KR101412202B1 - 적응적 악성 진단 및 치료 수행장치 및 적응적 악성 진단 및 치료 수행방법 - Google Patents

적응적 악성 진단 및 치료 수행장치 및 적응적 악성 진단 및 치료 수행방법 Download PDF

Info

Publication number
KR101412202B1
KR101412202B1 KR1020120155568A KR20120155568A KR101412202B1 KR 101412202 B1 KR101412202 B1 KR 101412202B1 KR 1020120155568 A KR1020120155568 A KR 1020120155568A KR 20120155568 A KR20120155568 A KR 20120155568A KR 101412202 B1 KR101412202 B1 KR 101412202B1
Authority
KR
South Korea
Prior art keywords
malicious
diagnosis
infection
state
booting
Prior art date
Application number
KR1020120155568A
Other languages
English (en)
Inventor
김경희
김락현
황용기
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020120155568A priority Critical patent/KR101412202B1/ko
Application granted granted Critical
Publication of KR101412202B1 publication Critical patent/KR101412202B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

본 발명은, 적응적 악성 진단 및 치료 수행장치 및 적응적 악성 진단 및 치료 수행방법이 개시되어 있다. 본 발명의 실시예들은 단말 시스템이 부팅되는 과정에서 변화하는 시스템상태에 따라서 적응적으로 최적화/지정된 진단범위를 적용하여 악성감염여부를 진단하고, 더 나아가 악성감염이 진단되면 관련된 악성코드의 설치상태에 따라 적응적으로 최적화/지정된 치료절차를 수행함으로써, 최적의 진단 및 치료 효과를 도출할 수 있는 기술에 대한 것이다.

Description

적응적 악성 진단 및 치료 수행장치 및 적응적 악성 진단 및 치료 수행방법{DEVICE AND METHOD FOR ADAPTIVE MALICIOUS DIAGNOSING AND CURING}
본 발명의 실시예들은, 단말 시스템이 부팅되는 과정에서 시스템상태에 따라 최적화된 진단범위를 적용하고 더 나아가 악성감염이 진단되면 관련된 악성코드의 설치상태에 따라 최적화된 치료절차를 수행하여, 단말 시스템의 시스템상태 및 악성코드의 설치상태에 따라서 적응적인 악성 진단 및 치료를 수행할 수 있도록 함으로써, 최적의 진단 및 치료 효과를 도출할 수 있는 기술들과 관련된다.
현재, 단말 시스템에서 악성감염여부를 진단하는 방식은, 단말 시스템 내의 시스템정보를 활용하는 방식이 대부분이다. 이처럼 시스템정보를 활용한 진단 방식의 경우, 시스템정보를 활용할 수 있는 시점이 지나야만 비로소 진단을 실행할 수 있기 때문에 특정 시점의 악성감염에 대한 진단/탐지를 놓칠 수 있는 문제점이 있다.
이에, 단말 시스템의 시스템상태 변화에 따라서 해당 시점에 최적화된 진단범위 적용의 필요성이 요구되고 있다.
한편, 악성감염이 진단된 경우 악성감염과 관련된 악성코드를 치료하는 방식에 있어서, 기존에는 악성코드 대응서버에서 정의한 디폴트(default)값을 사용하거나, 단말 시스템의 관리자가 지정 치료방식을 획일적으로 사용하는 것이 대부분이다.
헌데, 이러한 획일적인 치료방식은, 악성코드의 단순 제거는 가능하지만 악성코드와 관련된 악성행위를 비롯한 모든 요소를 효과적 완전히 제거하는데 어려움이 있다.
이에 본 발명에서는, 단말 시스템의 시스템상태 및 악성코드의 설치상태에 따라서 적응적인 악성 진단 및 치료를 수행할 수 있도록 함으로써, 최적의 진단 및 치료 효과를 도출할 수 있는 방안을 제안하고자 한다.
본 발명의 실시예들은 단말 시스템이 부팅되는 과정에서 시스템상태에 따라 최적화된 진단범위를 적용하고 더 나아가 악성감염이 진단되면 관련된 악성코드의 설치상태에 따라 최적화된 치료절차를 수행하여, 단말 시스템의 시스템상태 및 악성코드의 설치상태에 따라서 적응적인 악성 진단 및 치료를 수행할 수 있도록 함으로써, 최적의 진단 및 치료 효과를 도출할 수 있는 기술 방안을 제안할 수 있다.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 적응적 악성 진단 및 치료 수행장치는, 단말 시스템의 부팅이 개시되면, 상기 개시된 부팅의 부팅진행절차에 따라 변화하는 상기 단말 시스템의 시스템상태를 확인하는 시스템상태확인부; 및 시스템상태 별로 상이하게 지정되는 악성감염여부 진단범위를 기초로, 상기 확인한 시스템상태에 해당되는 악성감염여부 진단범위에 따라 악성감염여부의 진단을 수행하는 진단수행부를 포함한다.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 적응적 악성 진단 및 치료 수행방법은, 단말 시스템의 부팅이 개시되는 것을 확인하는 부팅개시확인단계; 상기 단말 시스템의 부팅이 개시되면, 상기 개시된 부팅의 부팅진행절차에 따라 변화하는 상기 단말 시스템의 시스템상태를 확인하는 시스템상태확인단계; 및 시스템상태 별로 상이하게 지정되는 악성감염여부 진단범위를 기초로, 상기 확인한 시스템상태에 해당되는 악성감염여부 진단범위에 따라 악성감염여부의 진단을 수행하는 진단수행단계를 포함한다.
본 발명의 실시예들은 단말 시스템이 부팅되는 과정에서 변화하는 시스템상태에 따라서 적응적으로 최적화/지정된 진단범위를 적용하여 악성감염여부를 진단하고, 더 나아가 악성감염이 진단되면 관련된 악성코드의 설치상태에 따라 적응적으로 최적화/지정된 치료절차를 수행함으로써, 최적의 진단 및 치료 효과를 갖는다.
도 1은 본 발명의 바람직한 실시예에 따른 적응적 악성 진단 및 치료 수행장치가 포함된 시스템의 네트워크 구성을 보여주는 예시도이다.
도 2는 본 발명의 바람직한 실시예에 따른 적응적 악성 진단 및 치료 수행장치의 구성을 보여주는 구성도이다.
도 3은 본 발명에서 부팅진행절차에 따른 각 시스템상태를 보여주는 예시도이다.
도 4는 본 발명의 바람직한 실시예에 따른 적응적 악성 진단 및 치료 수행방법을 보여주는 동작 흐름도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.
먼저, 도 1을 참조하여 본 발명을 설명하면 다음과 같다. 여기서, 도 1은 본 발명의 바람직한 실시예에 따른 적응적 악성 진단 및 치료 수행장치가 포함된 시스템의 네트워크 구성을 보여주고 있다.
도 1에 도시된 바와 같이 시스템에는, 단말 시스템(100) 및 악성코드 대응서버(200)가 포함될 수 있다. 그리고, 본 발명에 따른 적응적 악성 진단 및 치료 수행장치(300)는, 단말 시스템(100) 및 악성코드 대응서버(200) 중 어느 하나에 포함될 수 있다.
이하에서는, 이하에서는 설명의 편의를 위해, 도 1에 도시된 바와 같이 단말 시스템(100)에 적응적 악성 진단 및 치료 수행장치(300)가 포함/탑재되는 것으로 설명하도록 하겠다.
단말 시스템(100)은, 자신에 설치되어 있는 운영체제를 기반으로 동작하게 되는 장치로서, 예컨대 컴퓨터 및 모바일단말 등을 포함할 수 있다.
이러한 단말 시스템(100)은, 사용자에 의해 단말 시스템(100)의 구동 온(예 : 전원버튼 온)이 선택되면, 부팅이 개시되어 단말 시스템(100)에 설치된 운영체제에 따른 부팅절차를 진행하게 된다.
본 발명에 따른 적응적 악성 진단 및 치료 수행장치(300)는, 단말 시스템(100)의 부팅이 개시되면, 상기 개시된 부팅의 부팅진행절차에 따라 변화하는 단말 시스템(100)의 시스템상태를 확인한다.
그리고, 적응적 악성 진단 및 치료 수행장치(300)는, 시스템상태 별로 상이하게 지정되는 악성감염여부 진단범위를 기초로, 전술과 같이 확인한 시스템상태에 해당되는 악성감염여부 진단범위에 따라 악성감염여부의 진단을 수행할 수 있다.
다시 말해, 적응적 악성 진단 및 치료 수행장치(300)는, 단말 시스템(100)의 부팅진행절차에 따라 변화하는 시스템상태에 따라서 해당 시점에 최적화된 악성감염여부 진단범위를 적용하여 진단을 수행하는 것이다.
이러한 적응적 악성 진단 및 치료 수행장치(300)는, 악성코드 대응서버(200)로부터 제공되어 단말 시스템(100)에 진단 및 치료 모듈 형태로 설치될 수 있고, 기 설정된 업데이트시점에 악성코드 대응서버(200)에 의해 업데이트되는 것도 가능할 것이다.
이하에서는, 도 2를 참조하여 본 발명의 바람직한 실시예에 따른 적응적 악성 진단 및 치료 수행장치의 구성을 보다 구체적으로 설명하도록 한다.
더불어, 이하에서는 설명의 편의를 위해 전술의 도 1에서 설명한 바와 같이, 단말 시스템(100)에 적응적 악성 진단 및 치료 수행장치가 탑재되는 경우로 설명하도록 하겠다.
본 발명에 따른 적응적 악성 진단 및 치료 수행장치(300)는, 단말 시스템(100)의 부팅이 개시되면, 상기 개시된 부팅의 부팅진행절차에 따라 변화하는 단말 시스템(100)의 시스템상태를 확인하는 시스템상태확인부(310)와, 시스템상태 별로 상이하게 지정되는 악성감염여부 진단범위를 기초로, 상기 확인한 시스템상태에 해당되는 악성감염여부 진단범위에 따라 악성감염여부의 진단을 수행하는 진단수행부(320)를 포함한다.
단말 시스템(100)은, 단말 시스템(100)의 사용자에 의해 구동 온(예 : 전원버튼 온)이 선택되면, 부팅이 개시되어 단말 시스템(100)에 설치된 운영체제에 따른 부팅절차를 진행하게 된다.
이에, 시스템상태확인부(310)는, 전술과 같이 단말 시스템(100)의 부팅이 개시되어 부팅절차가 진행되면, 이러한 부팅의 부팅진행절차에 따라 변화하는 단말 시스템(100)의 시스템상태를 확인한다.
보다 구체적으로 설명하면, 부팅진행절차에 따라 변화하는 시스템상태는, 상기 부팅이 개시된 후 단말 시스템(100)의 시스템초기화 작업이 개시되기 이전의 제1시스템상태, 상기 시스템초기화 작업이 개시된 후 사용자로그인 절차가 개시되기 이전의 제2시스템상태, 상기 사용자로그인 절차가 개시된 후 상기 부팅이 완료되기 이전의 제3시스템상태 및 상기 부팅이 완료된 제4시스템상태 중 적어도 하나를 포함할 수 있다.
예컨대 윈도우 운영체제의 경우 일반적인 부팅진행절차를 언급하여 설명하면, 단말 시스템(100)에서 부팅이 개시되면 단말 시스템(100)에서 기 설치된 운영체제 로드 절차를 시작하고, 운영체제 로드 절차가 완료되면 단말 시스템(100)의 시스템초기화 작업을 개시하여 레지스트리 정보를 이용하여 단말 시스템(100)의 시스템파일을 순차적으로 실행한다.
그리고 단말 시스템(100)의 전술과 같은 시스템초기화 작업이 완료되면 사용자로그인 절차를 개시하여 로그인 화면을 출력, 사용자에 의해 입력되는 인증정보를 통한 로그인 인증을 처리하는 사용자로그인 절차를 수행하고, 이러한 사용자로그인 절차가 완료되면 부팅이 완료됨으로써 단말 시스템(100)이 정상적인 동작 가능상태가 되고 운용체제 시동화면을 출력하게 된다.
이 후, 사용자는 단말 시스템(100)을 조작하여 문서 작업, 인터넷 검색 등의 원하는 시스템 기능을 이용할 수 있게 된다.
이에 도 3을 참조하여 설명하면, 본 발명에서 언급하는 전술과 같은 부팅진행절차에 따라 변화하는 단말 시스템(100)의 시스템상태는, 부팅이 개시된 후 단말 시스템(100)의 시스템초기화 작업이 개시되기 이전의 상태를 제1시스템상태라 할 수 있다.
그리고, 시스템초기화 작업이 개시된 후 사용자로그인 절차가 개시되기 이전의 상태를 제2시스템상태, 사용자로그인 절차가 개시된 후 부팅이 완료되기 이전의 상태를 제3시스템상태라 할 수 있다.
그리고, 부팅이 완료된 이후의 상태 즉 운용체제 시동화면이 출력된 이 후 사용자에 의해 시스템 기능이 이용되는 상태를 제4시스템상태라 할 수 있다.
따라서, 시스템상태확인부(310)는, 전술과 같이 단말 시스템(100)의 부팅이 개시되어 부팅절차가 진행되면, 이러한 부팅의 부팅진행절차에 따라 단말 시스템(100)의 현재 시스템상태가 전술의 제1시스템상태인지 또는 제2시스템상태인지 또는 제3시스템상태인지 또는 제4시스템상태인지를 지속적으로 확인할 수 있다.
한편, 전술에서는 윈도우 운영체제에 따른 부팅진행절차를 언급하여 설명하였으나 이는 일 실시예일 뿐이다. 즉, 윈도우 외에 리눅스 등과 같은 다른 운영체제의 경우에도, 그에 따라 제공되는 부팅진행절차가 실행되어 단말 시스템(100)이 정상적인 동작 가능상태가 되고 운용체제 시동화면을 출력하게 될 것이고, 이 경우에 시스템상태확인부(310)는, 단말 시스템(100)에 설치된 운영체제에 따른 부팅진행절차에 따라 단말 시스템(100)의 현재 시스템상태가 변화되는 것을 지속적으로 확인할 수 있을 것이다.
진단수행부(320)는, 시스템상태 별로 상이하게 지정되는 악성감염여부 진단범위를 기초로, 시스템상태확인부(310)에서 확인한 현재 시스템상태에 해당되는 악성감염여부 진단범위에 따라 악성감염여부의 진단을 수행한다. 여기서, 악성감염여부의 진단이란, 악성코드, 악성파일(예 : 악성실행파일) 등에 대한 감염여부를 진단하는 것이다.
즉, 진단수행부(320)는, 시스템상태확인부(310)에서 현재 시스템상태가 제1시스템상태라고 확인하면 제1시스템상태에 해당되는 악성감염여부 진단범위에 따라 악성감염여부의 진단을 수행하고, 시스템상태확인부(310)에서 현재 시스템상태가 제2시스템상태라고 확인하면 제2시스템상태에 해당되는 악성감염여부 진단범위에 따라 악성감염여부의 진단을 수행하고, 시스템상태확인부(310)에서 현재 시스템상태가 제3시스템상태라고 확인하면 제3시스템상태에 해당되는 악성감염여부 진단범위에 따라 악성감염여부의 진단을 수행하고, 시스템상태확인부(310)에서 현재 시스템상태가 제4시스템상태라고 확인하면 제4시스템상태에 해당되는 악성감염여부 진단범위에 따라 악성감염여부의 진단을 수행함으로써, 단말 시스템(100)의 부팅이 개시되어 부팅이 완료될 때까지 각 시스템상태에 따라서 순차적으로 각 시스템상태에 최적인 악성감염여부 진단범위에 따라 악성감염여부의 진단을 수행하는 것이다.
보다 구체적으로 설명하면, 시스템상태 별로 상이하게 지정되는 악성감염여부 진단범위는, 다수의 악성감염여부 진단기능 중에서 각 시스템상태 별로 악성감염여부의 진단이 가능한 것으로 상이하게 지정된 악성감염여부 진단기능인 것이 바람직하다.
다시 말해, 적응적 악성 진단 및 치료 수행장치(300)는, 단말 시스템(100) 내의 시스템정보를 활용하여 실행할 수 있는 다수의 악성감염여부 진단기능을 갖는 진단엔진(340)을 포함할 수 있다.
그리고, 진단수행부(320)에는, 전술의 각 시스템상태에 대하여 즉 제1시스템상태, 제2시스템상태, 제3시스템상태 및 제4시스템상태 각각에 대하여, 전술의 진단엔진(340)의 다수의 악성감염여부 진단기능 중에서 해당 시스템상태에서 진단이 가능한 적어도 일부의 악성감염여부 진단기능이 기 지정되는 것이다.
예들 들면, 단말 시스템(100)에서 부팅이 개시된 후 단말 시스템(100)의 시스템초기화 작업이 개시되기 이전의 상태인 제1시스템상태에서는, 아직 시스템초기화 작업이 개시되지 않았기 때문에 단말 시스템(100)의 시스템정보로서 레지스트리 정보를 이용/활용해야 하는 악성감염여부 진단기능은 실행할 수 없고, 제1시스템상태에서 확인 가능한 시스템정보 만을 이용/활용하는 악성감염여부 진단기능만 실행할 수 있을 것이다.
따라서, 제1시스템상태에 대하여 지정된 악성감염여부 진단기능은, 다수의 악성감염여부 진단기능 중 단말 시스템(100)에서 부팅이 개시된 후 단말 시스템(100)의 시스템초기화 작업이 개시되기 이전의 상태인 제1시스템상태에서 확인 가능한 시스템정보 만을 이용/활용하는 악성감염여부 진단기능(예 : 제1악성감염여부 진단기능)일 것이다.
물론, 제2시스템상태에 대하여 지정된 악성감염여부 진단기능은, 다수의 악성감염여부 진단기능 중 단말 시스템(100)에서 시스템초기화 작업이 개시된 후 사용자로그인 절차가 개시되기 이전의 상태인 제2시스템상태에서 확인 가능한 시스템정보 만을 이용/활용하는 악성감염여부 진단기능(예 : 제2악성감염여부 진단기능)일 것이고, 제3시스템상태에 대하여 지정된 악성감염여부 진단기능은, 다수의 악성감염여부 진단기능 중 단말 시스템(100)에서 사용자로그인 절차가 개시된 후 부팅이 완료되기 이전의 상태인 제3시스템상태에서 확인 가능한 시스템정보 만을 이용/활용하는 악성감염여부 진단기능(예 : 제3악성감염여부 진단기능)일 것이고, 제4시스템상태에 대하여 지정된 악성감염여부 진단기능은, 다수의 악성감염여부 진단기능 중 단말 시스템(100)에서 부팅이 완료된 이후의 상태 즉 운용체제 시동화면이 출력된 이 후 사용자에 의해 시스템 기능이 이용되는 상태인 제4시스템상태에서 확인 가능한 시스템정보를 이용/활용하는 악성감염여부 진단기능(예 : 제4악성감염여부 진단기능)일 것이다.
이때, 예컨대 전술의 제1악성감염여부 진단기능의 적어도 일부는 제2악성감염여부 진단기능에 포함될 수 있고, 전술의 제2악성감염여부 진단기능의 적어도 일부는 제3악성감염여부 진단기능에 포함될 수 있고, 전술의 제3악성감염여부 진단기능의 적어도 일부는 제4악성감염여부 진단기능에 포함될 수 있다.
물론, 제1악성감염여부 진단기능 및 제2악성감염여부 진단기능 및 제3악성감염여부 진단기능 및 제4악성감염여부 진단기능 각각은, 상호 포함 또는 중복되지 않을 수도 있다.
이에 보다 구체적으로 설명하면 진단수행부(320)는, 전술과 같이 시스템상태 별로 상이하게 지정되는 악성감염여부 진단기능을 기초로, 시스템상태확인부(310)에서 확인한 현재 시스템상태에 해당되는 악성감염여부 진단기능을 확인하고, 전술의 진단엔진(340)이 가지는 다수의 악성감염여부 진단기능 중 전술의 확인한 악성감염여부 진단기능 만을 활성화하여 실행시켜, 전술의 확인한 악성감염여부 진단기능에 따라 상기 악성감염여부의 진단을 수행할 수 있다.
즉, 진단수행부(320)는, 시스템상태확인부(310)에서 확인한 현재 시스템상태에 해당되는 악성감염여부 진단기능을 확인한다.
예컨대, 단말 시스템(100)이 부팅이 개시된 직후라면 시스템상태확인부(310)에서는 제1시스템상태인 것으로 확인할 것이고, 따라서 진단수행부(320)는, 전술과 같이 시스템상태 별로 상이하게 지정되는 악성감염여부 진단기능을 기초로, 현재 시스템상태 즉 제1시스템상태에 해당되는 악성감염여부 진단기능(예 : 제1악성감염여부 진단기능)을 확인할 수 있다.
이에, 진단수행부(320)는, 전술의 진단엔진(340)이 가지는 다수의 악성감염여부 진단기능 중, 전술의 확인한 악성감염여부 진단기능 만을 활성화시키고 나머지 악성감염여부 진단기능을 비활성화시킨 후 진단엔진(340)을 실행시킴으로써, 전술의 확인한 악성감염여부 진단기능에 따라 악성감염여부의 진단을 수행할 수 있다.
예컨대, 전술과 같이 단말 시스템(100)이 부팅이 개시된 직후라면, 진단수행부(320)는, 진단엔진(340)이 가진 다수의 악성감염여부 진단기능 중, 현재 시스템상태 즉 제1시스템상태에 해당되는 악성감염여부 진단기능(예 : 제1악성감염여부 진단기능)만을 활성화시키고 나머지 악성감염여부 진단기능을 비활성화시킨 후 진단엔진(340)을 실행시킴으로써, 전술의 확인한 제1악성감염여부 진단기능에 따라 악성감염여부의 진단을 수행할 수 있다.
이에 결과적으로, 진단수행부(320)는, 단말 시스템(100)에서 부팅이 개시된 후 부팅진행절차에 따라서 시스템상태확인부(310)에서 확인되는 시스템상태가 제1시스템상태, 제2시스템상태, 제3시스템상태 및 제4시스템상태로 변화함에 따라서, 제1시스템상태인 시점에는 제1악성감염여부 진단기능 만으로 악성감염여부의 진단을 수행하고, 제2시스템상태인 시점에는 제2악성감염여부 진단기능 만으로 악성감염여부의 진단을 수행하고, 제3시스템상태인 시점에는 제3악성감염여부 진단기능 만으로 악성감염여부의 진단을 수행하고, 제4시스템상태인 시점에는 제4악성감염여부 진단기능으로 악성감염여부의 진단을 수행함으로써, 단말 시스템(100)의 부팅이 개시되어 부팅이 완료될 때까지 각 시스템상태에 따라서 순차적으로 각 시스템상태에 최적인 악성감염여부 진단기능 즉 악성감염여부 진단범위에 따라 악성감염여부의 진단을 수행하게 된다.
전술과 같이 본 발명의 적응적 악성 진단 및 치료 수행장치(300)는, 부팅진행절차에 따라 변화하는 시스템상태 별로 해당 시점에서 진단 가능한 악성감염여부 진단기능 만을 활성화시켜 진단엔진(340)을 실행시켜 악성감염여부의 진단을 수행하기 때문에, 진단엔지(340)에서 모든 진단기능을 이용하여 진단을 시작/종료하는 것에 비하여 수행 속도가 빠르고 리소스사용량이 적어 진단 효율의 증가 효과를 이끌어낼 수 있다.
더 나아가 본 발명의 적응적 악성 진단 및 치료 수행장치(300)는, 악성치료부(330)를 더 포함할 수 있다.
악성치료부(330)는, 전술의 진단수행부(320)가 각 시스템상태에서 악성감염여부의 진단을 수행한 결과 악성감염이 확인되면, 상기 확인된 악성감염에 대응되는 악성코드의 설치상태를 기초로 상이한 치료절차를 수행한다.
여기서, 악성코드의 설치상태는, 악성코드가 설치된 후 악성행위를 실행한 활동설치상태, 또는 악성코드가 설치된 후 악성행위를 실행하지 않은 미활동설치상태를 의미할 수 있다.
예컨대, 확인된 악성감염에 대응되는 악성코드로서 악성실행파일이 진단되는 경우를 언급하면, 이 악성실행파일은 단말 시스템(100)에 설치된 후 악성행위를 실행할 수 있고, 예컨대 이 악성실행파일은 단말 시스템(100)에 설치된 운영체제에서는 활동하지 않는 악성실행파일인 경우 등, 경우에 따라서 단말 시스템(100)에 설치만 될 뿐 악성행위를 실행하지 않을 수도 있다. 이때 설치 후 악성행위를 실행한 상태가 활동설치상태이며, 설치 후 악성행위를 실행하지 않은 상태가 미활동설치상태이다.
이에, 악성치료부(330)는, 전술의 진단수행부(320)에서 각 시스템상태 별로 악성감염여부의 진단을 수행한 결과 악성감염이 확인되면, 확인된 악성감염에 대응되는 악성코드의 설치상태가 전술의 활동설치상태인지 또는 전술의 미활동설치상태인지를 확인한다.
이에 악성치료부(330)는, 악성코드의 설치상태가 활동설치상태이면 해당 악성코드 및 악성코드의 악성행위에 의해 발생되는 데이터를 삭제하는 설치삭제 치료절차를 수행한다.
예컨대, 전술과 같이 악성코드로서 악성실행파일이 진단되는 경우를 언급하면, 악성치료부(330)는, 악성실행파일의 설치상태가 활동설치상태이면 해당 악성실행파일 및 악성실행파일의 실행에 따른 악성행위에 의해 발생되는 데이터를 모두 삭제하는 설치삭제 치료절차, 예를 들면 해당 악성실행파일을 대상으로 파일 언인스톨(Uninstall) 절차를 수행함으로써 악성실행파일과 관련된 모든 데이터를 효과적 완전히 삭제하는 치료할 수 있다.
한편, 악성치료부(330)는, 악성코드의 설치상태가 미활동설치상태이면 해당 악성코드를 삭제하는 삭제 치료절차를 수행한다.
예컨대, 전술과 같이 악성코드로서 악성실행파일이 진단되는 경우를 언급하면, 악성치료부(330)는, 악성실행파일의 설치상태가 미활동설치상태이면 해당 악성실행파일을 단순히 삭제하는 삭제 치료절차를 수행함으로써, 간단하게 치료할 수 있다.
한편, 전술에서는 본 발명에 따른 적응적 악성 진단 및 치료 수행장치가 단말 시스템(100)에 포함되는 구성으로 설명하고 있으나, 이는 일 실시예일 뿐이다.
예컨대, 본 발명에 따른 적응적 악성 진단 및 치료 수행장치가 악성코드대응서버(200)에 포함되어, 단말 시스템(100)에 대하여 클라우드 기반 방식으로 전술과 같은 본 발명의 시스템상태에 따른 악성감염여부 진단 및 악성감염 진단 시 관련 악성코드의 설치상태에 따른 치료가 수행되는 것도 가능할 것이다. 이 경우라면, 단말 시스템(100)과 악성코드대응서버(200) 간의 통신이 가능한 시점부터 전술과 같은 본 발명의 시스템상태에 따른 악성감염여부 진단 및 악성감염 진단 시 관련 악성코드의 설치상태에 따른 치료가 수행되는 것이 바람직할 것이다.
이상에서 설명한 바와 같이 본 발명에 따른 적응적 악성 진단 및 치료 수행장치는, 단말 시스템이 부팅되는 과정에서 변화하는 시스템상태에 따라서 적응적으로 최적화/지정된 진단범위를 적용하여 악성감염여부를 진단하고, 더 나아가 악성감염이 진단되면 관련된 악성코드의 설치상태에 따라 적응적으로 최적화/지정된 치료절차를 수행함으로써, 최적의 진단 및 치료 효과를 도출할 수 있다.
이하에서는, 도 4를 참조하여 본 발명의 바람직한 실시예에 따른 적응적 악성 진단 및 치료 수행방법을 보다 구체적으로 설명하도록 한다. 여기서, 설명의 편의를 위해 전술한 도 1 내지 도 3에 도시된 구성은 해당 참조번호를 언급하여 설명하겠다.
본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 전술의 도 1과 같이 단말 시스템(100)에 설치되는 적응적 악성 진단 및 치료 수행장치(300)에 의해 수행될 수 있다.
이러한 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 단말 시스템(100)의 부팅이 개시되는 것을 확인한다(S100).
즉 단말 시스템(100)은, 단말 시스템(100)의 사용자에 의해 구동 온(예 : 전원버튼 온)이 선택되면 부팅이 개시되어 단말 시스템(100)에 설치된 운영체제에 따른 부팅절차를 진행하게 되며, 이 경우 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 단말 시스템(100)의 부팅이 개시되는 것을 확인할 수 있다.
이에 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 단말 시스템(100)의 부팅이 개시되면, 개시된 부팅의 부팅진행절차에 따라 변화하는 단말 시스템(100)의 시스템상태를 확인한다(S110).
보다 구체적으로 설명하면, 부팅진행절차에 따라 변화하는 시스템상태는, 상기 부팅이 개시된 후 단말 시스템(100)의 시스템초기화 작업이 개시되기 이전의 제1시스템상태, 상기 시스템초기화 작업이 개시된 후 사용자로그인 절차가 개시되기 이전의 제2시스템상태, 상기 사용자로그인 절차가 개시된 후 상기 부팅이 완료되기 이전의 제3시스템상태 및 상기 부팅이 완료된 제4시스템상태 중 적어도 하나를 포함할 수 있다.
이에 도 3을 참조하여 설명하면, 본 발명에서 언급하는 전술과 같은 부팅진행절차에 따라 변화하는 단말 시스템(100)의 시스템상태는, 부팅이 개시된 후 단말 시스템(100)의 시스템초기화 작업이 개시되기 이전의 상태를 제1시스템상태라 할 수 있다.
그리고, 시스템초기화 작업이 개시된 후 사용자로그인 절차가 개시되기 이전의 상태를 제2시스템상태, 사용자로그인 절차가 개시된 후 부팅이 완료되기 이전의 상태를 제3시스템상태라 할 수 있다.
그리고, 부팅이 완료된 이후의 상태 즉 운용체제 시동화면이 출력된 이 후 사용자에 의해 시스템 기능이 이용되는 상태를 제4시스템상태라 할 수 있다.
따라서, 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 전술과 같이 단말 시스템(100)의 부팅이 개시되어 부팅절차가 진행되면, 이러한 부팅의 부팅진행절차에 따라 단말 시스템(100)의 현재 시스템상태가 전술의 제1시스템상태인지 또는 제2시스템상태인지 또는 제3시스템상태인지 또는 제4시스템상태인지를 지속적으로 확인할 수 있다.
본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 전술과 같이 S110단계에서 현재의 시스템상태를 확인하면, 시스템상태 별로 상이하게 지정되는 악성감염여부 진단범위를 기초로, 전술의 확인한 현재 시스템상태에 해당되는 악성감염여부 진단범위에 따라 악성감염여부의 진단을 수행한다.
보다 구체적으로 설명하면, 시스템상태 별로 상이하게 지정되는 악성감염여부 진단범위는, 다수의 악성감염여부 진단기능 중에서 각 시스템상태 별로 악성감염여부의 진단이 가능한 것으로 상이하게 지정된 악성감염여부 진단기능인 것이 바람직하다.
다시 말해, 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 전술의 각 시스템상태에 대하여 즉 제1시스템상태, 제2시스템상태, 제3시스템상태 및 제4시스템상태 각각에 대하여, 전술의 진단엔진(340)의 다수의 악성감염여부 진단기능 중에서 해당 시스템상태에서 진단이 가능한 적어도 일부의 악성감염여부 진단기능이 기 지정되는 것이다.
예들 들면, 단말 시스템(100)에서 부팅이 개시된 후 단말 시스템(100)의 시스템초기화 작업이 개시되기 이전의 상태인 제1시스템상태에서는, 아직 시스템초기화 작업이 개시되지 않았기 때문에 단말 시스템(100)의 시스템정보로서 레지스트리 정보를 이용/활용해야 하는 악성감염여부 진단기능은 실행할 수 없고, 제1시스템상태에서 확인 가능한 시스템정보 만을 이용/활용하는 악성감염여부 진단기능만 실행할 수 있을 것이다.
따라서, 제1시스템상태에 대하여 지정된 악성감염여부 진단기능은, 다수의 악성감염여부 진단기능 중 단말 시스템(100)에서 부팅이 개시된 후 단말 시스템(100)의 시스템초기화 작업이 개시되기 이전의 상태인 제1시스템상태에서 확인 가능한 시스템정보 만을 이용/활용하는 악성감염여부 진단기능(예 : 제1악성감염여부 진단기능)일 것이다.
물론, 제2시스템상태에 대하여 지정된 악성감염여부 진단기능은, 다수의 악성감염여부 진단기능 중 단말 시스템(100)에서 시스템초기화 작업이 개시된 후 사용자로그인 절차가 개시되기 이전의 상태인 제2시스템상태에서 확인 가능한 시스템정보 만을 이용/활용하는 악성감염여부 진단기능(예 : 제2악성감염여부 진단기능)일 것이고, 제3시스템상태에 대하여 지정된 악성감염여부 진단기능은, 다수의 악성감염여부 진단기능 중 단말 시스템(100)에서 사용자로그인 절차가 개시된 후 부팅이 완료되기 이전의 상태인 제3시스템상태에서 확인 가능한 시스템정보 만을 이용/활용하는 악성감염여부 진단기능(예 : 제3악성감염여부 진단기능)일 것이고, 제4시스템상태에 대하여 지정된 악성감염여부 진단기능은, 다수의 악성감염여부 진단기능 중 단말 시스템(100)에서 부팅이 완료된 이후의 상태 즉 운용체제 시동화면이 출력된 이 후 사용자에 의해 시스템 기능이 이용되는 상태인 제4시스템상태에서 확인 가능한 시스템정보를 이용/활용하는 악성감염여부 진단기능(예 : 제4악성감염여부 진단기능)일 것이다.
이에 보다 구체적으로 설명하면 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 전술과 같이 시스템상태 별로 상이하게 지정되는 악성감염여부 진단기능을 기초로, S110단계에서 확인한 현재 시스템상태에 해당되는 악성감염여부 진단기능을 확인하고(S120), 전술의 진단엔진(340)이 가지는 다수의 악성감염여부 진단기능 중 전술의 확인한 악성감염여부 진단기능 만을 활성화하여(S130), 진단엔진(340)을 실행시킴으로써 전술의 확인한 악성감염여부 진단기능에 따라 상기 악성감염여부의 진단을 수행할 수 있다(S140).
즉, 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, S110단계에서 확인한 현재 시스템상태에 해당되는 악성감염여부 진단기능을 확인한다(S120).
예컨대, 단말 시스템(100)이 부팅이 개시된 직후라면 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 제1시스템상태인 것으로 확인할 것이고, 따라서 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 전술과 같이 시스템상태 별로 상이하게 지정되는 악성감염여부 진단기능을 기초로, 현재 시스템상태 즉 제1시스템상태에 해당되는 악성감염여부 진단기능(예 : 제1악성감염여부 진단기능)을 확인할 수 있다.
이에, 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 전술의 진단엔진(340)이 가지는 다수의 악성감염여부 진단기능 중, 전술의 확인한 악성감염여부 진단기능 만을 활성화시키고 나머지 악성감염여부 진단기능을 비활성화시킨 후(S130), 진단엔진(340)을 실행시킴으로써 전술의 확인한 악성감염여부 진단기능에 따라 악성감염여부의 진단을 수행할 수 있다(S140).
예컨대, 전술과 같이 단말 시스템(100)이 부팅이 개시된 직후라면, 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 진단엔진(340)이 가진 다수의 악성감염여부 진단기능 중, 현재 시스템상태 즉 제1시스템상태에 해당되는 악성감염여부 진단기능(예 : 제1악성감염여부 진단기능)만을 활성화시키고 나머지 악성감염여부 진단기능을 비활성화시킨 후 진단엔진(340)을 실행시킴으로써, 전술의 확인한 제1악성감염여부 진단기능에 따라 악성감염여부의 진단을 수행할 수 있다.
이에 결과적으로, 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 단말 시스템(100)에서 부팅이 개시된 후 부팅진행절차에 따라서 S110단계에서 확인되는 시스템상태가 제1시스템상태, 제2시스템상태, 제3시스템상태 및 제4시스템상태로 변화함에 따라서, 제1시스템상태인 시점에는 제1악성감염여부 진단기능 만으로 악성감염여부의 진단을 수행하고, 제2시스템상태인 시점에는 제2악성감염여부 진단기능 만으로 악성감염여부의 진단을 수행하고, 제3시스템상태인 시점에는 제3악성감염여부 진단기능 만으로 악성감염여부의 진단을 수행하고, 제4시스템상태인 시점에는 제4악성감염여부 진단기능으로 악성감염여부의 진단을 수행함으로써, 단말 시스템(100)의 부팅이 개시되어 부팅이 완료될 때까지 각 시스템상태에 따라서 순차적으로 각 시스템상태에 최적인 악성감염여부 진단기능 즉 악성감염여부 진단범위에 따라 악성감염여부의 진단을 수행하게 된다.
더 나아가 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 전술의 S140단계를 통해 각 시스템상태에서 악성감염여부의 진단을 수행한 결과 악성감염이 확인되면, 상기 확인된 악성감염에 대응되는 악성코드의 설치상태를 기초로 상이한 치료절차를 수행한다.
여기서, 악성코드의 설치상태는, 악성코드가 설치된 후 악성행위를 실행한 활동설치상태, 또는 악성코드가 설치된 후 악성행위를 실행하지 않은 미활동설치상태를 의미할 수 있다.
즉 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 전술의 S140단계에서 각 시스템상태 별로 악성감염여부의 진단을 수행한 결과 악성감염이 확인되면, 확인된 악성감염에 대응되는 악성코드의 설치상태가 전술의 활동설치상태인지 또는 전술의 미활동설치상태인지를 확인한다(S150).
이에 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 악성코드의 설치상태가 활동설치상태이면(S150 Yes) 해당 악성코드 및 악성코드의 악성행위에 의해 발생되는 데이터를 삭제하는 설치삭제 치료절차를 수행한다(S160).
예컨대, 전술과 같이 악성코드로서 악성실행파일이 진단되는 경우를 언급하면, 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 악성실행파일의 설치상태가 활동설치상태이면 해당 악성실행파일 및 악성실행파일의 실행에 따른 악성행위에 의해 발생되는 데이터를 모두 삭제하는 설치삭제 치료절차, 예를 들면 해당 악성실행파일을 대상으로 파일 언인스톨(Uninstall) 절차를 수행함으로써 악성실행파일과 관련된 모든 데이터를 효과적 완전히 삭제하는 치료할 수 있다.
한편, 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 악성코드의 설치상태가 미활동설치상태이면(S150 No), 해당 악성코드를 삭제하는 삭제 치료절차를 수행한다(S170).
예컨대, 전술과 같이 악성코드로서 악성실행파일이 진단되는 경우를 언급하면, 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 악성실행파일의 설치상태가 미활동설치상태이면 해당 악성실행파일을 단순히 삭제하는 삭제 치료절차를 수행함으로써, 간단하게 치료할 수 있다.
이에, 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 단말 시스템(100)의 부팅이 개시된 후 부팅이 완료되는 제4시스템상태에서의 진단 및 치료까지 종료되기 이전까지는, 전술의 S110단계 내지 S170단계(또는 S160단계)를 반복 수행하고, 제4시스템상태에서의 진단 및 치료까지 종료되면(S180 Yes) 수행을 마칠 수 있을 것이다.
이상에서 설명한 바와 같이 본 발명에 따른 적응적 악성 진단 및 치료 수행방법은, 단말 시스템이 부팅되는 과정에서 변화하는 시스템상태에 따라서 적응적으로 최적화/지정된 진단범위를 적용하여 악성감염여부를 진단하고, 더 나아가 악성감염이 진단되면 관련된 악성코드의 설치상태에 따라 적응적으로 최적화/지정된 치료절차를 수행함으로써, 최적의 진단 및 치료 효과를 도출할 수 있다.
본 발명의 일실시예에 따른 적응적 악성 진단 및 치료 수행방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
100 : 단말 시스템
200 : 악성코드대응서버
300 : 적응적 악성 진단 및 치료 수행장치

Claims (13)

  1. 단말 시스템의 부팅이 개시되는 것을 확인하는 부팅개시확인단계;
    상기 단말 시스템의 부팅이 개시되면, 상기 개시된 부팅의 부팅진행절차에 따라 변화하는 상기 단말 시스템의 시스템상태를 확인하는 시스템상태확인단계; 및
    시스템상태 별로 상이하게 지정되는 악성감염여부 진단범위를 기초로, 상기 확인한 시스템상태에 해당되는 악성감염여부 진단범위에 따라 악성감염여부의 진단을 수행하는 진단수행단계를 포함하는 것을 특징으로 하는 적응적 악성 진단 및 치료 수행방법.
  2. 제 1 항에 있어서,
    상기 부팅진행절차에 따라 변화하는 시스템상태는,
    상기 부팅이 개시된 후 상기 단말 시스템의 시스템초기화 작업이 개시되기 이전의 제1시스템상태, 상기 시스템초기화 작업이 개시된 후 사용자로그인 절차가 개시되기 이전의 제2시스템상태, 상기 사용자로그인 절차가 개시된 후 상기 부팅이 완료되기 이전의 제3시스템상태 및 상기 부팅이 완료된 제4시스템상태 중 적어도 하나를 포함하는 것을 특징으로 하는 적응적 악성 진단 및 치료 수행방법.
  3. 제 2 항에 있어서,
    상기 시스템상태 별로 상이하게 지정되는 악성감염여부 진단범위는,
    다수의 악성감염여부 진단기능 중 각 시스템상태에서 악성감염여부의 진단이 가능한 것으로 상이하게 지정된 악성감염여부 진단기능인 것을 특징으로 하는 적응적 악성 진단 및 치료 수행방법.
  4. 제 3 항에 있어서,
    상기 진단수행단계는,
    상기 시스템상태 별로 상이하게 지정되는 악성감염여부 진단기능을 기초로 상기 확인한 시스템상태에 해당되는 악성감염여부 진단기능을 확인하고,
    상기 다수의 악성감염여부 진단기능을 수행하는 진단엔진을 상기 다수의 악성감염여부 진단기능 중 상기 확인한 악성감염여부 진단기능 만을 활성화하여 실행시켜, 상기 확인한 악성감염여부 진단기능에 따라 상기 악성감염여부의 진단을 수행하는 것을 특징으로 하는 적응적 악성 진단 및 치료 수행방법.
  5. 제 1 항에 있어서,
    상기 악성감염여부의 진단을 수행한 결과 악성감염이 확인되면, 상기 확인된 악성감염에 대응되는 악성코드의 설치상태를 기초로 상이한 치료절차를 수행하는 악성치료단계를 더 포함하는 것을 특징으로 하는 적응적 악성 진단 및 치료 수행방법.
  6. 제 5 항에 있어서,
    상기 악성코드의 설치상태는, 상기 악성코드가 설치된 후 악성행위를 실행한 활동설치상태 및 상기 악성코드가 설치된 후 악성행위를 실행하지 않은 미활동설치상태를 포함하며,
    상기 악성치료단계는,
    상기 확인된 악성감염에 대응되는 악성코드의 설치상태가 상기 활동설치상태이면 상기 악성코드 및 상기 악성코드의 악성행위에 의해 발생되는 데이터를 삭제하는 설치삭제 치료절차를 수행하며,
    상기 확인된 악성감염에 대응되는 악성코드의 설치상태가 상기 미활동설치상태이면 상기 악성코드를 삭제하는 삭제 치료절차를 수행하는 것을 특징으로 하는 적응적 악성 진단 및 치료 수행방법.
  7. 단말 시스템의 부팅이 개시되면, 상기 개시된 부팅의 부팅진행절차에 따라 변화하는 상기 단말 시스템의 시스템상태를 확인하는 시스템상태확인부; 및
    시스템상태 별로 상이하게 지정되는 악성감염여부 진단범위를 기초로, 상기 확인한 시스템상태에 해당되는 악성감염여부 진단범위에 따라 악성감염여부의 진단을 수행하는 진단수행부를 포함하는 것을 특징으로 하는 적응적 악성 진단 및 치료 수행장치.
  8. 제 7 항에 있어서,
    상기 부팅진행절차에 따라 변화하는 시스템상태는,
    상기 부팅이 개시된 후 상기 단말 시스템의 시스템초기화 작업이 개시되기 이전의 제1시스템상태, 상기 시스템초기화 작업이 개시된 후 사용자로그인 절차가 개시되기 이전의 제2시스템상태, 상기 사용자로그인 절차가 개시된 후 상기 부팅이 완료되기 이전의 제3시스템상태 및 상기 부팅이 완료된 제4시스템상태 중 적어도 하나를 포함하는 것을 특징으로 하는 적응적 악성 진단 및 치료 수행장치.
  9. 제 8 항에 있어서,
    상기 시스템상태 별로 상이하게 지정되는 악성감염여부 진단범위는,
    다수의 악성감염여부 진단기능 중 각 시스템상태에서 악성감염여부의 진단이 가능한 것으로 상이하게 지정된 악성감염여부 진단기능인 것을 특징으로 하는 적응적 악성 진단 및 치료 수행장치.
  10. 제 9 항에 있어서,
    상기 진단수행부는,
    상기 시스템상태 별로 상이하게 지정되는 악성감염여부 진단기능을 기초로 상기 확인한 시스템상태에 해당되는 악성감염여부 진단기능을 확인하고,
    상기 다수의 악성감염여부 진단기능을 수행하는 진단엔진을 상기 다수의 악성감염여부 진단기능 중 상기 확인한 악성감염여부 진단기능 만을 활성화하여 실행시켜, 상기 확인한 악성감염여부 진단기능에 따라 상기 악성감염여부의 진단을 수행하는 것을 특징으로 하는 적응적 악성 진단 및 치료 수행장치.
  11. 제 7 항 내지 제 10 항 중 한 항에 있어서,
    상기 악성감염여부의 진단을 수행한 결과 악성감염이 확인되면, 상기 확인된 악성감염에 대응되는 악성코드의 설치상태를 기초로 상이한 치료절차를 수행하는 악성치료부를 더 포함하는 것을 특징으로 하는 적응적 악성 진단 및 치료 수행장치.
  12. 제 11 항에 있어서,
    상기 악성코드의 설치상태는, 상기 악성코드가 설치된 후 악성행위를 실행한 활동설치상태 및 상기 악성코드가 설치된 후 악성행위를 실행하지 않은 미활동설치상태를 포함하며,
    상기 악성치료부는,
    상기 확인된 악성감염에 대응되는 악성코드의 설치상태가 상기 활동설치상태이면 상기 악성코드 및 상기 악성코드의 악성행위에 의해 발생되는 데이터를 삭제하는 설치삭제 치료절차를 수행하며,
    상기 확인된 악성감염에 대응되는 악성코드의 설치상태가 상기 미활동설치상태이면 상기 악성코드를 삭제하는 삭제 치료절차를 수행하는 것을 특징으로 하는 적응적 악성 진단 및 치료 수행장치.
  13. 제 1 항 내지 제 6 항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.
KR1020120155568A 2012-12-27 2012-12-27 적응적 악성 진단 및 치료 수행장치 및 적응적 악성 진단 및 치료 수행방법 KR101412202B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120155568A KR101412202B1 (ko) 2012-12-27 2012-12-27 적응적 악성 진단 및 치료 수행장치 및 적응적 악성 진단 및 치료 수행방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120155568A KR101412202B1 (ko) 2012-12-27 2012-12-27 적응적 악성 진단 및 치료 수행장치 및 적응적 악성 진단 및 치료 수행방법

Publications (1)

Publication Number Publication Date
KR101412202B1 true KR101412202B1 (ko) 2014-06-27

Family

ID=51134525

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120155568A KR101412202B1 (ko) 2012-12-27 2012-12-27 적응적 악성 진단 및 치료 수행장치 및 적응적 악성 진단 및 치료 수행방법

Country Status (1)

Country Link
KR (1) KR101412202B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100648604B1 (ko) 2006-03-22 2006-11-23 주식회사 비젯 악성코드 및 바이러스 치료 시스템 및 치료 방법
KR20070048960A (ko) * 2005-11-07 2007-05-10 삼성전자주식회사 코드 이미지를 안전하게 갱신하고 부팅하는 방법 및 장치
KR20090023644A (ko) * 2006-06-30 2009-03-05 마이크로소프트 코포레이션 멀웨어를 식별하는 컴퓨터 구현 방법 및 컴퓨터 판독가능 매체

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070048960A (ko) * 2005-11-07 2007-05-10 삼성전자주식회사 코드 이미지를 안전하게 갱신하고 부팅하는 방법 및 장치
KR100648604B1 (ko) 2006-03-22 2006-11-23 주식회사 비젯 악성코드 및 바이러스 치료 시스템 및 치료 방법
KR20090023644A (ko) * 2006-06-30 2009-03-05 마이크로소프트 코포레이션 멀웨어를 식별하는 컴퓨터 구현 방법 및 컴퓨터 판독가능 매체

Similar Documents

Publication Publication Date Title
US8601581B2 (en) Malware automated removal system and method
JP5572573B2 (ja) 携帯端末、プログラム、および通信システム
EP3113059B1 (en) System and method of preventing installation and execution of undesirable programs
JP2010522400A (ja) 自己管理型処理装置
CN113221102A (zh) 用于自修复的代理存在
US8918879B1 (en) Operating system bootstrap failure detection
JP5168112B2 (ja) パッチ適用装置、パッチ適用方法およびパッチ適用プログラム
EP3029564B1 (en) System and method for providing access to original routines of boot drivers
US20220181012A1 (en) Secure software updates and architectures
CA2967098A1 (en) Updating of firmware
US9448888B2 (en) Preventing a rollback attack in a computing system that includes a primary memory bank and a backup memory bank
KR101974989B1 (ko) 위험 파일에 대응하는 행위 정보를 결정하는 방법 및 장치
WO2014044187A2 (zh) 一种检测和清除计算机病毒的方法和装置
CN113485755B (zh) 设备驱动程序验证方法、装置、设备及存储介质
KR101412202B1 (ko) 적응적 악성 진단 및 치료 수행장치 및 적응적 악성 진단 및 치료 수행방법
TW201305842A (zh) 在儲存裝置上即時監控檔案系統以維護安全的方法與裝置
JP2019046266A (ja) 情報処理装置、情報処理方法およびプログラム
RU2583711C2 (ru) Способ отложенного устранения вредоносного кода
US10509646B2 (en) Software update rollbacks using file system volume snapshots
CN110750805B (zh) 应用程序访问控制方法、装置、电子设备及可读存储介质
KR101375656B1 (ko) 프로그램 보호 장치 및 프로그램 보호 방법
TWI499930B (zh) 一種檔案掃描裝置及其方法
KR20090054359A (ko) 악성코드 자동실행 차단 장치 및 방법
WO2008005536A2 (en) Malware automated removal system and method
KR101412203B1 (ko) 악성코드 관련 긴급검사수행장치 및 악성코드 관련 긴급검사수행장치의 동작 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170619

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180619

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190619

Year of fee payment: 6