KR101217709B1 - 악성코드 탐지 장치 및 방법 - Google Patents

악성코드 탐지 장치 및 방법 Download PDF

Info

Publication number
KR101217709B1
KR101217709B1 KR1020100140173A KR20100140173A KR101217709B1 KR 101217709 B1 KR101217709 B1 KR 101217709B1 KR 1020100140173 A KR1020100140173 A KR 1020100140173A KR 20100140173 A KR20100140173 A KR 20100140173A KR 101217709 B1 KR101217709 B1 KR 101217709B1
Authority
KR
South Korea
Prior art keywords
file
time point
folder
inspection
malware detection
Prior art date
Application number
KR1020100140173A
Other languages
English (en)
Other versions
KR20120078016A (ko
Inventor
황규범
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020100140173A priority Critical patent/KR101217709B1/ko
Priority to US13/977,275 priority patent/US9129109B2/en
Priority to PCT/KR2011/009810 priority patent/WO2012091341A1/en
Publication of KR20120078016A publication Critical patent/KR20120078016A/ko
Application granted granted Critical
Publication of KR101217709B1 publication Critical patent/KR101217709B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

파일시스템에 따라 폴더가 생성된 제1 시점에 관한 정보 및 상기 파일시스템에 따라 상기 폴더에 속한 파일이 생성된 제2 시점에 관한 정보를 상기 파일시스템으로부터 수신하는 단계와, 상기 제1 시점에 관한 정보 및 상기 제2 시점에 관한 정보를 이용하여 상기 파일이 검사대상 파일인지 여부를 판별하는 단계와, 상기 파일이 검사대상 파일로 판별된 경우에 상기 파일이 악성코드를 포함하는지 여부에 대한 검사를 수행하는 단계를 포함하는 악성코드 탐지 방법을 제공한다. 이 방법에 의하면, 파일시스템에서 제공하는 폴더에 관한 정보 및 파일에 관한 정보를 이용하여 악성코드 검사의 대상이 될 파일을 판별함으로써, 악성코드 검사에 소요되는 시간을 단축하는 효과가 있다.

Description

악성코드 탐지 장치 및 방법 {Apparatus and Method for Detecting Malicious Code}
본 발명은 악성코드 탐지 방법 및 장치에 관한 것으로, 더욱 상세하게는 파일과 폴더의 이용 특성을 고려하여 악성코드 검사의 필요성 유무를 판단하고 선별된 검사대상 파일에 대하여 악성코드 검사를 수행하는 방법 및 장치에 관한 것이다.
악성코드는 컴퓨터 시스템에서 사용자의 의사에 반하여 악의적 활동이 수행될 수 있도록 설계된 소프트웨어로서, 컴퓨터 바이러스(computer virus), 웜(worm), 트로이목마(trojan horse), 스파이웨어(spyware), 루트킷(rootkit) 등을 포함한다. 이러한 악성코드는 과거에 비해 그 수가 급격히 증가하는 추세인바, 효과적인 악성코드 진단/치료의 필요성도 점점 더 커지고 있다.
컴퓨터 시스템에서 악성코드에 감염된 파일을 찾아내기 위하여, 나아가 감염된 파일을 격리 또는 제거하기 위하여, 통상 백신 프로그램이 컴퓨터 시스템에 설치된다. 백신 프로그램을 설치하는 경우, 일반적으로 컴퓨터 시스템의 스토리지(storage)에 저장된 모든 파일에 대하여 악성코드 검사가 수행된다. 또한, 이동식 하드 디스크나 USB와 같은 이동식 스토리지가 컴퓨터 시스템에 연결되는 경우에는 그 스토리지의 모든 파일을 대상으로 악성코드 감염 여부가 검사되기도 한다.
이와 달리, 운영체제 및 프로그램이 설치되는 폴더와 같이 중요한 시스템 폴더에서 감염 확률이 높은 종류의 파일만 검사하는 방식도 있는데, 이러한 주요 폴더 검사는 전체 파일을 대상으로 검사를 수행하는 정밀 검사보다는 짧은 시간 내에 수행될 수 있다.
전술한 전체 파일 검사로는 대용량의 스토리지를 검사하는 데에 많은 시간이 소요될 수 있다. 또한, 주요 폴더 검사만으로는 악성코드에 감염되었더라도 탐지될 수 없는 파일이 존재할 가능성이 있고, 현재 대부분의 컴퓨터 시스템의 이용 상황을 고려할 때 중요 폴더에 속한 파일들 중 상당수가 검사 대상이 되어서 검사 수행 시간의 감소가 현저하지 않을 수도 있다.
본 발명은 상기와 같은 문제점을 인식한 것으로서, 파일시스템에서 제공하는 폴더에 관한 정보 및 파일에 관한 정보를 이용하여 악성코드 검사의 대상이 될 파일을 판별함으로써, 악성코드 검사에 소요되는 시간을 단축하는 데에 그 목적이 있다.
또한, 본 발명은 백신 프로그램을 컴퓨터 시스템에 설치한 직후의 악성코드 검사 또는 이동식 스토리지가 컴퓨터 시스템에 연결되는 경우의 악성코드 검사에서, 악성코드 감염 특성과 파일 및 폴더의 이용 특성을 고려하여 악성코드 감염 가능성이 더 높은 파일을 선별하고 검사를 수행함으로써, 악성코드 검사에 따른 컴퓨터 시스템의 리소스 부족이나 성능 저하를 방지하는 데에 그 목적이 있다.
본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
상기와 같은 목적을 달성하기 위한 본 발명의 일 실시예에 따르면, 파일시스템(file system)에 따라 폴더가 생성된 제1 시점에 관한 정보 및 상기 파일시스템에 따라 상기 폴더에 속한 파일이 생성된 제2 시점에 관한 정보를 상기 파일시스템으로부터 제공받는 정보 수신부와, 상기 제1 시점에 관한 정보 및 상기 제2 시점에 관한 정보를 이용하여 상기 파일이 검사대상 파일인지 여부를 판별하는 검사대상 판별부와, 상기 파일이 검사대상 파일로 판별된 경우에 상기 파일이 악성코드를 포함하는지 여부에 대한 검사를 수행하도록 구성되는 검사부를 포함하는 악성코드 탐지 장치를 제공한다.
또한, 상기 검사대상 판별부는 상기 제2 시점이 상기 제1 시점으로부터 미리 설정된 시간간격 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별하는 악성코드 탐지 장치를 제공한다.
또한, 상기 폴더는 상기 파일시스템을 사용하는 운영체제와 연관된 폴더인 악성코드 탐지 장치를 제공한다.
또한, 상기 폴더의 폴더명은 변경될 수 없도록 상기 운영체제에 의해 설정된 악성코드 탐지 장치를 제공한다.
또한, 상기 폴더는 상위 폴더를 갖고, 상기 제1 시점은 상기 상위 폴더가 상기 파일시스템에 따라 생성된 시점으로부터 미리 설정된 제1 임계시간 이내인 악성코드 탐지 장치를 제공한다.
또한, 상기 폴더에는 상기 파일을 포함하는 하나 이상의 파일이 속하고, 상기 하나 이상의 파일이 상기 파일시스템에 따라 생성된 시점에 각각 대응하는 하나 이상의 시점 중 상기 제1 시점과의 차이가 미리 설정된 제2 임계시간 이하인 것의 총 개수가 미리 설정된 임계값 이상인 악성코드 탐지 장치를 제공한다.
또한, 상기 미리 설정된 시간간격은 상기 폴더의 크기에 기반하여 설정된 악성코드 탐지 장치를 제공한다.
또한, 상기 폴더에는 상기 파일을 포함하는 하나 이상의 파일이 속하고, 상기 미리 설정된 시간간격은 상기 하나 이상의 파일이 상기 파일시스템에 따라 생성된 시점에 각각 대응하는 하나 이상의 시점에 기반하여 설정된 악성코드 탐지 장치를 제공한다.
또한, 상기 검사대상 판별부는 또한 상기 제1 시점이 미리 설정된 제1 지정시점 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별하는 악성코드 탐지 장치를 제공한다.
또한, 상기 정보 수신부는 또한 상기 파일시스템에 따라 상기 파일이 수정된 제3 시점에 관한 정보를 상기 파일시스템으로부터 제공받고, 상기 검사대상 판별부는 또한 상기 제3 시점이 상기 제2 시점으로부터 미리 설정된 제3 임계시간 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별하는 악성코드 탐지 장치를 제공한다.
또한, 상기 검사대상 판별부는 또한 상기 제2 시점이 미리 설정된 제2 지정시점 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별하는 악성코드 탐지 장치를 제공한다.
또한, 상기 파일이 검사대상 파일로 판별된 경우에는 상기 검사부에게 상기 검사를 수행할 것을 요청하고, 상기 파일이 검사대상 파일이 아닌 것으로 판별된 경우에는 상기 검사부에게 상기 검사를 수행하지 않을 것을 요청하는 검사요청부를 더 포함하는 악성코드 탐지 장치를 제공한다.
또한, 상기 검사부는 상기 검사요청부로부터 상기 검사를 수행할 것을 요청받은 경우에는 상기 검사를 수행하고, 상기 검사요청부로터 상기 검사를 수행하지 않을 것을 요청받은 경우에는 상기 검사를 수행하지 않는 악성코드 탐지 장치를 제공한다.
본 발명의 다른 실시예에 따르면, 파일시스템에 따라 폴더가 생성된 제1 시점에 관한 정보 및 상기 파일시스템에 따라 상기 폴더에 속한 파일이 생성된 제2 시점에 관한 정보를 상기 파일시스템으로부터 수신하는 단계와, 상기 제1 시점에 관한 정보 및 상기 제2 시점에 관한 정보를 이용하여 상기 파일이 검사대상 파일인지 여부를 판별하는 단계와, 상기 파일이 검사대상 파일로 판별된 경우에 상기 파일이 악성코드를 포함하는지 여부에 대한 검사를 수행하는 단계를 포함하는 악성코드 탐지 방법을 제공한다.
또한, 상기 판별 단계는 상기 제2 시점이 상기 제1 시점으로부터 미리 설정된 시간간격 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별하는 단계를 포함하는 악성코드 탐지 방법을 제공한다.
또한, 상기 폴더는 상기 파일시스템을 사용하는 운영체제와 연관된 폴더인 악성코드 탐지 방법을 제공한다.
또한, 상기 폴더의 폴더명은 변경될 수 없도록 상기 운영체제에 의해 설정된 악성코드 탐지 방법을 제공한다.
또한, 상기 폴더는 상위 폴더를 갖고, 상기 제1 시점은 상기 상위 폴더가 상기 파일시스템에 따라 생성된 시점으로부터 미리 설정된 제1 임계시간 이내인 악성코드 탐지 방법을 제공한다.
또한, 상기 폴더에는 상기 파일을 포함하는 하나 이상의 파일이 속하고, 상기 하나 이상의 파일이 상기 파일시스템에 따라 생성된 시점에 각각 대응하는 하나 이상의 시점 중 상기 제1 시점과의 차이가 미리 설정된 제2 임계시간 이하인 것의 총 개수가 미리 설정된 임계값 이상인 악성코드 탐지 방법을 제공한다.
또한, 상기 미리 설정된 시간간격은 상기 폴더의 크기에 기반하여 설정된 악성코드 탐지 방법을 제공한다.
또한, 상기 폴더에는 상기 파일을 포함하는 하나 이상의 파일이 속하고, 상기 미리 설정된 시간간격은 상기 하나 이상의 파일이 상기 파일시스템에 따라 생성된 시점에 각각 대응하는 하나 이상의 시점에 기반하여 설정된 악성코드 탐지 방법을 제공한다.
또한, 상기 판별 단계는 상기 제1 시점이 미리 설정된 제1 지정시점 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별하는 단계를 더 포함하는 악성코드 탐지 방법을 제공한다.
또한, 상기 파일시스템에 따라 상기 파일이 수정된 제3 시점에 관한 정보를 상기 파일시스템으로부터 수신하는 단계와, 상기 제3 시점이 상기 제2 시점으로부터 미리 설정된 제3 임계시간 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별하는 단계를 더 포함하는 악성코드 탐지 방법을 제공한다.
또한, 상기 판별 단계는 상기 제2 시점이 미리 설정된 제2 지정시점 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별하는 단계를 더 포함하는 악성코드 탐지 방법을 제공한다.
본 발명의 또 다른 실시예에 따르면, 위 악성코드 탐지 방법 중 어느 하나를 수행하기 위한 컴퓨터 프로그램이 저장된 컴퓨터 판독가능 저장매체를 제공한다.
본 발명의 여러 실시예들에 따른 구체적인 사항들은 이하의 상세한 설명 및 도면들에 포함되어 있다.
본 발명의 실시예에 따르면, 파일을 악성코드 검사의 대상으로 할 것인지 판별하고 검사대상으로 판별된 파일에 대하여 악성코드 포함 여부를 검사하도록 함으로써, 악성코드 검사 시간을 절약하고 컴퓨터 시스템의 리소스 부족이나 성능 저하를 방지하는 효과가 있다.
도 1은 본 발명의 실시예에 따른 악성코드 탐지 장치의 구성을 나타내는 도면이다.
도 2는 본 발명의 실시예에 따라 파일에 대한 악성코드 검사를 수행하는 컴퓨터 시스템을 도시한 도면이다.
도 3은 본 발명의 실시예에 따라 악성코드를 탐지하는 과정을 도시한 플로우차트이다.
도 4는 본 발명의 실시예에 따라 파일에 대한 악성코드 검사를 수행하는 과정을 도시한 플로우차트이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 실시예들은 단지 본 발명의 개시가 완전하도록 하고 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 또한, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
이하에서, 첨부된 도면을 참조하여 본 발명의 실시예들을 상세히 설명하기로 한다.
도 1은 본 발명의 실시예에 따른 악성코드 탐지 장치의 구성을 나타내는 도면이다.
도 1을 참조하면, 악성코드 탐지 장치(100a)는 파일시스템이 제공하는 파일 정보 및 폴더 정보를 수신하는 정보 수신부(120a), 수신한 파일 정보 및 폴더 정보를 이용하여 검사대상 파일을 판별하는 검사대상 판별부(140a) 및 판별된 검사대상 파일에 대하여 악성코드 검사를 수행하는 검사부(160a)를 포함한다. 여기서, 파일시스템은 스토리지에 의해 제공되는 물리적인 섹터(sector)를 파일과 폴더(그러한 파일들 또는 다른 폴더들을 포함할 수 있음)로 구조화하는바, 이와 같은 파일시스템을 사용하는 운영체제(operating system, OS)는 파일 생성, 파일 속성 설정, 파일 판독 또는 파일 업데이트 등을 할 수 있다.
정보 수신부(120a)는 파일시스템에 따라 폴더가 생성된 시점에 관한 정보를 파일시스템으로부터 수신할 수 있다. 또한, 정보 수신부(120a)는 파일시스템에 따라 폴더에 속한 파일이 생성된 시점에 관한 정보를 파일시스템으로부터 제공받을 수 있다. 또한, 정보 수신부(120a)는 이러한 폴더 또는 파일의 상태가 변경된 경우 그에 관한 정보를 파일시스템으로부터 수신할 수도 있다. 예컨대, 정보 수신부(120a)는 파일시스템에 따라 파일이 수정된 시점에 관한 정보를 파일시스템으로부터 수신할 수 있다.
검사대상 판별부(140a)는 정보 수신부(120a)가 파일시스템으로부터 제공받는 정보, 예컨대 파일시스템에 따라 폴더가 생성된 시점에 관한 정보 및 파일시스템에 따라 파일이 생성된 시점에 관한 정보를 이용하여 그 파일이 검사대상 파일인지 판별할 수 있다. 예컨대, 검사대상 판별부(140a)는 폴더가 생성된 시점 이후 특정 시간간격 이후에 파일이 생성되었는지 여부에 따라 검사대상 파일 여부를 판별할 수 있다. 나아가, 검사대상 판별부(140a)는 파일이 생성된 이후 파일이 수정되었는지에 따라 검사대상 파일을 판별할 수 있다. 한편, 검사대상 판별부(140a)는 일정 시간 이상 사용되지 않은 파일에 대해서는 검사대상 파일이 아닌 것으로 판별할 수도 있다.
검사부(160a)는 검사대상 판별부(140a)에 의해 검사대상 파일로 판별된 파일이 악성코드를 포함하는지 여부에 대한 검사를 수행하도록 구성될 수 있다. 여기서, 검사부(160a)는 검사요청부(도시되지 않음)로부터 검사 수행 여부에 관한 요청을 받고 그 요청에 따라 악성코드 검사를 수행하거나 수행하지 않을 수 있다. 이와 같은 경우, 위 검사요청부는 검사대상 판별부(140a)에 의해 검사대상 파일로 판별된 파일에 대해서는 검사부(160a)에게 악성코드 검사를 수행할 것을 요청하고, 검사대상 파일이 아닌 것으로 판별된 파일에 대해서는 검사부(160a)에게 악성코드 검사를 수행하지 않을 것을 요청하도록 구성될 수 있다.
도 2는 본 발명의 실시예에 따라 파일에 대한 악성코드 검사를 수행하는 컴퓨터 시스템을 도시한 도면이다.
본 발명의 실시예에 따르면, 파일에 대한 악성코드 검사를 수행하는 컴퓨터 시스템(200)은 CPU와 같은 하나 이상의 프로세서과 메모리를 포함할 수 있다. 프로세서 각각은 각 프로세서에 의해 실행될 명령어 내지 프로그램을 저장하는 메모리에 연결된다. 메모리는 비휘발성 메모리 또는 휘발성 메모리 등 임의의 종류의 메모리 형태로서 존재할 수 있다. 또한, 도 2에 따르면, 컴퓨터 시스템(200)은 악성코드 탐지 장치(100b), 파일시스템(240)을 포함하는 운영체제(220), 그리고 스토리지(260)를 포함할 수 있다.
도 2를 참조하면, 운영체제(220)는 컴퓨터 시스템(200)의 메모리에 로딩(load)된 것을 나타내는데, 컴퓨터 시스템(200)은 운영체제(220)의 제어에 따라 동작한다. 예컨대, 운영체제(220)는 Microsoft Windows 계열의 OS, UNIX나 LINUX 계열의 OS, 또는 다른 임의의 OS일 수 있다. 운영체제(220)는 스토리지(206)에서 파일 또는 폴더가 체계화된 특정 구조를 제공하는 파일시스템(240)을 포함한다. 파일시스템(240)은 파일 또는 폴더에 대한 각종 정보, 예컨대 파일의 생성 또는 변경에 관한 정보나 폴더의 생성 또는 변경에 관한 정보를 제공할 수 있다. 여기서, 파일시스템(240)은 Windows NT 운영체제와 연관된 표준 파일시스템인 NTFS(New Technology File System)을 기반으로 할 수 있다. 어떤 파일에 대하여, NTFS는 그 파일에 하나 이상 할당된 MFT(Master File Table) 엔트리 내의 속성(파일의 위치, 크기 또는 시간에 관한 정보를 표현함), 예컨대 $STANDARD_INFORMATION 또는 $FILE_NAME을 제공할 수 있다. 한편, 스토리지(206)는 하나 이상의 하드 디스크, 비휘발성 메모리 장치, 광 디스크 기타 임의의 스토리지 장치일 수 있다.
도 2를 참조하면, 악성코드 탐지 장치(100b)는 정보 수신부(120b), 검사대상 판별부(140b) 및 검사부(160b)를 포함한다. 본 발명의 실시예에 따르면, 악성코드 탐지 장치(100b)는 운영체제(220)가 제공하는 실행 환경에서 컴퓨터 시스템(200)의 메모리에 저장된 프로그램이 컴퓨터 시스템(200)의 프로세서에 의해 실행됨으로써 구현될 수 있다. 일부 실시예에서, 악성코드 탐지 장치(100b)는 컴퓨터 시스템(200)의 프로세서가 아닌 다른 프로세서에 의해 구현될 수도 있다.
도 2에서, 정보 수신부(120b)는 파일시스템(240)에 따라 폴더가 생성된 제1 시점에 관한 정보 및 파일시스템(240)에 따라 위 폴더에 속한 파일이 생성된 제2 시점에 관한 정보를 파일시스템(240)으로부터 제공받는다. 도 2에서, 검사대상 판별부(140b)는 제1 시점에 관한 정보 및 제2 시점에 관한 정보를 이용하여 위 파일이 검사대상 파일인지 여부를 판별한다. 도 2에서, 검사부(160b)는 위 파일이 검사대상 파일로 판별된 경우에 그 파일이 악성코드를 포함하는지 여부에 대한 검사를 수행하도록 구성된다.
이 때, 본 발명의 실시예에 따르면, 검사대상 판별부(140b)는 제2 시점이 제1 시점으로부터 미리 설정된 시간간격 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별할 수 있다.
예를 들어, 위 폴더는 파일시스템(240)을 사용하는 운영체제(220)와 연관된 폴더일 수 있다. 운영체제(220)가 컴퓨터 시스템(200)에 설치된 경우, 운영체제(220)와 연관된 폴더 중에는 운영체제(220)에 의해 폴더명이 함부로 변경될 수 없도록 설정된 것이 존재할 수 있다. 운영체제(220)가 Microsoft Windows인 경우, Windows 폴더, Drivers 폴더 또는 System32 폴더 등이 그 예이다. 그러한 폴더가 파일시스템(240)에 따라 생성된 제1 시점은 운영체제(220)의 설치 시점에 대응된다고 볼 수 있는바, 위 폴더가 생성된 직후 그 폴더에 파일이 생성되었는지 판정하기 위한 일종의 기준 시점으로서 제1 시점을 고려할 수 있다. 이는 악성코드에 감염된 파일의 생성 시점은 통상 그 파일이 속한 폴더가 생성된 시점 직후가 아니라는 특성과 부합하는 것이다.
위와 같은 경우, 만일 위 폴더에 속한 파일이 생성된 제2 시점이 제1 시점으로부터 미리 설정된 시간간격(예컨대, 운영체제(220)의 설치가 완료되기에 충분한 시간) 이내에 해당하면, 검사대상 판별부(140b)는 그 파일에 대해서 검사대상 파일이 아닌 것으로 판별하여 검사부(160b)가 위 파일에 대한 악성코드 검사를 수행하지 않도록 할 수 있다.
한편, 예컨대 위 폴더가 상위 폴더를 갖고 제1 시점이 그 상위 폴더가 파일시스템(240)에 따라 생성된 시점과 거의 일치한다면(예컨대, 제1 시점이 그 상위폴더가 파일시스템(240)에 따라 생성된 시점으로부터 미리 설정된 제1 임계시간 이내인 경우), 이와 같은 제1 시점도 전술한 기준 시점으로서 고려해 볼 수 있다. 나아가, 위 폴더에 위 파일을 포함하는 하나 이상의 파일이 속하고, 그 하나 이상의 파일이 파일시스템(240)에 따라 생성된 시점에 각각 대응하는 하나 이상의 시점 중 제1 시점 근처인 것(예컨대, 상기 제1 시점과의 차이가 미리 설정된 제2 임계시간 이하인 것)의 총 개수가 미리 설정된 임계값 이상으로 많다면, 위 폴더에 속한 파일들 대부분이 위 폴더의 생성 직후에 생성되었다는 의미로 해석할 수 있는바, 제1 시점을 전술한 기준 시점으로 놓을 수 있다. 예를 들어, 운영체제(220)가 Windows NT 계열이고 파일시스템(240)이 NTFS인 경우, 파일의 생성 시점이 폴더의 생성 시점 근처인지 여부를 판정함에 있어서, MFT 엔트리 헤더로부터 폴더 및 그 폴더에 속한 파일의 LSN($LogFile Sequence Number) 정보를 제공받아 이들을 비교할 수 있다.
위와 같은 경우, 만일 위 폴더에 속한 파일이 생성된 제2 시점이 제1 시점으로부터 미리 설정된 시간간격(예컨대, 그 폴더의 크기에 기반하여 가변적으로 설정될 수 있음) 이후에 해당하면, 검사대상 판별부(140b)는 그 파일에 대해서 검사대상 파일인 것으로 판별하여 검사부(160b)가 위 파일에 대한 악성코드 검사를 수행하도록 할 수 있다. 예컨대, 운영체제(220)가 Windows NT 계열이고 파일시스템(240)이 NTFS인 경우, 제2 시점과 제1 시점의 비교는 폴더 및 파일의 LSN 정보를 이용하여 수행될 수 있으며, 또한 미리 설정된 시간간격은 폴더 내 파일들 각각의 LSN의 평균값을 이용하여 설정될 수도 있다.
위와 같은 경우에도, 폴더의 생성 시점인 제1 시점이 미리 설정된 제1 지정시점(예컨대, 현재로부터 2개월 또는 3개월 전) 이전일 때에만 그 폴더에 속한 파일에 대해서 검사대상 판별부(140b)가 검사대상 파일인지 여부를 판별하도록 하고, 그렇지 않은 폴더에 속한 파일에 대해서는 검사대상 파일로 판별하도록 할 수 있다.
나아가, 본 발명의 실시예에 따르면, 정보 수신부(120b)는 또한 파일시스템(240)에 따라 위 파일이 수정된 제3 시점에 관한 정보를 파일시스템(240)으로부터 제공받을 수 있고, 검사대상 판별부(140b)는 또한 제3 시점이 제2 시점과 소정의 차이가 난다면(예컨대, 제3 시점이 제2 시점으로부터 미리 설정된 제3 임계시간 이후에 해당한다면), 위 파일을 검사대상 파일로 판별할 수 있다. 이는 파일의 생성 시점과 파일의 수정 시점이 일치하는 경우는 파일의 변경이 없다는 것을 의미하는 반면, 파일의 생성 시점과 파일의 수정 시점이 일치하지 않는다면 그 파일의 악성코드 감염 여부를 검사할 필요성이 있다는 점을 반영하는 것이다. 예컨대, 파일시스템(240)이 NTFS에 기반하는 경우, 정보 수신부(120b)가 $Filename의 Creation Time, Access Time, Modification Time과 MFT Entry Modified 정보를 제공받고 검사대상 판별부(140b)가 이를 이용하여 파일의 변경 여부를 판정할 수 있다.
위와 같은 경우에도, 파일의 생성 시점인 제2 시점이 미리 설정된 제2 지정시점(예컨대, 현재로부터 2개월 또는 3개월 전) 이전일 때에만 그 파일에 대해서 검사대상 판별부(140b)가 검사대상 파일인지 여부를 판별하도록 하고, 그렇지 않은 파일에 대해서는 검사대상 파일로 판별하도록 할 수 있다.
도 3은 본 발명의 실시예에 따라 악성코드를 탐지하는 과정을 도시한 플로우차트이다.
본 발명의 실시예에 따른 악성코드 탐지 과정이 시작되면, 우선 파일시스템에 따라 폴더가 생성된 제1 시점에 관한 정보 및 파일시스템에 따라 위 폴더에 속한 파일이 생성된 제2 시점에 관한 정보를 파일시스템으로부터 수신한다(310).
이어서, 제1 시점에 관한 정보 및 제2 시점에 관한 정보를 이용하여 위 파일이 검사대상 파일인지 여부를 판별한다(320). 예컨대, 제2 시점이 제1 시점으로부터 미리 설정된 시간간격 이후에 해당하는 경우 위 파일을 검사대상 파일로 판별할 수 있고, 그렇지 않은 경우에는 검사대상 파일이 아닌 것으로 판별할 수 있다.
다음으로, 위 파일이 검사대상 파일이 아닌 것으로 판별된 경우(예를 들어, 제2 시점이 제1 시점으로부터 미리 설정된 시간간격 내에 해당하는 경우), 파일시스템에 따라 위 파일이 수정된 제3 시점에 관한 정보를 파일시스템으로부터 수신한다(330). 다만, 일부 실시예에서는 제3 시점에 관한 정보가 제1 시점 및 제2 시점에 관한 정보와 함께 파일시스템으로부터 수신될 수도 있다.
그러나, 위 파일이 검사대상 파일로 판별된 경우에는 위 파일이 악성코드를 포함하는지 여부에 대한 검사를 수행한다(330).
이후, 제3 시점이 제2 시점과 일치하는지 여부에 따라 위 파일이 검사대상 파일인지 여부를 판별한다(340). 예컨대, 제3 시점이 제2 시점으로부터 미리 설정된 제3 임계시간 이후에 해당하는 경우 위 파일을 검사대상 파일로 판별할 수 있고, 그렇지 않은 경우에는 검사대상 파일이 아닌 것으로 판별할 수 있다.
이어서, 위 파일이 검사대상 파일로 판별된 경우에는 위 파일이 악성코드를 포함하는지 여부에 대한 검사를 수행한다(330).
다만, 만일 위 파일이 검사대상 파일이 아닌 것으로 판별된 경우에는 위 파일에 대해 악성코드 포함 여부 검사가 수행되지 않도록 검사대상에서 제외한다.
이후, 위 파일에 대한 악성코드 탐지 과정은 종료한다. 이어서, 다른 파일에 대해서 악성코드 탐지 과정이 수행될 수 있다.
도 4는 본 발명의 실시예에 따라 파일에 대한 악성코드 검사를 수행하는 과정을 도시한 플로우차트이다.
본 발명의 실시예에 따른 악성코드 검사 과정이 시작되면, 우선 파일시스템에 따라 폴더가 생성된 제1 시점에 관한 정보, 파일시스템에 따라 위 폴더에 속한 파일이 생성된 제2 시점에 관한 정보 및 파일시스템에 따라 위 파일이 수정된 제3 시점에 관한 정보를 파일시스템으로부터 수신한다(410). 다만, 일부 실시예에서는 제1 시점 및 제2 시점 정보가 수신되고 제1 시점과 제2 시점의 비교를 통한 검사대상 파일 여부 판별이 수행된 이후에 제3 시점에 관한 정보가 수신될 수도 있다.
다음으로, 제1 시점이 미리 설정된 제1 지정시점 이내인지 여부를 판정한다(420).
제1 시점이 제1 지정시점 이후에 해당하는 경우에는 위 파일을 검사대상 파일로 판별한다. 이어서, 위 파일이 악성코드를 포함하는지 여부에 대한 검사를 수행한다(480).
그러나, 제1 시점이 제1 지정시점 내에 해당하는 경우라면, 제2 시점이 제1 시점으로부터 미리 설정된 시간간격 이내인지 여부를 판정한다(430).
제2 시점이 제1 시점으로부터 미리 설정된 시간간격 이후에 해당하는 경우 위 파일을 검사대상 파일로 판별한다. 이어서, 위 파일이 악성코드를 포함하는지 여부에 대한 검사를 수행한다(480).
그러나, 제2 시점이 제1 시점으로부터 미리 설정된 시간간격 이내에 해당하는 경우에는 제2 시점이 미리 설정된 제2 지정시점 이내인지 여부를 판정한다(440).
제2 시점이 제2 지정시점 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별한다. 이어서, 위 파일이 악성코드를 포함하는지 여부에 대한 검사를 수행한다(480).
그러나, 제2 시점이 제2 지정시점 이내에 해당하는 경우에는 제3 시점이 제2 시점으로부터 미리 설정된 임계시간 이내인지 여부를 판정한다(450).
제3 시점이 제2 시점으로부터 미리 설정된 임계시간 이후에 해당하는 경우 위 파일을 검사대상 파일로 판별한다. 이어서, 위 파일이 악성코드를 포함하는지 여부에 대한 검사를 수행한다(480).
그러나, 제3 시점이 제2 시점으로부터 미리 설정된 임계시간 이내에 해당하는 경우에는 위 파일에 대해서는 악성코드 포함 여부 검사가 수행되지 않도록 검사대상에서 제외한다.
이후, 위 파일에 대한 악성코드 검사 과정은 종료한다. 이어서, 다른 파일에 대해서 악성코드 검사 과정이 수행될 수 있다.
본 발명의 실시예들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 형태로 구현되어 컴퓨터로 판독할 수 있는 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독가능 기록 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 이러한 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 다양한 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 한정적인 것으로 이해해서는 안 된다.
100a, 100b: 악성코드 탐지 장치, 120a, 120b: 정보 수신부, 140a, 140b: 검사대상 판별부, 160a, 160b: 검사부, 220: 운영체제, 240: 파일시스템

Claims (25)

  1. 파일시스템(file system)에 따라 폴더가 생성된 제1 시점에 관한 정보 및 상기 파일시스템에 따라 상기 폴더에 속한 파일이 생성된 제2 시점에 관한 정보를 상기 파일시스템으로부터 제공받는 정보 수신부와,
    상기 제1 시점에 관한 정보 및 상기 제2 시점에 관한 정보를 이용하여 상기 파일이 검사대상 파일인지 여부를 판별하는 검사대상 판별부와,
    상기 파일이 검사대상 파일로 판별된 경우에 상기 파일이 악성코드를 포함하는지 여부에 대한 검사를 수행하도록 구성되는 검사부
    를 포함하는 악성코드 탐지 장치.
  2. 제1항에 있어서,
    상기 검사대상 판별부는 상기 제2 시점이 상기 제1 시점으로부터 미리 설정된 시간간격 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별하는
    악성코드 탐지 장치.
  3. 제1항에 있어서,
    상기 폴더는 상기 파일시스템을 사용하는 운영체제와 연관된 폴더인
    악성코드 탐지 장치.
  4. 제3항에 있어서,
    상기 폴더의 폴더명은 변경될 수 없도록 상기 운영체제에 의해 설정된
    악성코드 탐지 장치.
  5. 제1항에 있어서,
    상기 폴더는 상위 폴더를 갖고, 상기 제1 시점은 상기 상위 폴더가 상기 파일시스템에 따라 생성된 시점으로부터 미리 설정된 제1 임계시간 이내인
    악성코드 탐지 장치.
  6. 삭제
  7. 제2항에 있어서,
    상기 미리 설정된 시간간격은 상기 폴더의 크기에 기반하여 설정된
    악성코드 탐지 장치.
  8. 제2항에 있어서,
    상기 폴더에는 상기 파일을 포함하는 하나 이상의 파일이 속하고, 상기 미리 설정된 시간간격은 상기 하나 이상의 파일이 상기 파일시스템에 따라 생성된 시점에 각각 대응하는 하나 이상의 시점에 기반하여 설정된
    악성코드 탐지 장치.
  9. 제2항에 있어서,
    상기 검사대상 판별부는 또한 상기 제1 시점이 미리 설정된 제1 지정시점 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별하는
    악성코드 탐지 장치.
  10. 제2항에 있어서,
    상기 정보 수신부는 또한 상기 파일시스템에 따라 상기 파일이 수정된 제3 시점에 관한 정보를 상기 파일시스템으로부터 제공받고,
    상기 검사대상 판별부는 또한 상기 제3 시점이 상기 제2 시점으로부터 미리 설정된 제3 임계시간 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별하는
    악성코드 탐지 장치.
  11. 제2항에 있어서,
    상기 검사대상 판별부는 또한 상기 제2 시점이 미리 설정된 제2 지정시점 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별하는
    악성코드 탐지 장치.
  12. 제1항에 있어서,
    상기 파일이 검사대상 파일로 판별된 경우에는 상기 검사부에게 상기 검사를 수행할 것을 요청하고, 상기 파일이 검사대상 파일이 아닌 것으로 판별된 경우에는 상기 검사부에게 상기 검사를 수행하지 않을 것을 요청하는 검사요청부
    를 더 포함하는 악성코드 탐지 장치.
  13. 제12항에 있어서,
    상기 검사부는 상기 검사요청부로부터 상기 검사를 수행할 것을 요청받은 경우에는 상기 검사를 수행하고, 상기 검사요청부로터 상기 검사를 수행하지 않을 것을 요청받은 경우에는 상기 검사를 수행하지 않는
    악성코드 탐지 장치.
  14. 파일시스템에 따라 폴더가 생성된 제1 시점에 관한 정보 및 상기 파일시스템에 따라 상기 폴더에 속한 파일이 생성된 제2 시점에 관한 정보를 상기 파일시스템으로부터 수신하는 단계와,
    상기 제1 시점에 관한 정보 및 상기 제2 시점에 관한 정보를 이용하여 상기 파일이 검사대상 파일인지 여부를 판별하는 단계와,
    상기 파일이 검사대상 파일로 판별된 경우에 상기 파일이 악성코드를 포함하는지 여부에 대한 검사를 수행하는 단계
    를 포함하는 악성코드 탐지 방법.
  15. 제14항에 있어서,
    상기 판별 단계는 상기 제2 시점이 상기 제1 시점으로부터 미리 설정된 시간간격 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별하는 단계를 포함하는
    악성코드 탐지 방법.
  16. 제14항에 있어서,
    상기 폴더는 상기 파일시스템을 사용하는 운영체제와 연관된 폴더인
    악성코드 탐지 방법.
  17. 제16항에 있어서,
    상기 폴더의 폴더명은 변경될 수 없도록 상기 운영체제에 의해 설정된
    악성코드 탐지 방법.
  18. 제14항에 있어서,
    상기 폴더는 상위 폴더를 갖고, 상기 제1 시점은 상기 상위 폴더가 상기 파일시스템에 따라 생성된 시점으로부터 미리 설정된 제1 임계시간 이내인
    악성코드 탐지 방법.
  19. 삭제
  20. 제15항에 있어서,
    상기 미리 설정된 시간간격은 상기 폴더의 크기에 기반하여 설정된
    악성코드 탐지 방법.
  21. 제15항에 있어서,
    상기 폴더에는 상기 파일을 포함하는 하나 이상의 파일이 속하고, 상기 미리 설정된 시간간격은 상기 하나 이상의 파일이 상기 파일시스템에 따라 생성된 시점에 각각 대응하는 하나 이상의 시점에 기반하여 설정된
    악성코드 탐지 방법.
  22. 제15항에 있어서,
    상기 판별 단계는 상기 제1 시점이 미리 설정된 제1 지정시점 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별하는 단계를 더 포함하는
    악성코드 탐지 방법.
  23. 제15항에 있어서,
    상기 파일시스템에 따라 상기 파일이 수정된 제3 시점에 관한 정보를 상기 파일시스템으로부터 수신하는 단계와,
    상기 제3 시점이 상기 제2 시점으로부터 미리 설정된 제3 임계시간 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별하는 단계
    를 더 포함하는 악성코드 탐지 방법.
  24. 제15항에 있어서,
    상기 판별 단계는 상기 제2 시점이 미리 설정된 제2 지정시점 이후에 해당하는 경우 상기 파일을 검사대상 파일로 판별하는 단계를 더 포함하는
    악성코드 탐지 방법.
  25. 제14항 내지 제18항 중 어느 한 항, 또는 제20항 내지 제24항 중 어느 한 항의 악성코드 탐지 방법을 수행하기 위한 컴퓨터 프로그램이 저장된
    컴퓨터 판독가능 기록 매체.
KR1020100140173A 2010-12-31 2010-12-31 악성코드 탐지 장치 및 방법 KR101217709B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020100140173A KR101217709B1 (ko) 2010-12-31 2010-12-31 악성코드 탐지 장치 및 방법
US13/977,275 US9129109B2 (en) 2010-12-31 2011-12-19 Method and apparatus for detecting a malware in files
PCT/KR2011/009810 WO2012091341A1 (en) 2010-12-31 2011-12-19 Method and apparatus for detecting a malware in files

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100140173A KR101217709B1 (ko) 2010-12-31 2010-12-31 악성코드 탐지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20120078016A KR20120078016A (ko) 2012-07-10
KR101217709B1 true KR101217709B1 (ko) 2013-01-02

Family

ID=46383331

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100140173A KR101217709B1 (ko) 2010-12-31 2010-12-31 악성코드 탐지 장치 및 방법

Country Status (3)

Country Link
US (1) US9129109B2 (ko)
KR (1) KR101217709B1 (ko)
WO (1) WO2012091341A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101406756B1 (ko) * 2013-09-17 2014-06-17 단국대학교 천안캠퍼스 산학협력단 적응형 디렉토리 탐지 시스템 및 방법

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9800455B1 (en) 2012-02-08 2017-10-24 Amazon Technologies, Inc. Log monitoring system
KR101412203B1 (ko) * 2012-12-28 2014-06-27 주식회사 안랩 악성코드 관련 긴급검사수행장치 및 악성코드 관련 긴급검사수행장치의 동작 방법
KR101421632B1 (ko) * 2013-02-13 2014-07-22 주식회사 잉카인터넷 멀웨어 스캐닝 시스템 및 방법
US9785773B2 (en) * 2014-07-03 2017-10-10 Palantir Technologies Inc. Malware data item analysis
EP3258409B1 (en) 2015-03-18 2019-07-17 Nippon Telegraph and Telephone Corporation Device for detecting terminal infected by malware, system for detecting terminal infected by malware, method for detecting terminal infected by malware, and program for detecting terminal infected by malware
US10102369B2 (en) 2015-08-19 2018-10-16 Palantir Technologies Inc. Checkout system executable code monitoring, and user account compromise determination system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070029540A (ko) * 2005-09-10 2007-03-14 배기봉 특수 설계된 전자 mark 의 파일 삽입 및 파일 기본 속성기반으로 하는 신종 악성코드 탐지/제거 기능 및 패치 관리기능, 조기 경보 기능을 제공하는 시스템 종합 보안솔루션 구현 기법
KR20070030931A (ko) * 2004-07-20 2007-03-16 인터내셔널 비지네스 머신즈 코포레이션 안티-바이러스 속도 향상을 위한 안전 저장 추적 방법
US7540027B2 (en) * 2005-06-23 2009-05-26 International Business Machines Corporation Method/system to speed up antivirus scans using a journal file system
KR20100125116A (ko) * 2009-05-20 2010-11-30 인포뱅크 주식회사 파일에 대한 무결성 검증 방법 및 시스템

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7069594B1 (en) 2001-06-15 2006-06-27 Mcafee, Inc. File system level integrity verification and validation
US7581253B2 (en) 2004-07-20 2009-08-25 Lenovo (Singapore) Pte. Ltd. Secure storage tracking for anti-virus speed-up
KR100942798B1 (ko) 2007-11-29 2010-02-18 한국전자통신연구원 악성코드 탐지장치 및 방법
KR100968267B1 (ko) 2008-06-13 2010-07-06 주식회사 안철수연구소 컴파일러 구분에 의한 악성코드 진단장치 및 방법
KR101110308B1 (ko) 2008-12-22 2012-02-15 한국전자통신연구원 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법
US8401982B1 (en) * 2010-01-14 2013-03-19 Symantec Corporation Using sequencing and timing information of behavior events in machine learning to detect malware

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070030931A (ko) * 2004-07-20 2007-03-16 인터내셔널 비지네스 머신즈 코포레이션 안티-바이러스 속도 향상을 위한 안전 저장 추적 방법
US7540027B2 (en) * 2005-06-23 2009-05-26 International Business Machines Corporation Method/system to speed up antivirus scans using a journal file system
KR20070029540A (ko) * 2005-09-10 2007-03-14 배기봉 특수 설계된 전자 mark 의 파일 삽입 및 파일 기본 속성기반으로 하는 신종 악성코드 탐지/제거 기능 및 패치 관리기능, 조기 경보 기능을 제공하는 시스템 종합 보안솔루션 구현 기법
KR20100125116A (ko) * 2009-05-20 2010-11-30 인포뱅크 주식회사 파일에 대한 무결성 검증 방법 및 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101406756B1 (ko) * 2013-09-17 2014-06-17 단국대학교 천안캠퍼스 산학협력단 적응형 디렉토리 탐지 시스템 및 방법

Also Published As

Publication number Publication date
US9129109B2 (en) 2015-09-08
KR20120078016A (ko) 2012-07-10
US20130276117A1 (en) 2013-10-17
WO2012091341A1 (en) 2012-07-05

Similar Documents

Publication Publication Date Title
KR101217709B1 (ko) 악성코드 탐지 장치 및 방법
CN107808094B (zh) 检测文件中的恶意代码的系统和方法
US8381296B2 (en) Method and system for detecting and removing hidden pestware files
US7257842B2 (en) Pre-approval of computer files during a malware detection
US9418227B2 (en) Detecting malicious software
KR101174751B1 (ko) 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법
US8572371B2 (en) Discovery of kernel rootkits with memory scan
US7841006B2 (en) Discovery of kernel rootkits by detecting hidden information
US9111094B2 (en) Malware detection
US8763128B2 (en) Apparatus and method for detecting malicious files
US8578345B1 (en) Malware detection efficacy by identifying installation and uninstallation scenarios
US8572738B2 (en) On demand virus scan
EP2663944B1 (en) Malware detection
US20120030766A1 (en) Method and system for defining a safe storage area for use in recovering a computer system
US20070261117A1 (en) Method and system for detecting a compressed pestware executable object
US8448243B1 (en) Systems and methods for detecting unknown malware in an executable file
US8418245B2 (en) Method and system for detecting obfuscatory pestware in a computer memory
US8448248B2 (en) Apparatus and method for repairing computer system infected by malware
CN103077350B (zh) 一种恶意代码的查杀方法和系统
KR101388053B1 (ko) 권한탐지 기반의 안드로이드 어플리케이션 보안강화 방법, 그리고 이를 위한 권한탐지 기반의 안드로이드 보안 프로그램을 기록한 컴퓨터로 판독가능한 기록매체
US7552473B2 (en) Detecting and blocking drive sharing worms
Mishra Improving Speed of Virus Scanning-Applying TRIZ to Improve Anti-Virus Programs
US20070294767A1 (en) Method and system for accurate detection and removal of pestware
CN110717180B (zh) 基于自定位行为的恶意文档检测方法、系统及存储介质
RU85249U1 (ru) Аппаратный антивирус

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151228

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161226

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20171226

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20181226

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20191226

Year of fee payment: 8