18 Mcafee, Inc. Generic unpacking of applications for malware detection
US20150007330A1 (en) * 2013-06-26 2015-01-01 Sap Ag Scoring security risks of web browser extensions
GB2518880A (en) 2013-10-04 2015-04-08 Glasswall Ip Ltd Anti-Malware mobile content data management apparatus and method
CA2831711A1 (en) * 2013-10-31 2015-04-30 Ibm Canada Limited - Ibm Canada Limitee Performing safe conditional-load and conditional-store operations
US9330264B1 (en) 2014-11-26 2016-05-03 Glasswall (Ip) Limited Statistical analytic method for the determination of the risk posed by file based content
US10291647B2 (en) 2015-04-27 2019-05-14 The Johns Hopkins University Apparatus and method for enabling safe handling of malware
US10713146B2 (en) * 2015-06-26 2020-07-14 AVAST Software s.r.o. Dynamic binary translation and instrumentation with postponed attachment to running native threads
RU2622627C2 (ru) 2015-09-30 2017-06-16 Акционерное общество "Лаборатория Касперского" Способ обнаружения вредоносных исполняемых файлов, содержащих интерпретатор, посредством комбинирования эмуляторов
US10437998B2 (en) * 2015-10-26 2019-10-08 Mcafee, Llc Hardware heuristic-driven binary translation-based execution analysis for return-oriented programming malware detection
US9858423B2 (en) * 2016-01-11 2018-01-02 International Business Machines Corporation Application modification based on a security vulnerability
US10528734B2 (en) * 2016-03-25 2020-01-07 The Mitre Corporation System and method for vetting mobile phone software applications
US10169581B2 (en) * 2016-08-29 2019-01-01 Trend Micro Incorporated Detecting malicious code in sections of computer files
EP3352110B1 (en) * 2017-01-23 2020-04-01 Cyphort Inc. System and method for detecting and classifying malware
CN107015491B (zh) * 2017-04-13 2019-05-14 北京机械设备研究所 一种顺序控制方法
US11126721B2 (en) * 2018-06-28 2021-09-21 Intel Corporation Methods, systems and apparatus to detect polymorphic malware
IL305655B1 (en) * 2018-09-15 2024-08-01 Quantum Star Tech Inc Bit-level data generation and artificial intelligence techniques and architectures for data protection
US20220292201A1 (en) * 2019-08-27 2022-09-15 Nec Corporation Backdoor inspection apparatus, backdoor inspection method, and non-transitory computer readable medium
CN112527457A (zh) * 2020-12-11 2021-03-19 成都云铀子网络科技有限公司 一种通用Unicorn模拟指令执行的虚拟机实现方法
US20220269784A1 (en) * 2021-02-25 2022-08-25 Quantum Star Technologies Inc. N-dimensional model techniques and architectures for data protection
US11836252B2 (en) 2021-06-23 2023-12-05 Acronis International Gmbh Machine learning through iterative memory analysis for malware detection

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5951698A (en) 1996-10-02 1999-09-14 Trend Micro, Incorporated System, apparatus and method for the detection and removal of viruses in macros
US6631514B1 (en) 1998-01-06 2003-10-07 Hewlett-Packard Development, L.P. Emulation system that uses dynamic binary translation and permits the safe speculation of trapping operations

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1993017385A1 (en) * 1992-02-27 1993-09-02 Intel Corporation Dynamic flow instruction cache memory
US5398196A (en) * 1993-07-29 1995-03-14 Chambers; David A. Method and apparatus for detection of computer viruses
US6067410A (en) * 1996-02-09 2000-05-23 Symantec Corporation Emulation repair system
US5826013A (en) * 1995-09-28 1998-10-20 Symantec Corporation Polymorphic virus detection module
US5765030A (en) * 1996-07-19 1998-06-09 Symantec Corp Processor emulator module having a variable pre-fetch queue size for program execution
US6330691B1 (en) * 1996-02-23 2001-12-11 Institute For The Development Of Emerging Architectures Llc Use of dynamic translation to provide breakpoints in non-writeable object code
US5732210A (en) * 1996-03-15 1998-03-24 Hewlett-Packard Company Use of dynamic translation to provide fast debug event checks
JPH10301772A (ja) * 1997-04-30 1998-11-13 Sony Corp 情報処理装置および情報処理方法、並びに記録媒体
US6275938B1 (en) * 1997-08-28 2001-08-14 Microsoft Corporation Security enhancement for untrusted executable code
US6357008B1 (en) * 1997-09-23 2002-03-12 Symantec Corporation Dynamic heuristic method for detecting computer viruses using decryption exploration and evaluation phases
US6704925B1 (en) * 1998-09-10 2004-03-09 Vmware, Inc. Dynamic binary translator with a system and method for updating and maintaining coherency of a translation cache
US7069583B2 (en) * 2000-07-14 2006-06-27 Computer Associates Think, Inc. Detection of polymorphic virus code using dataflow analysis
US7350235B2 (en) * 2000-07-14 2008-03-25 Computer Associates Think, Inc. Detection of decryption to identify encrypted virus
US20030041315A1 (en) * 2001-08-21 2003-02-27 International Business Machines Corporation Debugger with automatic detection of control points influencing program behavior
US20030101381A1 (en) * 2001-11-29 2003-05-29 Nikolay Mateev System and method for virus checking software
GB2393274B (en) * 2002-09-20 2006-03-15 Advanced Risc Mach Ltd Data processing system having an external instruction set and an internal instruction set
US7367057B2 (en) * 2003-06-30 2008-04-29 Intel Corporation Processor based system and method for virus detection

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5951698A (en) 1996-10-02 1999-09-14 Trend Micro, Incorporated System, apparatus and method for the detection and removal of viruses in macros
US6631514B1 (en) 1998-01-06 2003-10-07 Hewlett-Packard Development, L.P. Emulation system that uses dynamic binary translation and permits the safe speculation of trapping operations

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11921850B2 (en) 2021-06-23 2024-03-05 Acronis International Gmbh Iterative memory analysis for malware detection

Also Published As

Publication number Publication date
WO2006062849A3 (en) 2009-04-30
KR20070083702A (ko) 2007-08-24
WO2006062849A2 (en) 2006-06-15
JP2008523471A (ja) 2008-07-03
CN101438529A (zh) 2009-05-20
US7636856B2 (en) 2009-12-22
EP1800434A2 (en) 2007-06-27
US20060123244A1 (en) 2006-06-08
JP4950902B2 (ja) 2012-06-13
EP1800434A4 (en) 2010-12-29
CN101438529B (zh) 2011-12-28
EP1800434B1 (en) 2017-03-22

Similar Documents

Publication Publication Date Title
KR101213821B1 (ko) 동적 변환을 통한 프로액티브 컴퓨터 말웨어 보호
US7093239B1 (en) Computer immune system and method for detecting unwanted code in a computer system
RU2679175C1 (ru) Способ поведенческого обнаружения вредоносных программ с использованием виртуальной машины-интерпретатора
US7836504B2 (en) On-access scan of memory for malware
US8479174B2 (en) Method, computer program and computer for analyzing an executable computer file
US7370360B2 (en) Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine
US7624449B1 (en) Countering polymorphic malicious computer code through code optimization
US7367057B2 (en) Processor based system and method for virus detection
US9135443B2 (en) Identifying malicious threads
EP1316873A2 (en) System and method for identifying infected program instructions
US9900324B1 (en) System to discover and analyze evasive malware
US10242190B2 (en) System and method for detection of malicious code by iterative emulation of microcode
JP2014503901A (ja) オペコードランダム化によるセキュリティ
US10546120B2 (en) System and method of forming a log in a virtual machine for conducting an antivirus scan of a file
Yin et al. Automatic malware analysis: an emulator based approach
Stepan Defeating polymorphism: beyond emulation
US11361070B1 (en) Protecting devices from remote code execution attacks
Zhu et al. Dytaint: The implementation of a novel lightweight 3-state dynamic taint analysis framework for x86 binary programs
Chuan et al. Design and development of a new scanning core engine for malware detection
Zhang et al. DRSA: Debug Register-Based Self-relocating Attack Against Software-Based Remote Authentication
Lakhotia et al. Stack shape analysis to detect obfuscated calls in binaries
Peng et al. Bitmap-Based Security Monitoring for Deeply Embedded Systems
WO2022044021A1 (en) Exploit prevention based on generation of random chaotic execution context
Yin Malware detection and analysis via layered annotative execution
JP2007220091A (ja) コンピューター・システム内で悪意あるソフトウェアの実行を防止するための方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151118

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161123

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20171117

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20181115

Year of fee payment: 7