KR102355556B1 - 호출 기반의 악성 진단 장치 및 호출 기반의 악성 진단 방법 - Google Patents

호출 기반의 악성 진단 장치 및 호출 기반의 악성 진단 방법 Download PDF

Info

Publication number
KR102355556B1
KR102355556B1 KR1020190176869A KR20190176869A KR102355556B1 KR 102355556 B1 KR102355556 B1 KR 102355556B1 KR 1020190176869 A KR1020190176869 A KR 1020190176869A KR 20190176869 A KR20190176869 A KR 20190176869A KR 102355556 B1 KR102355556 B1 KR 102355556B1
Authority
KR
South Korea
Prior art keywords
call
rpc
specific
parent
malicious
Prior art date
Application number
KR1020190176869A
Other languages
English (en)
Other versions
KR20210084003A (ko
Inventor
김한주
최바울
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020190176869A priority Critical patent/KR102355556B1/ko
Publication of KR20210084003A publication Critical patent/KR20210084003A/ko
Application granted granted Critical
Publication of KR102355556B1 publication Critical patent/KR102355556B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은, 윈도우 시스템 환경에서 RPC 호출 기반의 프로세스 관계를 지속적으로 정확하게 추적할 수 있고 정확한 프로세스 관계를 통해 악성 진단/탐지의 신뢰도를 향상시킬 수 있는 새로운 기술, 즉 호출 기반의 악성 진단 장치 및 호출 기반의 악성 진단 방법을 실현하기 위한 것이다.

Description

호출 기반의 악성 진단 장치 및 호출 기반의 악성 진단 방법{MALICIOUS DIAGNOSIS DEVICE AND MALICIOUS DIAGNOSIS METHOD USING PROCEDURE CALL}
본 발명은 악성 진단/탐지 기술에 관한 것으로, 더욱 상세하게는 윈도우 시스템 환경에서 정확한 프로세스 관계를 통해 악성 진단/탐지의 신뢰도를 향상시킬 수 있는 기술에 관한 것이다.
일반적으로 임의의 프로세스에 의해 새로운 프로세스가 생성되면, 프로세스를 생성한 프로세스는 부모 프로세스가 되고 생성된 프로세스는 자식 프로세스가 되어 부모-자식의 직접 관계가 형성된다.
그리고, 이처럼 생성된 부모-자식 관계 정보는 다양한 기술에서 활용될 수 다.
하지만, 윈도우 시스템에서 제공하는 COM, Win32 서비스 WMI 처럼 RPC(Remote Procedure Call)을 이용해서 프로세스를 생성할 경우, 생성된 프로세스가 윈도우의 서브시스템(예: svchost.exe, services.exe 등)의 하위 프로세스로 생성된다.
따라서, COM, Win32 서비스, WMI 처럼 RPC(Remote Procedure Call)을 이용해서 프로세스를 생성하는 경우 형성된 부모-자식 관계에서 부모 프로세스는, 실제로 RPC을 요청하고 새로운 프로세스를 생성한 주체로서의 프로세스가 아닌, 서브시스템 프로세스이므로, 이 경우 프로세스 관계는 부정확할 수 밖에 없어 정확한 부모 프로세스를 추적할 수 없다.
이로 인해, 만약에 전술처럼 서브시스템에 의해 생성된 자식 프로세스가 의심 행위를 한다면, 프로세스 관계 즉 부모-자식 관계에 의해 확인되는 부모 프로세스는 서브시스템 프로세스 즉 운영체제의 프로세스이므로, 악성 여부를 판단하기가 매우 까다로워지는 문제가 있다.
이에, 악의적 행위로 의심되는 행위를 수행하는 프로세스 및 이와 관련된 프로세스를 신뢰도 높게 탐지해내기 위해서는, 윈도우 시스템 환경에서 RPC 호출 기반의 프로세스 관계를 정확하게 형성/관리할 수 있는 방안(기술)이 필수적으로 요구된다 하겠다.
본 발명에서는, 윈도우 시스템 환경에서 RPC 호출 기반의 프로세스 관계를 지속적으로 정확하게 추적할 수 있는 방안(기술)을 제안하고자 한다.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은, 윈도우 시스템 환경에서 RPC 호출 기반의 프로세스 관계를 지속적으로 정확하게 추적할 수 있고 정확한 프로세스 관계를 통해 악성 진단/탐지의 신뢰도를 향상시킬 수 있는 새로운 기술, 즉 호출 기반의 악성 진단 장치 및 호출 기반의 악성 진단 방법을 제공하는데 있다.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 호출 기반의 악성 진단 방법은, 특정 호출에 의해 동작하는 프로세스가 기 정의된 특정 행위를 수행하는지 감시하는 감시단계; 상기 특정 행위 수행이 확인되면, 상기 특정 호출을 요청한 주체 프로세스를 식별하는 식별단계; 상기 특정 행위 수행에 따라 생성된 대상물을, 상기 프로세스가 아닌 상기 식별한 주체 프로세스와 매핑하여 부모-자식 관계로 설정하는 관계설정단계를 포함한다.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 호출 기반의 악성 진단 장치는, 특정 호출에 의해 동작하는 프로세스가 기 정의된 특정 행위를 수행하는지 감시하는 감시부; 상기 특정 행위 수행이 확인되면, 상기 특정 호출을 요청한 주체 프로세스를 식별하는 식별부; 상기 특정 행위 수행에 따라 생성된 대상물을, 상기 프로세스가 아닌 상기 식별한 주체 프로세스와 매핑하여 부모-자식 관계로 설정하는 관계설정부를 포함한다.
본 발명의 실시예들에 따르면, RPC를 실제 요청한 주체 프로세스를 부모로 서브시스템의 하위로 생성되는 (생성물)프로세스를 자식으로 하는 간접 관계를 형성하는 기술을 구현하여, 윈도우 시스템 환경에서 RPC 호출 기반의 프로세스 관계를 지속적으로 정확하게 추적할 수 있도록 한다.
이로 인해, 본 발명에 따르면, 윈도우 시스템 환경에서 RPC 호출 기반의 프로세스 관계를 지속적으로 정확하게 추적함으로써, 정확한 프로세스 관계를 통해 악성 진단/탐지의 신뢰도를 현저히 향상시킬 수 있는 효과를 도출할 수 있다.
도 1은 본 발명의 일 실시예에 따른 호출 기반의 악성 진단 장치의 구성을 보여주는 구성도이다.
도 2는 본 발명의 일 실시예에 따라 RPC를 요청한 주체 프로세스 식별의 개념을 보여주는 예시도이다.
도 3은 본 발명의 일 실시예에 따른 호출 기반의 악성 진단 방법이 동작하는 실시예를 보여주는 흐름 예시도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부된 도면을 참조하여 본 발명에 대하여 설명한다.
본 발명은, 윈도우 시스템 환경에서 프로세스 관계를 활용하는 악성 진단/탐지 기술에 관한 것이다.
일반적으로 임의의 프로세스에 의해 새로운 프로세스가 생성되면, 프로세스를 생성한 프로세스는 부모 프로세스가 되고 생성된 프로세스는 자식 프로세스가 되어 부모-자식의 직접 관계가 형성된다.
그리고, 이처럼 생성된 부모-자식 관계 정보는 다양한 기술에서 활용될 수 다.
하지만, 윈도우 시스템에서 제공하는 COM, Win32 서비스, WMI처럼 RPC(Remote Procedure Call)을 이용해서 프로세스를 생성할 경우, 생성된 프로세스가 윈도우의 서브시스템(예: svchost.exe, services.exe 등)의 하위 프로세스로 생성된다.
RPC를 이용해서 프로세스를 생성하는 대표적인 예를 살펴보면, 먼저 COM(Local Server)을 이용하는 것이다.
예를 들어, 윈도우에서 기본 제공하는 쉘인 powershell.exe가 ComObject를 이용해서 InternetExplorer(iexplore.exe)을 실행할 경우, powershell.exe의 하위에 iexplore.exe 가 생성되지 않고 COM 요청을 대신 처리해주는 윈도우의 서브시스템 구성 요소인 svchost.exe(DComLaunch)의 하위로 iexplore.exe가 생성된다.
즉, 부모-자식 관계로서 Powershell.exe-iexplore.exe 간 프로세스 관계가 형성되지 않는 것이 아니라, svchost.exe-iexplore.exe 간 프로세스 관계가 형성되는 것이다.
Win32 서비스 관련하여 설명하면, Win32 서비스 명령(sc.exe)을 이용해서 Windows Installer 서비스(msiexec.exe)를 실행할 경우, sc.exe의 하위가 아닌 윈도우의 서브시스템 구성 요소인 services.exe의 하위로 msiexec.exe가 생성된다.
또한, WMI의 콘솔 명령(wmic.exe)을 이용해서 메모장(notepad.exe)을 실행하면, 역시 wmic.exe가 아닌 WMI Provider Host(WmiPrvSE.exe)의 하위로 notepad.exe가 생성된다.
이에, COM, Win32 서비스, WMI처럼 RPC를 이용해서 프로세스를 생성하는 경우 형성된 부모-자식 관계에서 부모 프로세스는, 실제로 RPC을 요청하고 새로운 프로세스를 생성한 주체로서의 프로세스가 아닌, 서브시스템 프로세스이므로, 이 경우 프로세스 관계는 부정확할 수 밖에 없어 정확한 부모 프로세스를 추적할 수 없다.
이로 인해, 만약에 전술처럼 서브시스템에 의해 생성된 자식 프로세스가 의심 행위를 한다면, 프로세스 관계 즉 부모-자식 관계에 의해 확인되는 부모 프로세스는 서브시스템 프로세스 즉 운영체제의 프로세스이므로, 악성 여부를 판단하기가 매우 까다로워지는 문제가 있다.
이에, 악의적 행위로 의심되는 행위를 수행하는 프로세스 및 이와 관련된 프로세스를 신뢰도 높게 탐지해내기 위해서는, 윈도우 시스템 환경에서 RPC 호출 기반의 프로세스 관계를 정확하게 형성/관리할 수 있는 방안(기술)이 필수적으로 요구된다 하겠다.
물론, RPC를 이용해서 프로세스를 생성하는 경우 형성된 부모-자식 관계를 정확히 식별하기 위해, RPC를 요청하는 모든 프로세스의 RPC 관련 함수를 후킹(Hooking)하는 기술도 가능할 것이다.
하지만, 사용자의 실제 환경에서 동작하는 모든 프로세스를 후킹하여 감시하는 것은, 매우 위험해서 시스템의 안정성을 크게 해친다.
또한, 후킹이 설정된 영역은 악성 코드도 동일하게 접근할 수 있는 프로세스의 유저 영역이므로, 감시를 위한 후킹을 무력화하거나 우회할 수 있는 한계점이 있다.
본 발명에서는, 윈도우 시스템 환경에서 RPC 호출 기반의 프로세스 관계를 지속적으로 정확하게 추적할 수 있으면서 시스템 안정성을 보장할 수 있는 방안(기술)을 제안하고자 한다.
보다 구체적으로, 본 발명에서는 제안하는 방안을 실현할 수 있는 호출 기반의 악성 진단 장치(100)를 구현해내고자 한다.
도 1은, 본 발명의 일 실시예에 따른 호출 기반의 악성 진단 장치(100)의 구성을 보여주고 있다.
도 1에 도시된 바와 같이, 본 발명에 따른 호출 기반의 악성 진단 장치(100)는, 독립된 사용자 시스템(200)에 탑재되는 것이 바람직하다.
이러한 본 발명의 호출 기반의 악성 진단 장치(100)는, 사용자 시스템(200)에 설치되는 어플리케이션, 또는 프로그램, 또는 엔진 형태일 수 있다.
도 1에서는 설명의 편의를 위해, 프로세스의 유저 영역 및 커널 영역을 구분하였으며, 본 발명의 호출 기반의 악성 진단 장치(100)는 커널 영역에서 동작되는 것으로 한다.
도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 호출 기반의 악성 진단 장치(100)는, 감시부(110), 식별부(120), 관계설정부(130)를 포함하여 구성될 수 있다.
더 나아가, 호출 기반의 악성 진단 장치(100)는, 악성탐지부(140)를 더 포함하여 구성될 수도 있다.
결국, 도 1에 도시된 본 발명의 호출 기반의 악성 진단 장치(100)는, 전술한 구성을 기반으로 본 발명에서 제안하는 방안, 즉 윈도우 시스템 환경에서 RPC 호출 기반의 프로세스 관계를 지속적으로 정확하게 추적할 수 있으면서 시스템 안정성을 보장할 수 있는 새로운 방식의 기술을 실현할 수 있다.
이하에서는, 본 발명에서 제안하는 기술을 실현하기 위한 호출 기반의 악성 진단 장치(100) 내 각 구성에 대해 보다 구체적으로 설명하기로 한다
감시부(110)는, 특정 호출에 의해 동작하는 프로세스가 기 정의된 특정 행위를 수행하는지 감시하는 기능을 담당한다.
여기서, 특정 호출은, RPC(Remote Procedure Call)을 의미한다.
즉, 감시부(110)는, RPC에 의해 동작하는 프로세스가 기 정의된 특정 행위를 수행하는지 감시할 수 있다.
이때, 본 발명에서는, 특정 호출로서 RPC를 언급하고 있으나 이는 일 예이며, 후술의 부모-자식 관계 설정(형성) 시 호출에 의해 동작하는 프로세스가 실제 호출을 요청한 주체 프로세스 대신 부모 프로세스가 되는 상황을 야기시키는 형태의 호출이라면, 본 발명에서의 특정 호출로 볼 수 있을 것이다.
한편, 전술의 기 정의된 특정 행위란, 유저 영역의 서브시스템 프로세스가 수행하는 프로세스 생성, 스레드 생성, 모듈의 로드, 파일 또는 레지스트리 I/O를 포함할 수 있다.
즉, 감시부(110)는, RPC에 의해 동작하는 프로세스 즉 유저 영역의 서브시스템 프로세스(20)가 기 정의된 특정 행위 즉 프로세스 생성, 스레드 생성, 모듈의 로드, 파일 또는 레지스트리 I/O 등을 수행하는지 여부를 지속적으로 감시하는 것이다.
이하에서는, 설명의 편의 상, 유저 영역의 프로세스(10, 예: powershell.exe)가 RPC(예: ComObject)를 요청(이용)하여 InternetExplorer(iexplore.exe)을 실행한다고 가정하겠다.
이 경우, RPC(예: ComObject)에 의해 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 동작되며, 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 수행하는 제반 동작에 따라 전술의 특정 행위(예: 프로세스 생성, 스레드 생성, 모듈의 로드, 파일 또는 레지스트리 I/O 등)가 발생할 것이다.
이에, 감시부(110)는, 전술의 지속적인 감시를 통해, RPC(예: ComObject)에 의해 동작하는 유저 영역의 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 특정 행위(예: 프로세스 생성, 스레드 생성, 모듈의 로드, 파일 또는 레지스트리 I/O 등)를 수행하는 것을 감시해낼 수 있다.
식별부(120)는, 상기 특정 행위 수행이 확인되면, 상기 특정 호출을 요청한 주체 프로세스를 식별하는 기능을 담당한다.
즉, 식별부(120)는, 감시부(110)의 감시 결과, RPC(예: ComObject)에 의해 동작하는 유저 영역의 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 특정 행위(예: 프로세스 생성, 스레드 생성, 모듈의 로드, 파일 또는 레지스트리 I/O 등)를 수행하는 것이 확인되면, 금번 RPC(예: ComObject)을 요청한 주체 프로세스를 식별하는 것이다.
이하에서는, RPC(예: ComObject)을 요청한 주체 프로세스를 식별하는 구성에 대하여 구체적으로 설명하겠다.
본 발명에서는, RPC(예: ComObject)을 요청한 주체 프로세스를 식별하기 위해, 커널 영역에서 RPC 연결에 사용되는 내부정보를 활용하고자 한다.
구체적으로 설명하면, 식별부(120)는, 상기 특정 행위 수행이 확인되면, 커널 영역에서 상기 프로세스가 실행되는 시점의 프로세스 데이터 및 RPC 데이터를 근거로 상기 특정 호출을 요청한 주체 프로세스를 식별할 수 있다.
전술의 예시를 언급하여 설명하면 식별부(120)는, 감시부(110)의 감시 결과, RPC(예: ComObject)에 의해 동작하는 유저 영역의 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 특정 행위(예: 프로세스 생성, 스레드 생성, 모듈의 로드, 파일 또는 레지스트리 I/O 등)를 수행하는 것이 확인되면, 커널 영역에서 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 실행되는 시점의 프로세스 데이터 및 RPC 데이터를 근거로 RPC(예: ComObject)을 요청한 주체 프로세스를 식별하는 것이다.
도 2는, 본 발명에서 RPC를 요청한 주체 프로세스 식별 시 RPC 연결에 사용되는 내부정보를 이용하는 개념을 보여주고 있다.
즉, 식별부(120)에 의한 식별은, 커널 영역에서 프로세스 데이터 및 RPC 데이터 즉 스레드 데이터 내의 RPC 데이터에 근거(활용)하여, 수행된다.
보다 구체적인 일 실시예를 설명하면, 식별부(120)는, 주체 프로세스를 식별하기에 앞서, 감시부(110)의 감시 결과, RPC(예: ComObject)에 의해 동작하는 유저 영역의 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 특정 행위(예: 프로세스 생성, 스레드 생성, 모듈의 로드, 파일 또는 레지스트리 I/O 등)를 수행하는 것이 확인되면, 커널 영역에서 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 실행되는 시점의 프로세스 데이터 및 RPC 데이터 존재 여부를 확인하여, 금번 특정 행위 수행이 부모-자식 관계 설정이 요구되는 대상인지 여부를 결정할 수 있다.
즉, 본 발명에서는, 주체 프로세스를 식별하기에 앞서, 금번 감시부(110)의 감시 결과에 따른 특정 행위 수행이 부모-자식 관계 설정이 요구되는 대상인지 여부를 결정함으로써, 후술의 주체 프로세스 식별이 불필요한 케이스(case)를 필터링하는 실시예를 구현할 수 있다.
도 2에 도시된 바와 같이, 부모-자식 관계 설정이 요구되는 대상인지 여부를 결정하는 과정(예: RPC 검사) 역시, 커널 영역에서 프로세스 데이터 및 RPC 데이터 즉 스레드 데이터 내의 RPC 데이터에 근거(활용)하여, 수행된다.
예를 들면, 식별부(120)는, 커널 영역에서 금번 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 실행되는 시점의 프로세스 데이터 및 RPC 데이터 존재 여부를 확인한다.
이에 구체적으로, 식별부(120)는, 금번 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 실행되는 시점의 RPC 데이터 내 RPC로 연결(Binding)되어 있는 RPC 요청 클라이언트를 확인하고, 금번 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 실행되는 시점의 프로세스 데이터에서 전술이 확인한 RPC 요청 클라이언트로서의 프로세스가 존재하는지 확인할 수 있다.
이에, 식별부(120)는, RPC 요청 클라이언트로서의 프로세스가 존재하면, 금번 특정 행위 수행이 부모-자식 관계 설정이 요구되는 대상인 것으로 결정할 수 있다.
일 실시예에 따르면, 식별부(120)는, 금번 특정 행위 수행이 부모-자식 관계 설정이 요구되는 대상인 것으로 결정되는 경우에만, 구체적으로 후술할 주체 프로세스 식별을 수행할 수 있다.
물론, 다른 실시예에 따르면, 식별부(120)는, 금번 특정 행위 수행이 부모-자식 관계 설정이 요구되는 대상인지 여부를 결정하는 과정 없이, 구체적으로 후술할 주체 프로세스 식별을 수행할 수도 있다.
다시 주체 프로세스 식별을 설명하면, 식별부(120)는, 커널 영역에서 상기 프로세스가 실행되는 시점의 프로세스 데이터 및 RPC 데이터를 근거로, RPC 데이터 내 RPC로 연결(Binding)되어 있는 RPC 요청 클라이언트로 확인되는 프로세스를 주체 프로세스로서 식별할 수 있다.
전술의 예시를 언급하여 설명하면 식별부(120)는, 커널 영역에서 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 실행되는 시점의 프로세스 데이터 및 RPC 데이터를 근거로, RPC 데이터 내 RPC로 연결(Binding)되어 있는 RPC 요청 클라이언트를 확인하고 프로세스 데이터에서 전술이 확인한 RPC 요청 클라이언트로서의 프로세스를 확인한다.
이에, 식별부(120)는, RPC 요청 클라이언트로서 확인한 프로세스(예: 10)을 금번 RPC(예: ComObject)을 요청한 주체 프로세스로서 식별할 수 있다.
이와 같이, 본 발명에서는, 커널 영역에서 RPC 연결에 사용되는 내부정보를 활용하여, RPC에 의한 서브시스템(프로세스)이 실행되는 시점에 RPC로 연결(Binding) 되어 있는 RPC 요청 클라이언트를 주체 프로세스로서 식별하는 방식을 구현하고 있다.
관계설정부(130)는, 상기 특정 행위 수행에 따라 생성된 대상물을, 상기 프로세스가 아닌 상기 식별한 주체 프로세스와 매핑하여 부모-자식 관계로 설정하는 기능을 담당한다.
즉, 전술의 예시를 언급하여 설명하면, 관계설정부(130)는, 금번 특정 행위 수행에 따라 생성된 대상물(예: iexplore.exe)을, 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 아닌 식별자(120)에서 식별한 주체 프로세스(10, 예: powershell.exe)와 매핑하여 부모-자식 관계를 설정하는 것이다.
이에, 본 발명에서는, 커널 영역에서 서브시스템(프로세스)이 실행되는 시점에 RPC로 연결(Binding) 되어 있는 RPC 요청 클라이언트를 주체 프로세스로서 식별하는 기술 구현을 기반으로, RPC를 실제 요청한 주체 프로세스를 부모로 서브시스템의 하위로 생성되는 (생성물)프로세스를 자식으로 하는 간접 관계를 형성함으로써, 실제적인 프로세스 관계(부모-자식)를 지속적으로 정확하게 추적할 수 있도록 한다.
악성탐지부(140)는, 특정 프로세스에서 악의적 행위 발생이 감지되면, 기 설정된 부모-자식 관계 정보를 근거로 상기 특정 프로세스를 포함한 부모 프로세스 및 상기 특정 프로세스를 악성 프로세스군으로 탐지하는 기능을 담당한다.
본 발명에서는, 전술과 같이 RPC를 실제 요청한 주체 프로세스를 부모로 서브시스템의 하위로 생성되는 (생성물)프로세스를 자식으로 하는 간접 관계를 형성하여 얻어지는 부모-자식 관계 정보를, 악의적인 행위 탐지 시스템에 활용하고자 한다.
이와 같은 활용의 일 실시예를 설명하면, 악성탐지부(140)는, 특정 프로세스에서 악의적 행위 발생이 감지되는지 모니터링한다.
이때, 악성탐지부(140)에서 악의적 행위 발생을 감지하는 방식은, 시그니처 기반 감지 또는 행위 기반 감지 등 기존 감지 방식을 다양하게 채택할 수 있으며, 감지 방식에 제한을 두지 않다.
악성탐지부(140)는, 모니터링 결과 특정 프로세스에서 악의적 행위 발생이 감지되면, 기 설정된 부모-자식 관계 정보 즉 본 발명의 간접 관계 형성에 따른 부모-자식 관계 정보를 근거로, 금번 악의적 행위를 발생시킨 특정 프로세스 뿐 아니라 금번 악의적 행위를 발생시킨 특정 프로세스를 자식으로 하는 부모 프로세스까지 모두 악성 프로세스군으로 탐지해낼 수 있다.
이렇게 되면, 본 발명에서는, RPC를 실제 요청한 주체 프로세스를 부모로 서브시스템의 하위로 생성되는 (생성물)프로세스를 자식으로 하는 간접 관계를 형성하여 얻은 부모-자식 관계 정보를, 악의적인 행위 탐지 시스템에 활용함으로써, 서브시스템에 의해 생성된 자식 프로세스가 악성으로 의심되는 경우 해당 자식 프로세스를 생성한 실제 주체 프로세스를 함께 의심하여 탐지하여 악성 여부를 판단할 수 있기 때문에, 프로세스 관계를 통해 악성 진단/탐지의 신뢰도를 현저히 향상시킬 수 있다.
이상, 설명한 바와 같이, 본 발명의 호출 기반의 악성 진단 장치(100)는, RPC를 실제 요청한 주체 프로세스를 부모로 서브시스템의 하위로 생성되는 (생성물)프로세스를 자식으로 하는 간접 관계를 형성하는 기술을 구현하여, 윈도우 시스템 환경에서 RPC 호출 기반의 프로세스 관계를 지속적으로 정확하게 추적할 수 있도록 한다.
이에, 본 발명에 따르면, 윈도우 시스템 환경에서 RPC 호출 기반의 프로세스 관계를 지속적으로 정확하게 추적함으로써, 정확한 프로세스 관계를 통해 악성 진단/탐지의 신뢰도를 현저히 향상시킬 수 있는 효과를 기대할 수 있다.
특히, 본 발명에 따르면, 유저 영역에서 후킹 기술을 사용하지 않고도, RPC 호출 기반의 프로세스 관계를 지속적으로 정확하게 추적할 수 있으면서 시스템 안정성을 보장할 수 있는 장점까지 갖는다.
이하에서는, 도 3을 참조하여, 본 발명의 호출 기반의 악성 진단 방법이 동작하는 구체적인 일 실시예를 설명하겠다.
설명의 편의 상, 본 발명의 호출 기반의 악성 진단 방법이 수행되는 동작 주체로서 호출 기반의 악성 진단 장치(100)을 언급하여 설명하며, 앞서 설명한 도 1을 참조하여 설명하겠다.
본 발명의 호출 기반의 악성 진단 방법에 따르면, 호출 기반의 악성 진단 장치(100)는, RPC에 의해 동작하는 프로세스가 기 정의된 특정 행위를 수행하는지 감시한다(S10).
즉, 호출 기반의 악성 진단 장치(100)는, RPC에 의해 동작하는 프로세스 즉 유저 영역의 서브시스템 프로세스(20)가 기 정의된 특정 행위 즉 프로세스 생성, 스레드 생성, 모듈의 로드, 파일 또는 레지스트리 I/O 등을 수행하는지 여부를 지속적으로 감시하는 것이다.
이하에서는, 설명의 편의 상, 유저 영역의 프로세스(10, 예: powershell.exe)가 RPC(예: ComObject)를 요청(이용)하여 InternetExplorer(iexplore.exe)을 실행한다고 가정하겠다.
이 경우, RPC(예: ComObject)에 의해 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 동작되며, 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 수행하는 제반 동작에 따라 전술의 특정 행위(예: 프로세스 생성, 스레드 생성, 모듈의 로드, 파일 또는 레지스트리 I/O 등)가 발생할 것이다.
이에, 본 발명의 호출 기반의 악성 진단 방법에 따르면, 호출 기반의 악성 진단 장치(100)는, 전술의 S10단계에 따른 지속적인 감시를 통해, RPC(예: ComObject)에 의해 동작하는 유저 영역의 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 특정 행위(예: 프로세스 생성, 스레드 생성, 모듈의 로드, 파일 또는 레지스트리 I/O 등)를 수행하는 것을 감시/확인할 수 있다.
본 발명의 호출 기반의 악성 진단 방법에 따르면, 호출 기반의 악성 진단 장치(100)는, RPC에 의해 동작하는 프로세스 즉 유저 영역의 서브시스템 프로세스(20)가 특정 행위를 수행하는 것이 확인되면, 해당 시점의 프로세스 데이터 및 RPC 데이터 즉 스레드 데이터 내의 RPC 데이터를 확인한다(S20).
전술의 예시를 언급하여 계속 설명하면, 호출 기반의 악성 진단 장치(100)는, RPC(예: ComObject)에 의해 동작하는 유저 영역의 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 특정 행위(예: 프로세스 생성, 스레드 생성, 모듈의 로드, 파일 또는 레지스트리 I/O 등)를 수행하는 것이 확인되면, 커널 영역에서 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 실행되는 시점의 프로세스 데이터 및 RPC 데이터를 확인하는 것이다.
그리고, 본 발명의 호출 기반의 악성 진단 방법에 따르면, 호출 기반의 악성 진단 장치(100)는, 금번 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 실행되는 시점의 RPC 데이터 내 RPC로 연결(Binding)되어 있는 RPC 요청 클라이언트를 확인하고, 금번 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 실행되는 시점의 프로세스 데이터에서 전술이 확인한 RPC 요청 클라이언트로서의 프로세스가 존재하는지 확인할 수 있다(S30).
이에, 본 발명의 호출 기반의 악성 진단 방법에 따르면, 호출 기반의 악성 진단 장치(100)는, RPC 요청 클라이언트로서의 프로세스가 존재하면(S30 Yes), 금번 특정 행위 수행이 부모-자식 관계 설정이 요구되는 대상인 것으로 결정할 수 있다.
본 발명의 호출 기반의 악성 진단 방법에 따르면, 호출 기반의 악성 진단 장치(100)는, 금번 특정 행위 수행이 부모-자식 관계 설정이 요구되는 대상인 것으로 결정하면(S30 Yes), 커널 영역에서 상기 프로세스가 실행되는 시점의 프로세스 데이터 및 RPC 데이터를 근거로, RPC 데이터 내 RPC로 연결(Binding)되어 있는 RPC 요청 클라이언트로 확인되는 프로세스를 주체 프로세스로서 식별할 수 있다(S40).
전술의 예시를 언급하여 설명하면, 호출 기반의 악성 진단 장치(100)는, 커널 영역에서 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 실행되는 시점의 프로세스 데이터 및 RPC 데이터를 근거로, RPC 데이터 내 RPC로 연결(Binding)되어 있는 RPC 요청 클라이언트를 확인하고 프로세스 데이터에서 전술이 확인한 RPC 요청 클라이언트로서의 프로세스를 확인한다.
이에, 호출 기반의 악성 진단 장치(100)는, RPC 요청 클라이언트로서 확인한 프로세스(예: 10)을 금번 RPC(예: ComObject)을 요청한 주체 프로세스로서 식별할 수 있다(S40).
그리고, 본 발명의 호출 기반의 악성 진단 방법에 따르면, 호출 기반의 악성 진단 장치(100)는, 금번 특정 행위 수행에 따라 생성된 대상물을, 금번 식별한 주체 프로세스와 매핑하여 부모-자식 관계로 설정한다(S50).
즉, 전술의 예시를 언급하여 설명하면, 호출 기반의 악성 진단 장치(100)는, 금번 특정 행위 수행에 따라 생성된 대상물(예: iexplore.exe)을, 서브시스템 프로세스(20, 예: svchost.exe(DComLaunch))가 아닌 식별자(120)에서 식별한 주체 프로세스(10, 예: powershell.exe)와 매핑하여 부모-자식 관계를 설정하는 것이다(S50).
이에, 본 발명에서는, 커널 영역에서 서브시스템(프로세스)이 실행되는 시점에 RPC로 연결(Binding) 되어 있는 RPC 요청 클라이언트를 주체 프로세스로서 식별하는 기술 구현을 기반으로, RPC를 실제 요청한 주체 프로세스를 부모로 서브시스템의 하위로 생성되는 (생성물)프로세스를 자식으로 하는 간접 관계를 형성함으로써, 실제적인 프로세스 관계(부모-자식)를 지속적으로 정확하게 추적할 수 있도록 한다.
더 나아가, 본 발명의 호출 기반의 악성 진단 방법에 따르면, 호출 기반의 악성 진단 장치(100)는, 특정 프로세스에서 악의적 행위 발생이 감지되는지 모니터링한다.
이때, 악의적 행위 발생을 감지하는 방식은, 시그니처 기반 감지 또는 행위 기반 감지 등 기존 감지 방식을 다양하게 채택할 수 있으며, 감지 방식에 제한을 두지 않다.
본 발명의 호출 기반의 악성 진단 방법에 따르면, 호출 기반의 악성 진단 장치(100)는, 모니터링 결과 특정 프로세스에서 악의적 행위 발생이 감지되면, 기 설정된 부모-자식 관계 정보 즉 본 발명의 간접 관계 형성에 따른 부모-자식 관계 정보를 근거로, 금번 악의적 행위를 발생시킨 특정 프로세스 뿐 아니라 금번 악의적 행위를 발생시킨 특정 프로세스를 자식으로 하는 부모 프로세스까지 모두 악성 프로세스군으로 탐지해낼 수 있다(S60).
이상, 설명한 바와 같이, 본 발명의 호출 기반의 악성 진단 방법은, RPC를 실제 요청한 주체 프로세스를 부모로 서브시스템의 하위로 생성되는 (생성물)프로세스를 자식으로 하는 간접 관계를 형성하는 기술을 구현하여, 윈도우 시스템 환경에서 RPC 호출 기반의 프로세스 관계를 지속적으로 정확하게 추적할 수 있도록 한다.
이에, 본 발명에 따르면, 윈도우 시스템 환경에서 RPC 호출 기반의 프로세스 관계를 지속적으로 정확하게 추적함으로써, 정확한 프로세스 관계를 통해 악성 진단/탐지의 신뢰도를 현저히 향상시킬 수 있는 효과를 기대할 수 있다.
본 발명의 실시예에 따르는 호출 기반의 악성 진단성방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
100 : 호출 기반의 악성 진단 장치
110 : 감시부 120 : 식별부
130 : 관계설정부 140 : 악성탐지부

Claims (12)

  1. 악성 진단 장치의 호출 기반의 악성 진단 방법에 있어서,
    특정 호출에 의해 동작하는 프로세스가 기 정의된 특정 행위를 수행하는지 감시하는 감시단계;
    상기 특정 행위 수행이 확인되면, 상기 특정 행위 수행이 부모-자식 관계 설정이 요구되는 대상인지 여부를 결정하는 단계;
    상기 특정 행위 수행이 확인되고 상기 특정 행위 수행이 부모-자식 관계 설정이 요구되는 대상인 것으로 결정되는 경우에, 상기 특정 호출을 요청한 주체 프로세스를 식별하는 식별단계;
    상기 특정 행위 수행에 따라 생성된 대상물을, 상기 프로세스가 아닌 상기 식별한 주체 프로세스와 매핑하여 부모-자식 관계로 설정하는 관계설정단계를 포함하며;
    상기 특정 호출은,
    부모-자식 관계 형성 시 호출에 의해 동작하는 프로세스가 부모 프로세스가 되는 형태의 호출인 것을 특징으로 하는 호출 기반의 악성 진단 방법.
  2. 제 1 항에 있어서,
    상기 특정 호출은 RPC(Remote Procedure Call)이며,
    상기 특정 행위는 유저 영역의 서브시스템 프로세스가 수행하는 프로세스 생성, 스레드 생성, 모듈의 로드, 파일 또는 레지스트리 I/O를 포함하는 것을 특징으로 하는 호출 기반의 악성 진단 방법.
  3. 제 1 항에 있어서,
    상기 특정 행위 수행이 확인되면, 프로세스 데이터 및 RPC 데이터 존재 여부를 확인하여, 상기 특정 행위 수행이 상기 부모-자식 관계 설정이 요구되는 대상인지 여부를 결정하는 단계를 더 포함하는 것을 호출 기반의 악성 진단 방법.
  4. 제 1 항에 있어서,
    상기 식별단계는,
    상기 특정 행위 수행이 확인되면, 커널 영역에서 상기 프로세스가 실행되는 시점의 프로세스 데이터 및 RPC 데이터를 근거로 상기 특정 호출을 요청한 주체 프로세스를 식별하는 것을 호출 기반의 악성 진단 방법.
  5. 제 4 항에 있어서,
    상기 식별단계는,
    상기 프로세스 데이터 및 RPC 데이터를 근거로, RPC 데이터 내 RPC로 연결(Binding)되어 있는 RPC 요청 클라이언트로 확인되는 프로세스를 상기 주체 프로세스로서 식별하는 것을 호출 기반의 악성 진단 방법.
  6. 제 1 항에 있어서,
    특정 프로세스에서 악의적 행위 발생이 감지되면, 기 설정된 부모-자식 관계 정보를 근거로 상기 특정 프로세스를 포함한 부모 프로세스 및 상기 특정 프로세스를 악성 프로세스군으로 탐지하는 단계를 더 포함하는 것을 호출 기반의 악성 진단 방법.
  7. 특정 호출에 의해 동작하는 프로세스가 기 정의된 특정 행위를 수행하는지 감시하는 감시부;
    상기 특정 행위 수행이 확인되면, 상기 특정 행위 수행이 부모-자식 관계 설정이 요구되는 대상인지 여부를 결정하고, 상기 특정 행위 수행이 부모-자식 관계 설정이 요구되는 대상인 것으로 결정되는 경우에 상기 특정 호출을 요청한 주체 프로세스를 식별하는 식별부;
    상기 특정 행위 수행에 따라 생성된 대상물을, 상기 프로세스가 아닌 상기 식별한 주체 프로세스와 매핑하여 부모-자식 관계로 설정하는 관계설정부를 포함하며;
    상기 특정 호출은,
    부모-자식 관계 형성 시 호출에 의해 동작하는 프로세스가 부모 프로세스가 되는 형태의 호출인 것을 특징으로 하는 호출 기반의 악성 진단 장치.
  8. 제 7 항에 있어서,
    상기 특정 호출은 RPC(Remote Procedure Call)이며,
    상기 특정 행위는 유저 영역의 서브시스템 프로세스가 수행하는 프로세스 생성, 스레드 생성, 모듈의 로드, 파일 또는 레지스트리 I/O를 포함하는 것을 특징으로 하는 호출 기반의 악성 진단 장치.
  9. 제 7 항에 있어서,
    상기 식별부는,
    상기 특정 행위 수행이 확인되면, 커널 영역에서 상기 프로세스가 실행되는 시점의 프로세스 데이터 및 RPC 데이터를 근거로 상기 특정 호출을 요청한 주체 프로세스를 식별하는 것을 호출 기반의 악성 진단 장치.
  10. 제 9 항에 있어서,
    상기 식별부는,
    상기 프로세스 데이터 및 RPC 데이터를 근거로, RPC 데이터 내 RPC로 연결(Binding)되어 있는 RPC 요청 클라이언트로 확인되는 프로세스를 상기 주체 프로세스로서 식별하는 것을 호출 기반의 악성 진단 장치.
  11. 제 7 항에 있어서,
    특정 프로세스에서 악의적 행위 발생이 감지되면, 기 설정된 부모-자식 관계 정보를 근거로 상기 특정 프로세스를 포함한 부모 프로세스 및 상기 특정 프로세스를 악성 프로세스군으로 탐지하는 악성탐지부를 더 포함하는 것을 호출 기반의 악성 진단 장치.
  12. 제 1 항 내지 제 6 항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.
KR1020190176869A 2019-12-27 2019-12-27 호출 기반의 악성 진단 장치 및 호출 기반의 악성 진단 방법 KR102355556B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190176869A KR102355556B1 (ko) 2019-12-27 2019-12-27 호출 기반의 악성 진단 장치 및 호출 기반의 악성 진단 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190176869A KR102355556B1 (ko) 2019-12-27 2019-12-27 호출 기반의 악성 진단 장치 및 호출 기반의 악성 진단 방법

Publications (2)

Publication Number Publication Date
KR20210084003A KR20210084003A (ko) 2021-07-07
KR102355556B1 true KR102355556B1 (ko) 2022-01-26

Family

ID=76862561

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190176869A KR102355556B1 (ko) 2019-12-27 2019-12-27 호출 기반의 악성 진단 장치 및 호출 기반의 악성 진단 방법

Country Status (1)

Country Link
KR (1) KR102355556B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114466074B (zh) * 2021-12-10 2024-04-30 奇安信科技集团股份有限公司 一种基于wmi的攻击行为检测方法及装置
CN117494117A (zh) * 2023-11-17 2024-02-02 北京天融信网络安全技术有限公司 一种远程过程调用的跟踪系统及跟踪方法
CN117978428B (zh) * 2023-12-05 2024-08-30 北京天融信网络安全技术有限公司 用于解析wmi客户端进程的方法、装置、处理器及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003150393A (ja) 2001-11-09 2003-05-23 Nec Corp リモートサービス処理システムおよび方法、プログラム
JP2011053893A (ja) 2009-09-01 2011-03-17 Hitachi Ltd 不正プロセス検知方法および不正プロセス検知システム
JP2018200641A (ja) 2017-05-29 2018-12-20 富士通株式会社 異常検知プログラム、異常検知方法および情報処理装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07200316A (ja) * 1993-12-28 1995-08-04 Fujitsu Ltd 子プロセス生成方式

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003150393A (ja) 2001-11-09 2003-05-23 Nec Corp リモートサービス処理システムおよび方法、プログラム
JP2011053893A (ja) 2009-09-01 2011-03-17 Hitachi Ltd 不正プロセス検知方法および不正プロセス検知システム
JP2018200641A (ja) 2017-05-29 2018-12-20 富士通株式会社 異常検知プログラム、異常検知方法および情報処理装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Michael Gough, "Detecting WMI Exploitation"(2018.10.)
Noora Hyvarinen, "Detecting Parent PID Spoofing"(2018.12.)

Also Published As

Publication number Publication date
KR20210084003A (ko) 2021-07-07

Similar Documents

Publication Publication Date Title
KR102355556B1 (ko) 호출 기반의 악성 진단 장치 및 호출 기반의 악성 진단 방법
JP6455738B2 (ja) パッチファイル分析システム
JP5908132B2 (ja) プログラムの脆弱点を用いた攻撃の探知装置および方法
US7845006B2 (en) Mitigating malicious exploitation of a vulnerability in a software application by selectively trapping execution along a code path
US9892256B1 (en) Threat defense techniques
US7865949B2 (en) Provisional administrator privileges
US10121004B2 (en) Apparatus and method for monitoring virtual machine based on hypervisor
KR20130126251A (ko) 웹 서비스 모니터링 시스템 및 방법
EP2696303B1 (en) Mandatory access control (MAC) in virtual machines
CN114065196A (zh) Java内存马检测方法、装置、电子设备与存储介质
KR101673774B1 (ko) 가상화 시스템에서 파일 입출력 제어를 위한 방법
KR101769714B1 (ko) Bad usb 활성화 방지 시스템 및 방법
US7526677B2 (en) Fragility handling
WO2015016925A1 (en) Automated remote network target computing device issue resolution
JP5392263B2 (ja) 情報処理装置及びそのメモリ保護方法
JP2008305377A (ja) ネットワーク記憶装置の侵入保護システムおよび方法
KR101724412B1 (ko) 확장 코드를 이용한 어플리케이션 분석 장치 및 방법
KR101982734B1 (ko) 악성 코드 탐지 장치 및 방법
CN107545169B (zh) 应用程序认证管理方法、装置及电子设备
KR20210084032A (ko) 파일리스 악성 진단 장치 및 파일리스 악성 진단 방법
KR102298219B1 (ko) 악성 커널 모듈 탐지 장치 및 악성 커널 모듈 탐지 방법
KR102722846B1 (ko) 악성코드 탐지 지원 방법 및 장치
KR102314383B1 (ko) 화면 정보 탈취 방지 장치 및 화면 정보 탈취 방지 방법
KR102218799B1 (ko) 중요파일 판단 시스템 및 중요파일 판단 방법
KR101412203B1 (ko) 악성코드 관련 긴급검사수행장치 및 악성코드 관련 긴급검사수행장치의 동작 방법

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)