KR102161770B1 - 메모리 정보 획득 시스템 및 방법 - Google Patents

메모리 정보 획득 시스템 및 방법 Download PDF

Info

Publication number
KR102161770B1
KR102161770B1 KR1020180161526A KR20180161526A KR102161770B1 KR 102161770 B1 KR102161770 B1 KR 102161770B1 KR 1020180161526 A KR1020180161526 A KR 1020180161526A KR 20180161526 A KR20180161526 A KR 20180161526A KR 102161770 B1 KR102161770 B1 KR 102161770B1
Authority
KR
South Korea
Prior art keywords
memory
area
execution
information
critical
Prior art date
Application number
KR1020180161526A
Other languages
English (en)
Other versions
KR20200073411A (ko
Inventor
호준원
Original Assignee
서울여자대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 서울여자대학교 산학협력단 filed Critical 서울여자대학교 산학협력단
Priority to KR1020180161526A priority Critical patent/KR102161770B1/ko
Publication of KR20200073411A publication Critical patent/KR20200073411A/ko
Application granted granted Critical
Publication of KR102161770B1 publication Critical patent/KR102161770B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 메모리 정보 획득 시스템 및 방법에 관한 것이다. 본 발명의 일 실시 예에 따른 메모리 정보 획득 시스템은 서로 독립적으로 운영되는 제 1 실행 영역과 제 2 실행 영역을 포함하는 신뢰 실행 환경(Trusted Execution Environment)에서의 메모리 정보 획득 시스템에 있어서, 데이터를 저장하는 메모리 및 상기 제 2 실행 영역에 포함되며 상기 메모리에서 상기 제 1 실행 영역에 연관된 메모리 영역 중 일부를 중요 메모리 영역으로 지정하고 상기 지정된 중요 메모리 영역에 관한 정보를 저장하는 메모리 정보 획득부를 포함한다.

Description

메모리 정보 획득 시스템 및 방법{SYSTEM AND METHOD FOR OBTAINING MEMORY INFORMATION}
본 발명은 메모리 정보 획득 시스템 및 방법에 관한 것이다.
안드로이드 스마트폰에서 메모리 포렌식 검사를 위해서는 메모리 정보 획득이 필수적이다. 대부분의 메모리 포렌식 기법들은 안드로이드 시스템을 통한 메모리 획득 방식을 추구한다. 따라서 공격자가 루트킷과 같은 악성 시스템 코드를 통해서 안드로이드 시스템의 제어 권한을 획득한다면, 공격자는 종래의 메모리 획득 방식을 정상적으로 동작하지 못하게 만들 수 있다.
본 발명은 신뢰 실행 환경이 가지고 있는 보안성을 최대한 활용하면서 효율성 있게 시스템의 메모리의 정보를 획득하기 위한 것이다.
또한, 본 발명은 실행 영역 내에 메모리 영역의 할당을 비주기적, 임의의 방식으로 수행하여 시스템의 보안성을 높이기 위한 것이다.
본 발명의 일 측면에 따르면, 메모리 정보 획득 시스템은 서로 독립적으로 운영되는 제 1 실행 영역과 제 2 실행 영역을 포함하는 신뢰 실행 환경(Trusted Execution Environment)에서의 메모리 정보 획득 시스템에 있어서, 데이터를 저장하는 메모리; 및 상기 제 2 실행 영역에 포함되며, 상기 메모리에서 상기 제 1 실행 영역에 연관된 메모리 영역 중 일부를 중요 메모리 영역으로 지정하고, 상기 지정된 중요 메모리 영역에 관한 정보를 저장하는 메모리 정보 획득부를 포함할 수 있다.
또한, 상기 제 1 실행 영역은 비보안 영역이고, 상기 제 2 실행 영역은 보안 영역일 수 있다.
또한, 상기 메모리 정보 획득부는, 상기 제 1 실행 영역에 연관된 메모리 영역 중에서 상기 중요 메모리 영역을 변경하여 다시 지정하고, 상기 다시 지정된 중요 메모리 영역에 관한 정보를 저장할 수 있다.
또한, 상기 메모리 정보 획득부는, 상기 중요 메모리 영역을 비주기적으로 반복하여 변경하고 다시 지정할 수 있다.
또한, 상기 메모리 정보 획득부는, 상기 제 1 실행 영역에 연관된 메모리 영역 중에서 상기 중요 메모리 영역을 랜덤하게 지정할 수 있다.
또한, 상기 제 2 실행 영역에 포함되며, 상기 제 1 실행 영역에서 악성으로 의심되는 악성 의심 애플리케이션이 실행되는지를 판단하고, 상기 악성 의심 애플리케이션이 실행된다고 판단되면 상기 악성 의심 애플리케이션이 상기 중요 메모리 영역을 액세스하는지를 탐지하는 이벤트 탐지부를 더 포함할 수 있다.
또한, 상기 이벤트 탐지부는, 상기 제 1 실행 영역에서 상기 악성 의심 애플리케이션이 상기 중요 메모리 영역을 액세스 할 때마다 상기 중요 메모리 영역에 대한 상기 악성 의심 애플리케이션의 액세스 횟수를 카운팅할 수 있다.
또한, 상기 메모리 정보 획득부는, 상기 이벤트 탐지부가 카운팅한 상기 중요 메모리 영역에 대한 상기 악성 의심 애플리케이션의 액세스 횟수가 기 설정된 기준 횟수를 초과하면, 상기 중요 메모리 영역에 관한 정보를 획득할 수 있다.
또한, 상기 이벤트 탐지부는, 상기 제 1 실행 영역에서 상기 악성 의심 애플리케이션이 상기 중요 메모리 영역에 저장된 정보를 변경할 때마다 상기 중요 메모리 영역에 대한 상기 악성 의심 애플리케이션의 정보 변경 횟수를 카운팅할 수 있다.
또한, 상기 메모리 정보 획득부는, 상기 이벤트 탐지부가 카운팅한 상기 중요 메모리 영역에 대한 상기 악성 의심 애플리케이션의 정보 변경 횟수가 기 설정된 기준 횟수를 초과하면, 상기 중요 메모리 영역에 관한 정보를 획득할 수 있다.
또한, 상기 메모리 정보 획득부는, 상기 중요 메모리 영역에 관한 정보를 SMC(Secure Monitor Call) 또는 인터럽트를 통해 획득할 수 있다.
본 발명의 다른 측면에 따르면, 본 발명의 메모리 정보 획득 방법은 서로 독립적으로 운영되는 제 1 실행 영역과 제 2 실행 영역을 포함하는 신뢰 실행 환경에서의 메모리 정보 획득 방법에 있어서, 메모리에서 상기 제 1 실행 영역에 연관된 메모리 영역 중 일부를 중요 메모리 영역으로 지정하는 단계; 상기 제 1 실행 영역에 연관된 메모리 영역 중에서 상기 중요 메모리 영역을 비주기적으로 반복하여 변경하고 랜덤하게 다시 지정하는 단계; 상기 제 1 실행 영역에서 악성으로 의심되는 악성 의심 애플리케이션이 실행되면 상기 악성 의심 애플리케이션이 상기 중요 메모리 영역을 액세스하는지 탐지하는 단계; 상기 제 1 실행 영역에서 상기 악성 의심 애플리케이션이 상기 중요 메모리 영역을 액세스 할 때마다 상기 중요 메모리 영역에 대한 상기 악성 의심 애플리케이션의 액세스 횟수를 카운팅하는 단계; 및 상기 카운팅된 악성 의심 애플리케이션의 액세스 횟수가 기 설정된 기준 횟수를 초과하면, 상기 제 2 실행 영역에 포함된 메모리 정보 획득부가 상기 중요 메모리 영역에 관한 정보를 획득하는 단계를 포함할 수 있다.
또한, 스마트 디바이스와 결합되어 메모리 정보 획득 방법에 따른 메모리 정보 획득 방법의 각각의 단계를 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체일 수 있다.
본 발명의 일 실시 예에 의하면, 신뢰 실행 환경이 가지고 있는 보안성을 최대한 활용하면서 효율성 있게 시스템의 메모리의 정보를 획득할 수 있다.
또한, 본 발명의 일 실시 예에 의하면, 실행 영역 내에 메모리 영역의 할당을 비주기적, 임의의 방식으로 수행하여 시스템의 보안성을 높일 수 있다.
도 1은 본 발명의 일 실시 예에 따른 메모리 정보 획득 시스템의 개념도이다.
도 2는 본 발명의 일 실시 예에 따른 메모리 정보 획득 시스템의 블록도이다.
도 3은 본 발명의 일 실시 예에 따른 메모리 정보 획득 방법의 흐름도이다.
본 발명의 다른 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술 되는 실시 예를 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예는 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
만일 정의되지 않더라도, 여기서 사용되는 모든 용어들(기술 혹은 과학 용어들을 포함)은 이 발명이 속한 종래 기술에서 보편적 기술에 의해 일반적으로 수용되는 것과 동일한 의미를 가진다. 일반적인 사전들에 의해 정의된 용어들은 관련된 기술 그리고/혹은 본 출원의 본문에 의미하는 것과 동일한 의미를 갖는 것으로 해석될 수 있고, 그리고 여기서 명확하게 정의된 표현이 아니더라도 개념화되거나 혹은 과도하게 형식적으로 해석되지 않을 것이다.
본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다' 및/또는 이 동사의 다양한 활용형들 예를 들어, '포함', '포함하는', '포함하고', '포함하며' 등은 언급된 조성, 성분, 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 조성, 성분, 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다. 본 명세서에서 '및/또는' 이라는 용어는 나열된 구성들 각각 또는 이들의 다양한 조합을 가리킨다.
한편, 본 명세서 전체에서 사용되는 '~부', '~기', '~블록', '~모듈' 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미할 수 있다. 예를 들어 소프트웨어, FPGA 또는 ASIC과 같은 하드웨어 구성요소를 의미할 수 있다. 그렇지만 '~부', '~기', '~블록', '~모듈' 등이 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부', '~기', '~블록', '~모듈'은 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다.
따라서, 일 예로서 '~부', '~기', '~블록', '~모듈'은 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '~부', '~기', '~블록', '~모듈'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부', '~기', '~블록', '~모듈'들로 결합되거나 추가적인 구성요소들과 '~부', '~기', '~블록', '~모듈'들로 더 분리될 수 있다.
이하, 본 발명은 ARM 주식회사의 ARM TrustZone 기술을 기초로 설명하며, 본 명세서에 첨부된 도면을 참조하여 본 발명의 실시 예를 상세하게 설명한다.
도 1은 본 발명의 일 실시 예에 따른 메모리 정보 획득 시스템의 개념도이다.
도 1을 참조하면, 제 1 실행 영역과 제 2 실행 영역을 포함하는 신뢰 실행 환경(Trusted Execution Environment)을 이해할 수 있다. 신뢰 실행 환경은 하나의 물리 프로세서 코어가 보안영역과 비보안영역로 나누어져 있다. 각각의 영역은 CPU의 레지스터가 분리되어 있고, 보안영역에서만 접근이 가능한 디바이스나 메모리 영역을 지정할 수 있다. 비보안영역에서 보안영역에서만 접근이 가능한 메모리 영역을 접근하게 되면 신뢰 실행 환경 페이지폴트가 일어난다.
또한, 인터럽트를 보안영역과 비보안영역으로 나눌 수 있다. 이는 현재 인터럽트가 보안영역일 때는 비보안영역에서 인터럽트는 발생하지 않고, 비보안영역일 때는 비보안영역 및 보안영역에서 인터럽트가 발생할 수 있다. 이와 같이 신뢰 실행 환경 기반의 제 1 실행 영역과 제 2 실행 영역을 포함하는 시스템은 CPU, 주소 공간, 메모리, 디바이스를 각 영역마다 고립시킬 수 있다.
또한, 신뢰 실행 환경은 별도의 CPU모드에 기존의 FIQ, IRQ, Abort, Undefined, Kernel, User에 모니터(Monitor) 모드를 추가 할 수 있다. 모니터 모드는 보안영역에만 존재한다. 여기서, 모니터 모드에 진입한다는 것은 보안영영역에 접근한다는 말이다.
도 1을 다시 참조하면, 모니터 모드로의 접근은 SMC(Secure Monitor Call)명령이 실행된 경우이거나 IRQ 및 FIQ 발생 시 성립된다. 또한, SMC 명령은 커널모드에서만 실행이 가능하므로 애플리케이션 레벨에서 영역 간의 전환은 할 수 없습니다.
정리하면, 하나의 영역은 다른 영역에 영향을 끼칠 수 없으며, 비보안영역은 보안영역의 실행을 인터럽트나 장치를 사용하더라도 방해할 수 없다. 그렇기 때문에 일반적으로 루트킷으로부터 안전하게 보호하기 위한 높은 신뢰성이 요구되는 프로그램은 보안영역에서 실행하고, 그 외의 프로그램은 비보안영역에서 실행한다.
도 2는 본 발명의 일 실시 예에 따른 메모리 정보 획득 시스템의 블록도이다.
도 2를 참조하면, 제 1 실행 영역과 제 2 실행 영역을 포함하는 신뢰 실행 환경 환경에서의 메모리 정보 획득 시스템(10)은 메모리(100), 메모리 정보 획득부(200) 및 이벤트 탐지부(300)를 포함한다. 여기서, 제 1 실행 영역은 비보안영역이고, 제 2 실행 영역은 보안영역이다. 또한, 보안영역에서는 비보안영역에 접근할 수 있으나, 비보안영역에서는 보안영역으로 접근할 수 없음을 말한다.
상기 메모리 정보 획득부(200)는 제 2 실행 영역 내에 포함되어 메모리(100)에서 제 1 실행 영역에 연관된 메모리 영역 중 일부를 중요 메모리 영역으로 지정하고, 지정된 중요 메모리 영역에 관한 정보를 저장한다. 여기서, 메모리 영역의 정보는 메모리 영역의 주소, 메모리 영역의 크기 등 일 수 있다. 비보안영역의 메모리 영역 중 특정 영역을 중요 메모리 영역으로 지정하고 지정된 중요 메모리 영역의 주소를 포함하는 메모리 영역에 관한 정보를 저장한다.
또한, 메모리 정보 획득부(200)는 제 1 실행 영역에 연관된 메모리 영역 중에서 중요 메모리 영역을 변경하여 다시 지정하고, 다시 지정된 중요 메모리 영역에 관한 정보를 저장한다.
나아가, 메모리 정보 획득부(200)는 중요 메모리 영역을 비주기적으로 반복하여 변경하고 다시 지정한다. 메모리 정보 획득부(200)는 제 1 실행 영역에 연관된 메모리 영역 중에서 중요 메모리 영역을 랜덤하게 지정한다.
상기 이벤트 탐지부(300)는 제 2 실행 영역에 포함되며, 제 1 실행 영역에서 악성으로 의심되는 악성 의심 애플리케이션이 실행되는지를 판단하고, 악성 의심 애플리케이션이 실행된다고 판단되면 악성 의심 애플리케이션이 중요 메모리 영역을 액세스하는지를 탐지한다.
또한, 이벤트 탐지부(300)는 제 1 실행 영역에서 악성 의심 애플리케이션이 중요 메모리 영역을 액세스 할 때 마다 중요 메모리 영역에 대한 악성 의심 애플리케이션의 액세스 횟수를 카운팅한다. 예를 들면, 비보안영역에서 악성으로 의심되는 애플리케이션이 동작하면서 시스템 콜, 네트워크 API, 이벤트 핸들러를 통해서 할당된 메모리 영역을 액세스 하거나 변경할 때 마다 이벤트 탐지부(300)는 그 횟수를 카운팅(counting)할 수 있다.
메모리 정보 획득부(200)는 이벤트 탐지부(300)가 카운팅한 중요 메모리 영역에 대한 악성 의심 애플리케이션의 액세스 횟수가 기 설정된 기준 횟수를 초과하면 중요 메모리 영역에 관한 정보를 획득한다. 여기서, 중요 메모리 영역에 관한 정보를 획득하는 방식은 SMC(Secure Monitor Call)이나 인터럽트를 말한다. 이와 같은 방식을 통해 안전하게 중요 메모리 영역에 관한 정보를 획득한다.
본 발명의 일 실시 예에 따르면, 이벤트 탐지부(300)는 제 1 실행 영역에서 악성 의심 애플리케이션이 중요 메모리 영역에 저장된 정보를 변경할 때마다 중요 메모리 영역에 대한 악성 의심 애플리케이션의 정보 변경 횟수를 카운팅한다. 또한, 메모리 정보 획득부(200)는 이벤트 탐지부(300)가 카운팅한 중요 메모리 영역에 대한 악성 의심 애플리케이션의 정보 변경 횟수가 기 설정된 기준 횟수를 초과하면 중요 메모리 영역에 관한 정보를 획득한다.
도 3은 본 발명의 일 실시 예에 따른 메모리 정보 획득 방법의 흐름도이다.
도 3을 참조하면, 메모리 정보 획득 방법은 아래와 같은 단계로 구성된다.
서로 독립적으로 운영되는 제 1 실행 영역과 제 2 실행 영역을 포함하는 신뢰 실행 환경에서의 메모리 정보 획득 방법에 있어서, 먼저, 메모리에서 상기 제 1 실행 영역에 연관된 메모리 영역 중 일부를 중요 메모리 영역으로 지정하는 단계(S10), 상기 제 1 실행 영역에 연관된 메모리 영역 중에서 상기 중요 메모리 영역을 비주기적으로 반복하여 변경하고 랜덤하게 다시 지정하는 단계(S20), 상기 제 1 실행 영역에서 악성으로 의심되는 악성 의심 애플리케이션이 실행되면 상기 악성 의심 애플리케이션이 상기 중요 메모리 영역을 액세스하는지 탐지하는 단계(S30), 상기 제 1 실행 영역에서 상기 악성 의심 애플리케이션이 상기 중요 메모리 영역을 액세스 할 때마다 상기 중요 메모리 영역에 대한 상기 악성 의심 애플리케이션의 액세스 횟수를 카운팅하는 단계(S40) 및 상기 카운팅된 악성 의심 애플리케이션의 액세스 횟수가 기 설정된 기준 횟수를 초과하면(S50), 상기 제 2 실행 영역에 포함된 메모리 정보 획득부가 상기 중요 메모리 영역에 관한 정보를 획득하는 단계(S60)을 포함한다.
또한, 스마트 디바이스와 결합되어 메모리 정보 획득 방법에 따른 메모리 정보 획득 방법의 각각의 단계를 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체일 수 있다.
이상의 상세한 설명은 본 발명을 예시하는 것이다. 또한 전술한 내용은 본 발명의 바람직한 실시 형태를 나타내어 설명하는 것이며, 본 발명은 다양한 다른 조합, 변경 및 환경에서 사용할 수 있다. 즉 본 명세서에 개시된 발명의 개념의 범위, 저술한 개시 내용과 균등한 범위 및/또는 당업계의 기술 또는 지식의 범위내에서 변경 또는 수정이 가능하다. 저술한 실시예는 본 발명의 기술적 사상을 구현하기 위한 최선의 상태를 설명하는 것이며, 본 발명의 구체적인 적용 분야 및 용도에서 요구되는 다양한 변경도 가능하다. 따라서 이상의 발명의 상세한 설명은 개시된 실시 상태로 본 발명을 제한하려는 의도가 아니다. 또한 첨부된 청구범위는 다른 실시 상태도 포함하는 것으로 해석되어야 한다.
10 : 메모리 정보 획득 시스템
100 : 메모리
200 : 메모리 정보 획득부
300 : 이벤트 탐지부

Claims (14)

  1. 서로 독립적으로 운영되는 제 1 실행 영역과 제 2 실행 영역을 포함하는 신뢰 실행 환경(Trusted Execution Environment)에서의 메모리 정보 획득 시스템에 있어서,
    데이터를 저장하는 메모리;
    상기 제 2 실행 영역에 포함되며, 상기 메모리에서 상기 제 1 실행 영역에 연관된 메모리 영역 중 일부를 중요 메모리 영역으로 지정하고, 상기 지정된 중요 메모리 영역에 관한 정보를 저장하는 메모리 정보 획득부; 및
    상기 제 2 실행 영역에 포함되며, 상기 제 1 실행 영역에서 악성으로 의심되는 악성 의심 애플리케이션이 실행되는지를 판단하고, 상기 악성 의심 애플리케이션이 실행된다고 판단되면 상기 악성 의심 애플리케이션이 상기 중요 메모리 영역을 액세스하는지를 탐지하는 이벤트 탐지부;를 포함하되,
    상기 이벤트 탐지부는,
    상기 제 1 실행 영역에서 상기 악성 의심 애플리케이션이 상기 중요 메모리 영역을 액세스 할 때마다 상기 중요 메모리 영역에 대한 상기 악성 의심 애플리케이션의 액세스 횟수를 카운팅하고,
    상기 메모리 정보 획득부는,
    상기 이벤트 탐지부가 카운팅한 상기 중요 메모리 영역에 대한 상기 악성 의심 애플리케이션의 액세스 횟수가 기 설정된 기준 횟수를 초과하면, 상기 중요 메모리 영역에 관한 정보를 획득하는 메모리 정보 획득 시스템.
  2. 제 1 항에 있어서,
    상기 제 1 실행 영역은 비보안 영역이고, 상기 제 2 실행 영역은 보안 영역인 메모리 정보 획득 시스템.
  3. 제 1 항에 있어서,
    상기 메모리 정보 획득부는,
    상기 제 1 실행 영역에 연관된 메모리 영역 중에서 상기 중요 메모리 영역을 변경하여 다시 지정하고, 상기 다시 지정된 중요 메모리 영역에 관한 정보를 저장하는 메모리 정보 획득 시스템.
  4. 제 3 항에 있어서,
    상기 메모리 정보 획득부는,
    상기 중요 메모리 영역을 비주기적으로 반복하여 변경하고 다시 지정하는 메모리 정보 획득 시스템.
  5. 제 4 항에 있어서,
    상기 메모리 정보 획득부는,
    상기 제 1 실행 영역에 연관된 메모리 영역 중에서 상기 중요 메모리 영역을 랜덤하게 지정하는 메모리 정보 획득 시스템.
  6. 삭제
  7. 삭제
  8. 삭제
  9. 서로 독립적으로 운영되는 제 1 실행 영역과 제 2 실행 영역을 포함하는 신뢰 실행 환경(Trusted Execution Environment)에서의 메모리 정보 획득 시스템에 있어서,
    데이터를 저장하는 메모리;
    상기 제 2 실행 영역에 포함되며, 상기 메모리에서 상기 제 1 실행 영역에 연관된 메모리 영역 중 일부를 중요 메모리 영역으로 지정하고, 상기 지정된 중요 메모리 영역에 관한 정보를 저장하는 메모리 정보 획득부; 및
    상기 제 2 실행 영역에 포함되며, 상기 제 1 실행 영역에서 악성으로 의심되는 악성 의심 애플리케이션이 실행되는지를 판단, 상기 악성 의심 애플리케이션이 실행된다고 판단되면 상기 악성 의심 애플리케이션이 상기 중요 메모리 영역을 액세스하는지를 탐지하는 이벤트 탐지부;를 포함하되,
    상기 이벤트 탐지부는,
    상기 제 1 실행 영역에서 상기 악성 의심 애플리케이션이 상기 중요 메모리 영역에 저장된 정보를 변경할 때마다 상기 중요 메모리 영역에 대한 상기 악성 의심 애플리케이션의 정보 변경 횟수를 카운팅하고,
    상기 메모리 정보 획득부는,
    상기 이벤트 탐지부가 카운팅한 상기 중요 메모리 영역에 대한 상기 악성 의심 애플리케이션의 정보 변경 횟수가 기 설정된 기준 횟수를 초과하면, 상기 중요 메모리 영역에 관한 정보를 획득하는 메모리 정보 획득 시스템.
  10. 삭제
  11. 제 1 항 또는 제 9 항에 있어서,
    상기 메모리 정보 획득부는,
    상기 중요 메모리 영역에 관한 정보를 SMC(Secure Monitor Call) 또는 인터럽트를 통해 획득하는 메모리 정보 획득 시스템.
  12. 서로 독립적으로 운영되는 제 1 실행 영역과 제 2 실행 영역을 포함하는 신뢰 실행 환경에서의 메모리 정보 획득 방법에 있어서,
    메모리에서 상기 제 1 실행 영역에 연관된 메모리 영역 중 일부를 중요 메모리 영역으로 지정하는 단계;
    상기 제 1 실행 영역에 연관된 메모리 영역 중에서 상기 중요 메모리 영역을 비주기적으로 반복하여 변경하고 랜덤하게 다시 지정하는 단계;
    상기 제 1 실행 영역에서 악성으로 의심되는 악성 의심 애플리케이션이 실행되면 상기 악성 의심 애플리케이션이 상기 중요 메모리 영역을 액세스하는지 탐지하는 단계;
    상기 제 1 실행 영역에서 상기 악성 의심 애플리케이션이 상기 중요 메모리 영역을 액세스 할 때마다 상기 중요 메모리 영역에 대한 상기 악성 의심 애플리케이션의 액세스 횟수를 카운팅하는 단계; 및
    상기 카운팅된 악성 의심 애플리케이션의 액세스 횟수가 기 설정된 기준 횟수를 초과하면, 상기 제 2 실행 영역에 포함된 메모리 정보 획득부가 상기 중요 메모리 영역에 관한 정보를 획득하는 단계를 포함하는 메모리 정보 획득 방법.
  13. 서로 독립적으로 운영되는 제 1 실행 영역과 제 2 실행 영역을 포함하는 신뢰 실행 환경에서의 메모리 정보 획득 방법에 있어서,
    메모리에서 상기 제 1 실행 영역에 연관된 메모리 영역 중 일부를 중요 메모리 영역으로 지정하는 단계;
    상기 제 1 실행 영역에 연관된 메모리 영역 중에서 상기 중요 메모리 영역을 비주기적으로 반복하여 변경하고 랜덤하게 다시 지정하는 단계;
    상기 제 1 실행 영역에서 악성으로 의심되는 악성 의심 애플리케이션이 실행되면 상기 악성 의심 애플리케이션이 상기 중요 메모리 영역을 액세스하는지 탐지하는 단계;
    상기 제 1 실행 영역에서 상기 악성 의심 애플리케이션이 상기 중요 메모리 영역에 저장된 정보를 변경할 때마다 상기 중요 메모리 영역에 대한 상기 악성 의심 애플리케이션의 정보 변경 횟수를 카운팅하는 단계; 및
    상기 카운팅된 악성 의심 애플리케이션의 정보 변경 횟수가 기 설정된 기준 횟수를 초과하면, 상기 제 2 실행 영역에 포함된 메모리 정보 획득부가 상기 중요 메모리 영역에 관한 정보를 획득하는 단계를 포함하는 메모리 정보 획득 방법.
  14. 스마트 디바이스와 결합되어 제 12 항 또는 제 13 항에 따른 메모리 정보 획득 방법의 각각의 단계를 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체.
KR1020180161526A 2018-12-14 2018-12-14 메모리 정보 획득 시스템 및 방법 KR102161770B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180161526A KR102161770B1 (ko) 2018-12-14 2018-12-14 메모리 정보 획득 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180161526A KR102161770B1 (ko) 2018-12-14 2018-12-14 메모리 정보 획득 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20200073411A KR20200073411A (ko) 2020-06-24
KR102161770B1 true KR102161770B1 (ko) 2020-10-05

Family

ID=71408121

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180161526A KR102161770B1 (ko) 2018-12-14 2018-12-14 메모리 정보 획득 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102161770B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102236761B1 (ko) 2020-12-22 2021-04-06 주식회사 유니온플레이스 사물 인터넷 장치, 사물 인터넷 장치 관리 시스템 및 사물 인터넷 장치를 관리하는 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101837678B1 (ko) * 2016-06-20 2018-03-12 주식회사 씨오티커넥티드 신뢰실행환경 기반의 컴퓨팅 장치

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102327782B1 (ko) * 2015-05-29 2021-11-18 한국과학기술원 전자 장치 및 커널 데이터 접근 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101837678B1 (ko) * 2016-06-20 2018-03-12 주식회사 씨오티커넥티드 신뢰실행환경 기반의 컴퓨팅 장치

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
He Sun et al, "TrustDump: Reliable Memory Acquisition on Smartphones", 19th European Symposium on Research in Computer Security(2014.09.)

Also Published As

Publication number Publication date
KR20200073411A (ko) 2020-06-24

Similar Documents

Publication Publication Date Title
CN107066311B (zh) 一种内核数据访问控制方法与系统
EP3323074B1 (en) Computer security systems and methods using asynchronous introspection exceptions
US10073986B2 (en) Regulating access to and protecting portions of applications of virtual machines
US10447728B1 (en) Technique for protecting guest processes using a layered virtualization architecture
US10083294B2 (en) Systems and methods for detecting return-oriented programming (ROP) exploits
KR102189296B1 (ko) 가상 머신 보안 어플리케이션을 위한 이벤트 필터링
US8380987B2 (en) Protection agents and privilege modes
US7765374B2 (en) Protecting operating-system resources
US7797702B1 (en) Preventing execution of remotely injected threads
US9652348B2 (en) Debugging in a data processing apparatus
EP3217306A1 (en) Hypervisor-based interception of memory accesses
KR102161770B1 (ko) 메모리 정보 획득 시스템 및 방법
KR102494167B1 (ko) 메모리의 커널영역을 보호하기 위한 전자장치 및 방법
KR102161777B1 (ko) 신뢰 실행 환경 시스템
CN114282206A (zh) 栈溢出检测方法、装置、嵌入式系统和存储介质
US20180226136A1 (en) System management mode test operations
Bousquet et al. Mandatory access control for the android dalvik virtual machine
US10019576B1 (en) Security control system for protection of multi-core processors
CN111641663B (zh) 一种安全检测方法和装置
CN114282275A (zh) 模式切换方法、装置、嵌入式系统和存储介质
WO2013074071A1 (en) Regulating access to and protecting portions of applications of virtual machines
KR20100034852A (ko) 불법적인 메모리 접근을 진단하는 악성 프로그램 탐지기 및그 제어방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant