KR102008953B1 - 메모리 오염 감시 장치 및 방법 - Google Patents

메모리 오염 감시 장치 및 방법 Download PDF

Info

Publication number
KR102008953B1
KR102008953B1 KR1020170172986A KR20170172986A KR102008953B1 KR 102008953 B1 KR102008953 B1 KR 102008953B1 KR 1020170172986 A KR1020170172986 A KR 1020170172986A KR 20170172986 A KR20170172986 A KR 20170172986A KR 102008953 B1 KR102008953 B1 KR 102008953B1
Authority
KR
South Korea
Prior art keywords
memory
contamination
monitoring
pollution
intermediate state
Prior art date
Application number
KR1020170172986A
Other languages
English (en)
Other versions
KR20190071994A (ko
Inventor
이정희
이상록
김종규
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170172986A priority Critical patent/KR102008953B1/ko
Publication of KR20190071994A publication Critical patent/KR20190071994A/ko
Application granted granted Critical
Publication of KR102008953B1 publication Critical patent/KR102008953B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3037Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a memory, e.g. virtual memory, cache
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)
  • Techniques For Improving Reliability Of Storages (AREA)

Abstract

메모리 오염 감시 장치 및 방법이 개시된다. 본 발명에 따른 메모리 오염 감시 장치에 의해 수행되는 메모리 오염 감시 방법은, 하이퍼바이저를 이용하여, 감시 대상 코드의 메모리 쓰기 이벤트를 감시하는 단계, 상기 메모리 쓰기 이벤트 발생 시, 메모리 오염 지도를 분석하여 메모리 오염을 감시하는 단계, 그리고 상기 메모리 오염의 감시 결과 메모리 오염 정도가 임계값보다 큰 경우, 메모리 변경 정보를 메모리 중간 상태로 저장하는 단계를 포함한다.

Description

메모리 오염 감시 장치 및 방법{APPARATUS AND METHOD FOR MONITORING MEMORY CONTAMINATION}
본 발명은 메모리 오염 감시 기술에 관한 것으로, 특히 하이퍼바이저를 이용하여 메모리 오염 정도에 따른 중간 상태를 저장하고, 저장된 중간 상태를 이용하여 메모리를 복원하는 기술에 관한 것이다.
악성코드 분석 시, 가상 환경을 이용한 환경 복원 방법이 널리 사용되고 있다. 가상 환경에서 악성코드를 실행할 경우, 실제 사용자 환경과의 분리가 용이하고, 이전 악성코드를 실행한 후 다음 악성코드를 분석하기 위해 원래의 분석 환경으로 복원하기 쉽다.
악성코드 분석 시스템에서 사용되는 가상 환경으로는 VMWare Server/ Workstation/Fusion, Virtual-PC, QEMU, KVM 등이 있다. 이러한 가상 환경들은 Type-2 하이퍼바이저 형태로 운영체제 위에서 실행되므로, 악성코드가 보다 쉽게 가상환경을 인지할 수 있다.
Xen, VMWare ESX Server와 같은 Type-1 하이퍼바이저는 하드웨어 위에 하이퍼바이저가 운영되고, 그 위에 분석하고자 하는 대상 OS가 실행된다. 이러한 이유로 Type-1 하이퍼바이저는 Type-2 하이퍼바이저보다 실 머신 환경에 가까워 널리 사용되고 있는 다른 가상환경에 비해 악성코드가 가상환경을 인지하기 어렵고, 성능도 Bare-metal에 가장 가깝다.
이러한 가상 환경은 대부분 PC를 대상으로 발전하였고, Type-1 하이퍼바이저 Xen의 경우 ARM 아키텍처를 지원하고 있어 모바일 환경에서도 사용이 가능하다. 또한, 삼성 스마트폰의 Knox 보안 플랫폼은 하이퍼바이저단에서 실시간으로 보안 SW를 동작시키고 있다.
실행 환경 외부에서 악성코드의 행위를 추출하고, 분석 환경을 복원하는 방법으로 USB 외부 장치를 이용한 실머신 분석 환경이 있다. 이 종래의 기술은 USB 외부 장치를 디스크로 인식하여, 실머신과 USB 외부 장치 간의 디스크 IO를 실시간으로 감시하여 중간 행위를 추출할 수 있다. 또한, 파일 형태로 외부 장치에 저장되어 있는 이미지를 이용하여 부팅 시 클린한 이미지로 복원할 수 있다.
그러나, 커널 드라이브와 같은 별도의 SW를 설치하지 않는 한 실머신의 메모리 중간 행위는 추출할 수 없으며, 메모리 상태를 저장할 때 악성코드가 실행되는 분석 대상 환경에 추가 기능 설치가 필요하다는 한계가 있다.
따라서, 외부 감시(Out-of-Box)가 가능하고, 악성코드가 실행하는 메모리 중간 행위에 대한 관찰이 가능하며, 메모리 변경 정보를 이용하여 효과적으로 저장 및 복구할 수 있는 기술의 개발이 필요하다.
한국 등록 특허 제10-1787470호, 2017년 11월 16일 공고(명칭: USB로 연결된 외부 장치 기반의 악성코드 분석 장치 및 이를 이용한 방법)
본 발명의 목적은 Type-1 하이퍼바이저에서 메모리 쓰기를 감시하여, 메모리 오염 정도를 식별하는 것이다.
또한, 본 발명의 목적은 메모리 복원 시 변경된 메모리 셀만 복구하여, 환경 복원 속도 및 중간 행위 추출 속도를 높이는 것이다.
또한, 본 발명의 목적은 악성코드 분석 환경에서 분석하고자 하는 시점으로 메모리를 복원할 때, 변경된 부분만 복구하여 복원 속도를 향상시키는 것이다.
또한, 본 발명의 목적은 악성코드의 중간 행위가 발생한 당시 메모리 변경 상태를 저장하여, 악성코드 행위의 정확한 분석이 가능하도록 하고, 실시간 분석 및 사후 분석에 활용할 수 있도록 하는 것이다.
또한, 본 발명의 목적은 가중치를 둔 메모리 오염 정도가 임계치를 초과하는 경우 알람을 발생하여, 사용자에게 알리거나 자동으로 메모리 중간 상태를 저장하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 메모리 오염 감시 장치에 의해 수행되는 메모리 오염 감시 방법은, 하이퍼바이저를 이용하여, 감시 대상 코드의 메모리 쓰기 이벤트를 감시하는 단계, 상기 메모리 쓰기 이벤트 발생 시, 메모리 오염 지도를 분석하여 메모리 오염을 감시하는 단계, 그리고 상기 메모리 오염의 감시 결과 메모리 오염 정도가 임계값보다 큰 경우, 메모리 변경 정보를 메모리 중간 상태로 저장하는 단계를 포함한다.
이때, 상기 메모리 쓰기 이벤트를 감시하는 단계는, 네이티브(Native) 방식의 상기 하이퍼바이저를 이용하여, 게스트 운영체제에서 동작하는 상기 감시 대상 코드의 상기 메모리 쓰기 이벤트를 감시할 수 있다.
이때, 메모리 복원 요청 수신 시, 상기 메모리 복원 요청에 상응하는 복원 시점의 메모리 셀을 복사하여 분석 환경을 복원하는 단계를 더 포함할 수 있다.
이때, 상기 분석 환경을 복원하는 단계는, 상기 복원 시점의 변경된 상기 메모리 셀을 복사하여, 활성 메모리를 복원할 수 있다.
이때, 상기 분석 환경을 복원하는 단계는, 상기 메모리 중간 상태로 저장된 상기 메모리 변경 정보 및 베이스 RAM 데이터 중 적어도 어느 하나를 기반으로 상기 활성 메모리를 복원할 수 있다.
이때, 상기 메모리 오염 지도는, 수정 횟수 및 위험도 중 적어도 어느 하나를 기반으로 연산된 메모리 오염 정보를 포함할 수 있다.
이때, 상기 메모리 오염 정도가 임계값보다 큰 경우, 알람을 발생하는 단계를 더 포함할 수 있다.
이때, 상기 메모리 오염 지도의 셀 크기, 상기 알람의 활성화 여부, 상기 임계값, 중간 상태 저장의 활성화 여부 및 상기 중간 상태 저장의 기록 시간 중 적어도 어느 하나를 포함하는 설정값을 입력받는 단계를 더 포함할 수 있다.
이때, 상기 메모리 쓰기 이벤트 발생 시, 셀 번호, 메모리 주소, 값, 프로세스 식별자, 권한 정보 및 알람 번호 중 적어도 어느 하나를 쓰기 정보 기록 테이블에 저장하는 단계를 더 포함할 수 있다.
또한, 본 발명의 일실시예에 따른 메모리 오염 감시 장치는, 하이퍼바이저를 이용하여, 감시 대상 코드의 메모리 쓰기 이벤트를 감시하는 쓰기 이벤트 감시부, 상기 메모리 쓰기 이벤트 발생 시, 메모리 오염 지도를 분석하여 메모리 오염을 감시하는 메모리 오염 감시부, 그리고 상기 메모리 오염의 감시 결과 메모리 오염 정도가 임계값보다 큰 경우, 메모리 변경 정보를 메모리 중간 상태로 저장하는 중간 상태 저장부를 포함한다.
이때, 상기 쓰기 이벤트 감시부는, 네이티브(Native) 방식의 상기 하이퍼바이저를 이용하여, 게스트 운영체제에서 동작하는 상기 감시 대상 코드의 상기 메모리 쓰기 이벤트를 감시할 수 있다.
이때, 메모리 복원 요청 수신 시, 상기 메모리 복원 요청에 상응하는 복원 시점의 메모리 셀을 복사하여 분석 환경을 복원하는 메모리 복원부를 더 포함할 수 있다.
이때, 상기 메모리 복원부는, 상기 복원 시점의 변경된 상기 메모리 셀을 복사하여, 활성 메모리를 복원할 수 있다.
이때, 상기 메모리 복원부는, 상기 메모리 중간 상태로 저장된 상기 메모리 변경 정보 및 베이스 RAM 데이터 중 적어도 어느 하나를 기반으로 상기 활성 메모리를 복원할 수 있다.
이때, 상기 메모리 오염 지도는, 수정 횟수 및 위험도 중 적어도 어느 하나를 기반으로 연산된 메모리 오염 정보를 포함할 수 있다.
이때, 상기 메모리 오염 정도가 임계값보다 큰 경우, 알람을 발생하는 알람 발생부를 더 포함할 수 있다.
이때, 상기 메모리 오염 지도의 셀 크기, 상기 알람의 활성화 여부, 상기 임계값, 중간 상태 저장의 활성화 여부 및 상기 중간 상태 저장의 기록 시간 중 적어도 어느 하나를 포함하는 설정값을 입력받는 사용자 인터페이스부를 더 포함할 수 있다.
이때, 상기 메모리 쓰기 이벤트 발생 시, 셀 번호, 메모리 주소, 값, 프로세스 식별자, 권한 정보 및 알람 번호 중 적어도 어느 하나를 쓰기 정보 기록 테이블에 저장하는 쓰기 정보 기록부를 더 포함할 수 있다.
또한, 본 발명의 또 다른 실시예에 따른 메모리 오염 감시 장치에 의해 수행되는 메모리 오염 감시 방법은, 악성코드의 메모리 쓰기 이벤트 발생 시, 메모리 오염 지도를 분석하여 메모리 오염을 감시하는 단계, 상기 메모리 오염의 감시 결과 메모리 오염 정도가 임계값보다 큰 경우, 메모리 변경 정보를 메모리 중간 상태로 저장하는 단계, 그리고 메모리 복원 요청을 수신 시, 상기 메모리 변경 정보 및 베이스 RAM 데이터 중 적어도 어느 하나를 기반으로 악성코드 분석 환경의 활성 메모리를 복원하는 단계를 포함한다.
이때, 상기 메모리 오염 지도는,
수정 횟수 및 위험도 중 적어도 어느 하나를 기반으로 연산된 메모리 오염 정보를 포함할 수 있다.
본 발명에 따르면, Type-1 하이퍼바이저에서 메모리 쓰기를 감시하여, 메모리 오염 정도를 식별할 수 있다.
또한 본 발명에 따르면, 메모리 복원 시 변경된 메모리 셀만 복구하여, 환경 복원 속도 및 중간 행위 추출 속도를 높일 수 있다.
또한 본 발명에 따르면, 악성코드 분석 환경에서 분석하고자 하는 시점으로 메모리를 복원할 때, 변경된 부분만 복구하여 복원 속도를 향상시킬 수 있다.
또한 본 발명에 따르면, 악성코드의 중간 행위가 발생한 당시 메모리 변경 상태를 저장하여, 악성코드 행위의 정확한 분석이 가능하도록 하고, 실시간 분석 및 사후 분석에 활용할 수 있다.
또한 본 발명에 따르면, 가중치를 둔 메모리 오염 정도가 임계치를 초과하는 경우 알람을 발생하여, 사용자에게 알리거나 자동으로 메모리 중간 상태를 저장할 수 있다.
도 1은 본 발명의 일실시예에 따른 메모리 오염 감시 장치가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 메모리 오염 감시 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 메모리 오염 감시 방법을 설명하기 위한 순서도이다.
도 4는 본 발명의 또 다른 실시예에 따른 제어부의 기능을 설명하기 위한 도면이다.
도 5는 본 발명의 일실시예에 따른 설정값을 나타낸 예시도이다.
도 6은 본 발명의 또 다른 실시예에 따른 기록부의 기능을 설명하기 위한 도면이다.
도 7은 본 발명의 또 다른 실시예에 따른 복원부의 기능을 설명하기 위한 도면이다.
도 8은 본 발명의 또 다른 실시예에 따른 알람부의 기능을 설명하기 위한 도면이다.
도 9는 본 발명의 일실시예에 따른 메모리 오염 지도를 나타낸 예시도이다.
도 10은 본 발명의 일실시예에 따른 쓰기 정보 기록 테이블을 나타낸 예시도이다.
도 11은 본 발명의 일실시예에 따른 메모리 중간 저장 테이블을 나타낸 예시도이다.
도 12는 본 발명의 또 다른 실시예에 따른 메모리 오염 감시 장치 및 데이터 베이스를 나타낸 도면이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 일실시예에 따른 메모리 오염 감시 장치가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 1에 도시한 바와 같이, 메모리 오염 감시 시스템에서 게스트 운영체제(10)는 감시 대상 코드를 실행하고, 하이퍼바이저(100)는 감시 대상 코드가 발생시킨 메모리 쓰기 동작을 감시한다. 여기서, 감시 대상 코드는 악성 코드를 의미하며, 하드웨어(300)의 휘발성 메모리(350)에 메모리 쓰기 동작을 수행할 수 있다.
그리고 게스트 컨트롤러(20) 상에서 동작하는 본 발명의 일실시예에 따른 메모리 오염 감시 장치(200)는 하이퍼바이저(100)를 이용하여, 감시 대상 코드(악성 코드)가 인지하지 못한 상태에서 메모리 쓰기 이벤트를 수집한다.
이때, 하이퍼바이저(100)는 물리 컴퓨터의 하드웨어(300) 상에서 하이퍼바이저를 직접 동작시키는 네이티브(Native) 또는 베어메탈(bare-metal) 방식의 Type-1 하이퍼바이저를 의미할 수 있다.
메모리 오염 감시 장치(200)는 메모리 변경을 감시하고, 메모리 쓰기 이벤트 발생 시 메모리 쓰기 정보를 저장하며, 메모리 오염 정도를 메모리 오염 지도에 표시할 수 있다. 또한, 메모리 오염 감시 장치(200)는 메모리 오염 정도에 따라 메모리 중간 상태를 저장할 수 있으며, 변경된 메모리 셀을 이용하여 활성 메모리(RAM)을 복원할 수 있다.
악성코드 중에는 파일로 기록되지 않고 메모리에만 탑재된 후 실행되는 경우가 있다. 또한, 정적 분석으로는 악성 행위의 검출이 어려워 동적으로 실행한 후 메모리에 탑재하여 발현되는 악성 코드도 있다. 따라서, 메모리 동작 감시는 악성 코드 분석 시 매우 중요한 부분이다.
Volatility, kmem 등 대표적인 메모리 분석 기법들에서는 주로 메모리 풀 덤프를 사용하여 메모리를 분석한다. 메모리 풀 덤프 방법은 분석을 자세하고 정확하게 할 수 있으나, 전체 덤프를 실행하는데 시간이 많이 소요되며, 이로 인하여 실시간 분석에 빈번하게 덤프를 실행하기에는 오버헤드가 크다.
이러한 문제점을 해결하기 위하여, 분석에 사용할 클린한 상태에서 베이스가 되는 메모리 데이터를 저장한 후, 악성코드 실행 후 중간 행위를 기록하기 위해 메모리 변경 데이터를 저장하여, 추후 복원 시 변경 데이터만 복구하는 방법을 사용하여 복원 시간을 단축할 수 있다.
또한 악성코드를 실행하고 분석하는 환경에 메모리 풀 덤프 기능을 설치하거나 커널 드라이버 등을 사용해야 하므로, 분석 대상 환경에 영향을 주거나 악성코드의 작업과 혼재되어 분석을 어렵게 할 수 있다.
따라서 악성코드를 실행하는 환경과 분리된 분석 방법을 제공하는 것이 유리하다. 이에 본 발명의 일실시예에 따른 메모리 오염 감시 장치(200)는 실머신 환경에 가까운 Type-1 하이퍼바이저를 이용하여 악성코드 실행 환경을 분리하는 방법을 사용한다.
ARM에서 정의한 Exception Level 2에 탑재하는 하이퍼바이저 이외에도 ARM의 Trustzone과 같은 악성코드가 실행되는 일반(Normal) 환경과 분리된 보안(Secure) 환경에서 메모리 쓰기 이벤트를 발생시키는 기능을 추가하면 동일한 구조를 사용할 수 있다. 또한 하이퍼바이저는 윈도우, 리눅스 등 다양한 OS에서 사용이 가능하므로 PC 또는 모바일 기기에 널리 활용 가능하다.
본 발명의 일실시예에 따른 메모리 오염 감시 장치(200)는 수정 횟수, 위험도 등을 파라미터로 하여 가중치를 반영한 메모리 오염 정도를 계산하고, 메모리 오염 정도에 따라 메모리 중간 상태 저장 여부를 결정한다. 저장된 중간 상태는 추후 특정 시점으로 복원하거나, 그 특정 시점을 분석하고자 할 때 활용할 수 있다.
이하에서는 도 2를 통하여 본 발명의 일실시예에 따른 메모리 오염 감시 장치의 구성에 대하여 더욱 상세하게 설명한다.
도 2는 본 발명의 일실시예에 따른 메모리 오염 감시 장치의 구성을 나타낸 블록도이다.
도 2에 도시한 바와 같이, 메모리 오염 감시 장치(200)는 쓰기 이벤트 감시부(210), 메모리 오염 감시부(220), 알람 발생부(230), 중간 상태 저장부(240), 메모리 복원부(250), 사용자 인터페이스부(260) 및 쓰기 정보 기록부(270)를 포함한다.
먼저, 쓰기 이벤트 감시부(210)는 하이퍼바이저를 이용하여 감시 대상 코드의 메모리 쓰기 이벤트를 감시한다. 이때, 쓰기 이벤트 감시부(210)는 네이티브(Native) 방식의 하이퍼바이저, 베어메탈(bare-metal) 방식의 하이퍼바이저와 같은Type-1 하이퍼바이저를 이용하여 메모리 쓰기 이벤트를 감시할 수 있다.
다음으로 메모리 오염 감시부(220)는 메모리 쓰기 이벤트 발생 시, 메모리 오염 지도를 분석하여 메모리 오염을 감시한다. 여기서, 메모리 오염 지도는 수정 횟수 및 위험도 중 적어도 어느 하나를 기반으로 연산된 메모리 오염 정보를 포함할 수 있다.
그리고 알람 발생부(230)는 메모리 오염 정도가 임계값보다 큰 경우, 알람을 발생한다.
중간 상태 저장부(240)는 메모리 오염의 감시 결과, 메모리 오염 정도가 임계값 보다 큰 경우 메모리 변경 정보를 메모리 중간 상태로 저장한다.
메모리 복원부(250)는 메모리 복원 요청 수신 시, 메모리 복원 요청에 상응하는 복원 시점의 메모리 셀을 복사하여 분석 환경을 복원한다. 이때, 메모리 복원 요청은 사용자로부터 입력받는 것이거나, 알람 발생 시 자동으로 생성되는 것일 수 있다.
또한, 메모리 복원부(250)는 복원 시점의 변경된 메모리 셀만 복사하여, 활성 메모리를 복원하며, 특히 메모리 중간 상태로 저장된 메모리 변경 정보 및 베이스 RAM 데이터 중 적어도 어느 하나를 기반으로 활성 메모리를 복원할 수 있다.
다음으로 사용자 인터페이스부(260)는 메모리 오염 지도의 셀 크기, 알람의 활성화여부, 임계값, 중간 상태 저장의 활성화 여부 및 중간 상태 저장의 기록 시간 중 적어도 어느 하나를 포함하는 설정값을 입력받을 수 있다.
마지막으로, 쓰기 정보 기록부(270)는 메모리 쓰기 이벤트 발생 시, 셀 번호, 메모리 주소, 값, 프로세스 식별자, 권한 정보 및 알람 번호 중 적어도 어느 하나를 쓰기 정보 기록 테이블에 저장할 수 있다.
이하에서는 도 3을 통하여 본 발명의 일실시예에 따른 메모리 오염 감시 장치에 의해 수행되는 메모리 오염 감시 방법에 대하여 더욱 상세하게 설명한다.
도 3은 본 발명의 일실시예에 따른 메모리 오염 감시 방법을 설명하기 위한 순서도이다.
먼저, 메모리 오염 감시 장치(200)는 메모리 쓰기 이벤트를 감시한다(S310).
메모리 오염 감시 장치(200)는 악성코드가 분석되는 환경에서, Type-1 하이퍼바이저를 이용하여 메모리의 변경을 감시한다. 메모리 오염 감시 장치(200)는 감시 대상 코드(악성 코드)가 실행되는 운영체제가 아닌 Type-1 하이퍼바이저를 이용하여 외부에서 메모리 변경을 감시하므로, 악성코드가 실행되는 환경에 영향을 주지 않으며, 수집하는 정보가 악성 행위와 혼재되지 않는다.
그리고 메모리 오염 감시 장치(200)는 메모리 쓰기 이벤트가 발생하면, 메모리 오염 지도를 분석한다(S320).
메모리 오염 감시 장치(200)는 메모리 오염 지도를 분석하여, 메모리 오염을 감시할 수 있다. 여기서, 메모리 오염 지도는 수정 횟수 및 위험도 중 적어도 어느 하나를 기반으로 연산된 메모리 오염 정도를 포함할 수 있으며, 수정 횟수 및 위험도 중 적어도 어느 하나에 가중치가 설정되어 메모리 오염 정도가 연산될 수 있다.
메모리 오염 지도를 분석한 결과, 메모리 오염 정도가 임계값보다 큰 경우(S330, Yes), 메모리 오염 감시 장치(200)는 알람을 발생하고, 메모리 중간 상태를 저장한다(S340).
메모리 오염 감시 장치(200)는 메모리 오염 정도와 기 설정된 임계값을 비교한다. 여기서 임계값은 사용자 인터페이스를 통해 사용자로부터 설정받은 것일 수 있다.
그리고 메모리 오염 감시 장치(200)는 메모리 오염 정도가 임계값보다 큰 것으로 판단된 경우, 알람을 발생하여 사용자에게 알릴 수 있다. 또한, 메모리 오염 감시 장치(200)는 메모리 오염 정도가 임계값보다 큰 것으로 판단된 경우 메모리 변경 정보를 저장할 수 있다.
본 발명의 일실시예에 따른 메모리 오염 감시 장치(200)는 분석 대상환경의 메모리 오염 정도를 판별하고, 사용자의 입력 없이 자동으로 메모리 중간 상태를 저장하여, 특정 시점의 메모리 상태로 복구하거나 분석에 사용할 수 있다.
설명의 편의상, 메모리 오염 감시 장치(200)가 메모리 오염 정도와 임계값의 비교 결과를 기반으로 메모리 변경 정보의 저장을 수행할지 여부를 결정하는 것으로 설명하였으나 이에 한정하지 않고, 메모리 오염 감시 장치(200)는 설정값에 쓰기 정보 기록 설정이 활성화 되어 있는 경우, 메모리 쓰기 이벤트 발생 시 중간 상태를 저장할 수 있다.
반면, 메모리 오염 정도가 임계값 이하인 경우(S330 No), 메모리 오염 감시 장치(200)는 메모리 쓰기 이벤트를 감시하는 S310 단계를 반복하여 수행할 수 있다.
S340 단계에서 메모리 중간 상태를 저장한 메모리 오염 감시 장치(200)가 메모리 복원 요청을 수신한 경우(S350 Yes), 메모리 오염 감시 장치(200)는 분석 환경을 복원한다(S360).
메모리 오염 감시 장치(200)는 메모리 복원 요청을 수신한 경우, 복원 시점의 변경된 메모리 셀을 복사하여 활성 메모리를 복원할 수 있다. 이때, 메모리 오염 감시 장치(200)는 메모리 중간 상태로 저장된 메모리 변경 정보 및 베이스 RAM 데이터 중 적어도 어느 하나를 기반으로 활성 메모리를 복원할 수 있다.
종래 기술에 따르면, 악성코드로부터 오염되지 않은 클린한 상태의 환경으로 복원할 때, 전체 메모리를 복사하므로 많은 시간이 소모되었다. 그러나 본 발명의 일실시예에 따른 메모리 오염 감시 장치(200)는 변경된 메모리 데이터만 복구하여 빠르게 환경(메모리)를 복원할 수 있다.
그리고 메모리 중간 상태를 저장한 후, 메모리 복원 요청을 수신하지 않은 경우, 메모리 오염 감시 장치(200)는 S310 단계를 수행하여 메모리 쓰기 이벤트 감시 과정을 수행할 수 있다.
이하에서는 도 4 내지 도 12를 통하여, 본 발명의 또 다른 실시예에 따른 메모리 오염 감시 장치의 구성 및 기능에 대하여 더욱 상세하게 설명한다.
메모리 오염 감시 장치(1200)는 제어부(400), 기록부(600), 복원부(700) 및 알람부(800)를 포함할 수 있다. 그리고 메모리 오염 감시 장치(1200)의 구성 요소에 대해서는 후술할 도 4 내지 도 8을 통하여 상세하게 설명한다.
도 4는 본 발명의 또 다른 실시예에 따른 제어부의 기능을 설명하기 위한 도면이다.
도 4에 도시한 바와 같이, 메모리 오염 감시 장치(1200)의 제어부(400)는 사용자 인터페이스(410) 및 알람 처리 모듈(420)를 포함한다.
사용자 인터페이스(410)는 사용자로부터 설정값(500)을 입력받거나, 복원 실행 요청(메모리 복원 요청)을 입력받을 수 있다. 또한, 사용자 인터페이스(410)는 하이퍼바이저 쓰기 이벤트의 활성화 여부를 입력받을 수 있다.
도 5는 본 발명의 일실시예에 따른 설정값을 나타낸 예시도이다.
도 5에 도시한 바와 같이, 설정값(500)은 오염 지도 셀 크기, 알람 설정 여부, 알람 임계치, 쓰기 정보 기록 설정 여부 및 기록 시간 중 적어도 어느 하나를 포함할 수 있다.
사용자 인터페이스(410)가 입력받은 설정값(500)은 알람부(800)가 알람을 발생할지 여부를 결정하는 데 사용될 수 있다. 그리고 제어부(400)의 알람 처리 모듈(420)은 알람 발생 시, 알람을 처리한다.
다시 도 4에 대하여 설명하면, 알람 처리 모듈(420)은 메모리 쓰기 이벤트를 수신한 경우, 메모리 쓰기 이벤트 기록이 설정되어 있고, 현재의 시간이 기록 시간에 해당하는지 여부를 판단한다. 그리고 메모리 쓰기 이벤트 기록이 설정되어 있고, 기록 시간에 해당하는 경우, 알람 처리 모듈(420)은 쓰기 정보 기록 테이블에 변경 정보를 기록할 수 있다.
또한, 알람 처리 모듈(420)은 메모리 오염 지도의 분석 결과 메모리 오염 정도가 임계값보다 커 알람이 발생된 경우, 메모리 변경 정보를 메모리 중간 상태로 저장할 수 있다.
설명의 편의를 위하여, 알람 처리 모듈(420)이 메모리 오염 정도가 임계값보다 큰 것으로 판단된 경우 메모리 중간 상태를 저장하는 것으로 설명하였으나 이에 한정하지 않고, 알람 처리 모듈(420)은 쓰기 정보 기록 테이블에 변경 정보를 기록한 후 메모리 중간 상태를 저장할 수 있다.
그리고 사용자 인터페이스(410)가 사용자로부터 메모리 복원 요청을 수신하여 복원 실행을 요청받거나, 알람부(800)로부터 알람을 수신한 경우, 알람 처리 모듈(420)은 복원부(700)로 복원을 요청하여 분석 환경 복원을 수행할 수 있다.
도 6은 본 발명의 또 다른 실시예에 따른 기록부의 기능을 설명하기 위한 도면이다.
도 6과 같이, 기록부(600)는 설정값(500)에 쓰기 정보 기록 설정(w_enb)이 활성화되어 있고 메모리 쓰기 이벤트가 감지된 경우, 이벤트를 분석하고 쓰기 정보를 저장부(650)의 쓰기 정보 기록 테이블에 저장한다. 이때, 기록부(600)는 설정값(500)의 기록 시간(dur)동안 쓰기 정보를 기록할 수 있다.
도 7은 본 발명의 또 다른 실시예에 따른 복원부의 기능을 설명하기 위한 도면이다.
도 7에 도시한 바와 같이, 메모리 복원 요청이 수신되거나 발생된 경우, 제어부(400)는 복원부(700)에 복원 시점을 전송하여 복원을 요청한다. 그리고 복원부(700)는 복원 시점에 해당하는 인덱스(idx)를 확인하고, 복원 시점의 변경된 메모리 셀들을 복사하여 휘발성 메모리(1000)를 복구할 수 있다.
도 8은 본 발명의 또 다른 실시예에 따른 알람부의 기능을 설명하기 위한 도면이다. 그리고 도 9는 본 발명의 일실시예에 따른 메모리 오염 지도를 나타낸 예시도이다.
도 8에서, 알람부(800)는 설정값(500)을 이용하여 알람을 발생하고, 알람을 기록 및 전달할 수 있다. 알람부(800)는 설정값(500)의 알람 설정 여부가 활성화 상태인 경우, 도 9와 같은 메모리 오염 지도를 이용하여 메모리 오염 정도를 분석한다.
그리고 알람부(800)는 메모리 오염 정도가 임계값을 초과하는 경우 메타 정보 및 메모리 변경 정보를 기록하고, 제어부(400)로 알람을 전달할 수 있다.
도 9와 같이, 메모리 오염 정도는 수정 횟수 및 위험도를 이용하게 계산될 수 있으며, 수정 횟수 및 위험도에 가중치를 반영하여 메모리 오염 정도를 연산할 수 있다.
예를 들어, 악성 코드에 해당하는 프로세서가 아닌 경우 위험도를 0으로 설정하고, 쓰기 권한이 없는 영역에 쓰기가 발생한 경우 위험도를 높은 값으로 설정하여 셀 점수를 개산할 수 있다.
그리고 변경된 셀의 개수와 셀 점수를 종합하여 메모리 오염 정도를 연산하고, 연산된 메모리 오염 정도는 알람부(800)에서 임계값과 비교될 수 있다. 또한, 메모리 오염 정도를 연산하는 방법은 다양하게 설계 변경하여 구현될 수 있으며, 본 방법에 한정되지 않는다.
도 10은 본 발명의 일실시예에 따른 쓰기 정보 기록 테이블을 나타낸 예시도이고, 도 11은 본 발명의 일실시예에 따른 메모리 중간 저장 테이블을 나타낸 예시도이다.
설정값(500)의 쓰기 정보 기록 설정이 활성화(enable)되어 있는 경우, 도 10과 같이 변경된 메모리 최종 정보가 쓰기 정보 기록 테이블에 저장될 수 있다. 도 10에 도시한 바와 같이, 쓰기 정보 기록 테이블은 변경된 메모리 최종 정보를 포함하며, 중간 상태 저장 시 도 10의 쓰기 정보 기록 테이블이 저장될 수 있다.
또한, 메모리 오염 정도가 임계값을 초과하는 경우, 메모리 변경 정보는 도 11과 같이 저장될 수 있다. 그리고 도 11의 메모리 중간 저장 테이블은 베이스 RAM 데이터와 함께 특정 시점으로 분석 환경을 복구할 때 사용될 수 있다.
도 12는 본 발명의 또 다른 실시예에 따른 메모리 오염 감시 장치 및 데이터 베이스를 나타낸 도면이다.
도 12에 도시한 바와 같이, 저장부(1100)에는 베이스가 되는 RAM 데이터가 초기에 저장될 수 있다. 그리고 메모리 오염 감시 장치(1200)는 감시 대상 코드(악성 코드)가 실행되면서 변경된 메모리 정보를 기록정보로 저장한다. 변경된 메모리 정보는 메모리 오염 정도가 임계값을 초과하는지 여부 또는 사용자의 요구에 따라 별도로 보관될 수 있다.
이상에서와 같이 본 발명에 따른 메모리 오염 감시 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
10: 게스트 운영체제
20: 게스트 컨트롤러
100: 하이퍼바이저
200: 메모리 오염 감시 장치
210: 쓰기 이벤트 감시부
220: 메모리 오염 감시부
230: 알람 발생부
240: 중간 상태 저장부
250: 메모리 복원부
260: 사용자 인터페이스부
270: 쓰기 정보 기록부
300: 하드웨어
350: 휘발성 메모리
400: 제어부
410: 사용자 인터페이스
420: 알람 처리 모듈
500: 설정값
650: 저장부
700: 복원부
800: 알람부
900: 하이퍼바이저

Claims (20)

  1. 메모리 오염 감시 장치에 의해 수행되는 메모리 오염 감시 방법에 있어서,
    하이퍼바이저를 이용하여, 감시 대상 코드의 메모리 쓰기 이벤트를 감시하는 단계,
    상기 메모리 쓰기 이벤트 발생 시, 메모리 오염 지도를 분석하여 메모리 오염을 감시하는 단계, 그리고
    상기 메모리 오염의 감시 결과 메모리 오염 정도가 임계값보다 큰 경우, 메모리 변경 정보를 메모리 중간 상태로 저장하는 단계를 포함하고,
    상기 메모리 오염 지도는 수정 횟수 및 위험도 중에서 적어도 하나를 기반으로 연산된 메모리 오염 정보를 포함하고,
    상기 수정 횟수 및 상기 위험도 중에서 적어도 하나에 가중치가 설정됨으로써 상기 메모리 오염 정도가 연산되는 것을 특징으로 하는 메모리 오염 감시 방법.
  2. 제1항에 있어서,
    상기 메모리 쓰기 이벤트를 감시하는 단계는,
    네이티브(Native) 방식의 상기 하이퍼바이저를 이용하여, 게스트 운영체제에서 동작하는 상기 감시 대상 코드의 상기 메모리 쓰기 이벤트를 감시하는 것을 특징으로 하는 메모리 오염 감시 방법.
  3. 제2항에 있어서,
    메모리 복원 요청 수신 시, 상기 메모리 복원 요청에 상응하는 복원 시점의 메모리 셀을 복사하여 분석 환경을 복원하는 단계를 더 포함하는 것을 특징으로 하는 메모리 오염 감시 방법.
  4. 제3항에 있어서,
    상기 분석 환경을 복원하는 단계는,
    상기 복원 시점의 변경된 상기 메모리 셀을 복사하여, 활성 메모리를 복원하는 것을 특징으로 하는 메모리 오염 감시 방법.
  5. 제4항에 있어서,
    상기 분석 환경을 복원하는 단계는,
    상기 메모리 중간 상태로 저장된 상기 메모리 변경 정보 및 베이스 RAM 데이터 중 적어도 어느 하나를 기반으로 상기 활성 메모리를 복원하는 것을 특징으로 하는 메모리 오염 감시 방법.
  6. 삭제
  7. 제2항에 있어서,
    상기 메모리 오염 정도가 임계값보다 큰 경우, 알람을 발생하는 단계를 더 포함하는 것을 특징으로 하는 메모리 오염 감시 방법.
  8. 제7항에 있어서,
    상기 메모리 오염 지도의 셀 크기, 상기 알람의 활성화 여부, 상기 임계값, 중간 상태 저장의 활성화 여부 및 상기 중간 상태 저장의 기록 시간 중 적어도 어느 하나를 포함하는 설정값을 입력받는 단계를 더 포함하는 것을 특징으로 하는 메모리 오염 감시 방법.
  9. 제2항에 있어서,
    상기 메모리 쓰기 이벤트 발생 시, 셀 번호, 메모리 주소, 값, 프로세스 식별자, 권한 정보 및 알람 번호 중 적어도 어느 하나를 쓰기 정보 기록 테이블에 저장하는 단계를 더 포함하는 메모리 오염 감시 방법.
  10. 하이퍼바이저를 이용하여, 감시 대상 코드의 메모리 쓰기 이벤트를 감시하는 쓰기 이벤트 감시부,
    상기 메모리 쓰기 이벤트 발생 시, 메모리 오염 지도를 분석하여 메모리 오염을 감시하는 메모리 오염 감시부, 그리고
    상기 메모리 오염의 감시 결과 메모리 오염 정도가 임계값보다 큰 경우, 메모리 변경 정보를 메모리 중간 상태로 저장하는 중간 상태 저장부를 포함하고,
    상기 메모리 오염 지도는 수정 횟수 및 위험도 중에서 적어도 하나를 기반으로 연산된 메모리 오염 정보를 포함하고,
    상기 수정 횟수 및 상기 위험도 중에서 적어도 하나에 가중치가 설정됨으로써 상기 메모리 오염 정도가 연산되는 것을 특징으로 하는 메모리 오염 감시 장치.
  11. 삭제
  12. 삭제
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. 삭제
  19. 메모리 오염 감시 장치에 의해 수행되는 메모리 오염 감시 방법에 있어서,
    악성 코드의 메모리 쓰기 이벤트 발생 시, 메모리 오염 지도를 분석하여 메모리 오염을 감시하는 단계,
    상기 메모리 오염의 감시 결과 메모리 오염 정도가 임계값보다 큰 경우, 메모리 변경 정보를 메모리 중간 상태로 저장하는 단계, 그리고
    메모리 복원 요청을 수신 시, 상기 메모리 변경 정보 및 베이스 RAM 데이터 중 적어도 어느 하나를 기반으로 악성 코드 분석 환경의 활성 메모리를 복원하는 단계를 포함하고,
    상기 메모리 오염 지도는 수정 횟수 및 위험도 중에서 적어도 하나를 기반으로 연산된 메모리 오염 정보를 포함하고,
    상기 수정 횟수 및 상기 위험도 중에서 적어도 하나에 가중치가 설정됨으로써 상기 메모리 오염 정도가 연산되는 것을 특징으로 하는 메모리 오염 감시 방법.
  20. 삭제
KR1020170172986A 2017-12-15 2017-12-15 메모리 오염 감시 장치 및 방법 KR102008953B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170172986A KR102008953B1 (ko) 2017-12-15 2017-12-15 메모리 오염 감시 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170172986A KR102008953B1 (ko) 2017-12-15 2017-12-15 메모리 오염 감시 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20190071994A KR20190071994A (ko) 2019-06-25
KR102008953B1 true KR102008953B1 (ko) 2019-08-08

Family

ID=67065108

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170172986A KR102008953B1 (ko) 2017-12-15 2017-12-15 메모리 오염 감시 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102008953B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011170477A (ja) * 2010-02-17 2011-09-01 Hitachi Ltd ハイパーバイザ及びサーバ装置
JP2012009130A (ja) * 2011-08-22 2012-01-12 Sony Corp 記録または再生する方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101787470B1 (ko) 2016-02-15 2017-11-16 한국전자통신연구원 Usb로 연결된 외부 장치 기반의 악성코드 분석 장치 및 이를 이용한 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011170477A (ja) * 2010-02-17 2011-09-01 Hitachi Ltd ハイパーバイザ及びサーバ装置
JP2012009130A (ja) * 2011-08-22 2012-01-12 Sony Corp 記録または再生する方法

Also Published As

Publication number Publication date
KR20190071994A (ko) 2019-06-25

Similar Documents

Publication Publication Date Title
RU2637997C1 (ru) Система и способ обнаружения вредоносного кода в файле
TWI547874B (zh) 虛擬機器影像分析
US9063766B2 (en) System and method of manipulating virtual machine recordings for high-level execution and replay
US9053065B2 (en) Method for restoring virtual machine state from a checkpoint file
US10884645B2 (en) Virtual machine hot migration method, host machine and storage medium
US8117600B1 (en) System and method for detecting in-line synchronization primitives in binary applications
KR101759379B1 (ko) 확장된 데이터를 갖는 메모리 덤프 및 사용자 프라이버시 보호 기법
US10255086B2 (en) Determining optimal methods for creating virtual machines
US10121004B2 (en) Apparatus and method for monitoring virtual machine based on hypervisor
US9053064B2 (en) Method for saving virtual machine state to a checkpoint file
KR101696490B1 (ko) 부분 리부팅 복구 장치 및 방법
US20220035905A1 (en) Malware analysis through virtual machine forking
CN102339371A (zh) 一种检测恶意程序的方法、装置及虚拟机
US11204776B2 (en) Apparatus and method for booting virtual machines
US10366226B2 (en) Malicious code analysis device and method based on external device connected via USB cable
JP7144642B2 (ja) フォレンジクスのための動作ベースのvmリソースキャプチャ
EP3063692B1 (en) Virtual machine introspection
CN103793288A (zh) 一种软件看门狗系统及方法
CN105512550A (zh) 用于活跃的操作系统内核保护的系统和方法
US20140149701A1 (en) Backup method and computer product
Choi et al. Cloud-BlackBox: Toward practical recording and tracking of VM swarms for multifaceted cloud inspection
KR102008953B1 (ko) 메모리 오염 감시 장치 및 방법
JP5452336B2 (ja) 周辺機器障害模擬システム、周辺機器障害模擬方法および周辺機器障害模擬プログラム
CN108009039B (zh) 终端信息的记录方法、装置、存储介质及电子设备
KR102052816B1 (ko) 비휘발성 주기억장치 환경에서 에러 복구 방법 및 그 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right