KR20080111986A - A delete module for spyware and malware datas and a delete method thereof - Google Patents

A delete module for spyware and malware datas and a delete method thereof Download PDF

Info

Publication number
KR20080111986A
KR20080111986A KR1020070060629A KR20070060629A KR20080111986A KR 20080111986 A KR20080111986 A KR 20080111986A KR 1020070060629 A KR1020070060629 A KR 1020070060629A KR 20070060629 A KR20070060629 A KR 20070060629A KR 20080111986 A KR20080111986 A KR 20080111986A
Authority
KR
South Korea
Prior art keywords
file
deleted
data
boot sector
deleting
Prior art date
Application number
KR1020070060629A
Other languages
Korean (ko)
Inventor
정현준
Original Assignee
정현준
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 정현준 filed Critical 정현준
Priority to KR1020070060629A priority Critical patent/KR20080111986A/en
Publication of KR20080111986A publication Critical patent/KR20080111986A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/06Addressing a physical block of locations, e.g. base addressing, module addressing, memory dedication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0646Horizontal data movement in storage systems, i.e. moving data in between storage devices or systems
    • G06F3/0652Erasing, e.g. deleting, data cleaning, moving of data to a wastebasket

Abstract

A module for deleting spyware and malware data and a deleting method thereof are provided to delete data related to the spyware and malware, perfectly by physically and directly accessing a hard disk, so that an application program cannot disturb the access to a file to be deleted. A data deleting module is installed in a storage medium of a computer, and comprises a boot sector address detection means(210), a file retrieval means(220) and a file deleting means(230). The boot sector address detection means analyzes partition information in which the file to be deleted is positioned to detect the boot sector address of the file to be deleted. The file retrieval means directly approaches a hard disk by using the detected boot sector address, and analyzes the boot sector region of the boot sector address to search data start address of the file to be deleted. The file deleting means deletes meta data stored in the lower part of data start address of the file to be deleted, and deletes file data connected to the meta data.

Description

스파이웨어 및 몰웨어 데이터 삭제 모듈 및 그 삭제 방법{A DELETE MODULE FOR SPYWARE AND MALWARE DATAS AND A DELETE METHOD THEREOF}Spyware and Malware Data Deletion Module and its Deletion Method {A DELETE MODULE FOR SPYWARE AND MALWARE DATAS AND A DELETE METHOD THEREOF}

도 1은 종래의 데이터 삭제 방법을 보여주는 도면,1 is a view showing a conventional method of deleting data;

도 2는 컴퓨터 운영체제의 파일시스템을 보여주는 도면,2 illustrates a file system of a computer operating system;

도 3은 본 발명의 실시에에 따른 데이터 삭제 모듈의 구성도,3 is a block diagram of a data deletion module according to an embodiment of the present invention;

도 4는 본 발명의 실시예에 따른 데이터 삭제 모듈의 동작을 보여주는 도면,4 is a view showing an operation of a data deletion module according to an embodiment of the present invention;

도 5는 본 발명의 실시예에 따른 데이터 삭제 방법을 보여주는 흐름도이다.5 is a flowchart illustrating a data deletion method according to an embodiment of the present invention.

본 발명에 따른 도면들에서 실질적으로 동일한 구성과 기능을 가진 구성요소들에 대하여는 동일한 참조부호를 사용한다.In the drawings according to the present invention, the same reference numerals are used for components having substantially the same configuration and function.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

100:파일시스템 110:NTFS100: file system 110: NTFS

111:파티션 112:부트섹터111: Partition 112: Boot Sector

113:파일 114:메타데이터113: File 114: Metadata

115:파일데이터 210:부트섹터주소 검출수단115: file data 210: boot sector address detection means

220:파일 검색수단 230:파일 삭제수단220: file search means 230: file deletion means

240:파일삭제 인식수단240: file deletion recognition means

본 발명은 데이터 삭제 모듈 및 그 삭제 방법에 관한 것으로, 더욱 상세하게는 운영체제의 에이피아이(API:Application Program Interface)를 거치지 않고 직접 하드디스크에 접근하여 스파이웨어나 몰웨어의 방해를 받지않고 데이터를 삭제할 수 있는 데이터 삭제 모듈 및 그 삭제 방법에 관한 것이다.The present invention relates to a data deletion module and a method for deleting the same, and more particularly, to directly access a hard disk without going through an API (Application Program Interface) of an operating system and to remove data without being interrupted by spyware or malware. The present invention relates to a data deletion module and a method of deleting the same.

스파이웨어(Spyware)란 스파이(spy)와 소프트웨어가 합성된 신조어로, 원래의 뜻은 어떤 사람이나 조직에 관한 정보를 수집하는 데 도움을 주는 기술을 뜻한다. 또한, 광고나 마케팅을 목적으로 배포하는 게 대부분이어서 애드웨어(adware)라고도 불린다. 그러나 최근에는 다른 사람의 컴퓨터에 몰래 숨어들어가 있다가 중요한 개인정보를 빼가는 프로그램을 말한다.Spyware is a combination of spy and software. Originally, spyware is a technology that helps gather information about a person or organization. It is also called adware because it is mostly distributed for advertising or marketing purposes. But lately, it's a program that sneaks into someone's computer and takes out important personal information.

또한, 몰웨어(malware)란 바이러스, 웜 또는 트로이 목마 스파이웨어와 같이 컴퓨터 또는 네트워크에 해를 입히거나 보안을 무력화시켜 정보를 빼내가기 위해 특별히 설계된 소프트웨어 또는 코드의 총칭으로 악성 프로그램(malicious program) 또는 악성 코드(malicious code)라고도 한다 Malware is also a generic term for software or code specifically designed to extract information by harming your computer or network or disabling security, such as viruses, worms, or Trojan horse spyware. Also known as malicious code

도 1은 종래의 데이터 삭제방법을 보여주는 도면이다.1 is a view showing a conventional data deletion method.

도 1을 참조하여 상기 스파이웨어나 몰웨어의 데이타에 대한 종래의 데이터 삭제방법을 간단히 살펴보면 먼저 사용자모드(10)에 설치된 응용프로그램(11)이 win32 API(12)를 통하여 하드디스크(14)에 설치된 스파이웨어나 몰웨어의 삭제에 관련된 함수를 호출하고(①) 다음, 상기 win32 API(12)는 커널 모드(20)의 커널 API(13)로 기능요청을 하고(②), 상기 커널 API(13)는 상기 스파이웨어나 몰웨어에 관련된 데이타들을 삭제하고(③), 상기 하드디스크(14)는 상기 응용프로그램(11)으로 상기 스파이웨어나 몰웨어의 데이타가 삭제되었는지 보여줌으로써(④), 상기 스파이웨어나 몰웨어를 삭제하게 된다.Referring to FIG. 1, a simple data deletion method for spyware or malware data is described first. An application 11 installed in a user mode 10 is installed on a hard disk 14 through a win32 API 12. A function related to the removal of installed spyware or malware is called (①), and then the win32 API 12 requests a function to the kernel API 13 of the kernel mode 20 (②), and the kernel API ( 13) deletes data related to the spyware or malware (③), and the hard disk 14 shows the application 11 to see if the data of the spyware or malware is deleted (④), The spyware or malware is deleted.

그러나 최근 윈도우즈 보안 기술을 응용한 스파이웨어나 몰웨어들은 자기 자신의 데이터들을 보호하기 위해 상기 win32 API(12)로의 함수 호출(①)이나 혹은 상기 커널 API(13)에 대한 기능요청(②)을 가로채 사용자가 상기 응용프로그램(11)을 통해서는 삭제하지 못하게 함으로써, 상기 응용프로그램(11)이 상기 win32 API(12)나 커널 API(13)를 통해서 상기 스파이웨어나 몰웨어를 삭제할 수 없게 되는 문제점이 발생하였다.However, in order to protect their own data, spyware or malware that has recently applied Windows security technology has made a function call (①) to the win32 API (12) or a function request (②) to the kernel API (13). By intercepting the user from deleting through the application 11, the application 11 can not delete the spyware or malware through the win32 API 12 or the kernel API 13. A problem occurred.

따라서, 윈도우즈 보안 기술을 응용하여 만들어진 스파이웨어 또는 몰웨어 프로그램에 관련된 데이터들을 완벽하게 삭제할 수 있는 모듈 개발의 요구가 있었던 것이다.Therefore, there was a need for a module that can completely delete data related to spyware or malware programs created by applying Windows security technology.

본 발명은 상기의 문제점들을 해결하기 위해 창안된 것으로, 본 발명의 목적 은 윈도우즈 보안 기술을 응용한 스파이웨어 및 몰웨어 프로그램에 관련된 데이터들을 win32 API나 커널 API를 거치지 않고 삭제할 수 있는 데이터 삭제 모듈 및 그 삭제 방법을 제공하는 데 있다.The present invention was devised to solve the above problems, and an object of the present invention is to provide a data deletion module for deleting data related to spyware and malware programs to which Windows security technology is applied, without going through a win32 API or a kernel API. It is to provide a method of deletion.

또한, 본 발명의 목적은 물리적으로 하드디스크에 직접 접근하여 상기 스파이웨어 및 몰웨어에 관련된 데이터들을 삭제할 수 있는 데이터 삭제 모듈 및 그 삭제 방법을 제공하는 데 있다.It is also an object of the present invention to provide a data deletion module and a method for deleting the data, which are capable of physically accessing a hard disk directly and deleting data related to the spyware and malware.

상기의 목적을 달성하기 위한 본 발명의 실시예에 따른 데이터 삭제 모듈은 컴퓨터의 저장매체에 설치되며, 삭제할 파일이 위치하는 파티션 정보를 분석하여 상기 삭제할 파일의 부트섹터주소를 검출하는 부트섹터주소 검출수단, 상기 검출된 부트섹터주소를 이용하여 직접 하드디스크에 접근하며, 상기 부트섹터주소의 부트섹터 영역을 분석하여 상기 삭제할 파일의 데이터 시작주소를 검색하는 파일검색수단 및 상기 삭제할 파일의 데이터 시작주소 하부에 저장된 메타데이터를 삭제하고, 상기 메타데이터에 연결된 파일데이터를 삭제하는 파일삭제수단을 포함하여 이루어진다.Data deletion module according to an embodiment of the present invention for achieving the above object is installed in the storage medium of the computer, the boot sector address detection for detecting the boot sector address of the file to be deleted by analyzing the partition information located in the file to be deleted Means for directly accessing the hard disk using the detected boot sector address, analyzing the boot sector of the boot sector address to search for a data start address of the file to be deleted, and a data start address of the file to be deleted. And file deletion means for deleting the metadata stored at the bottom and deleting the file data connected to the metadata.

바람직한 실시예에 있어서, 상기 파일의 삭제를 인식하도록 컴퓨터 운영체제를 다시 시작하게 하는 파일삭제 인식수단을 더 포함하여 이루어진다.In a preferred embodiment, the method further comprises file deletion recognition means for restarting the computer operating system to recognize deletion of the file.

상기의 목적을 달성하기 위한 본 발명의 실시예에 따른 데이터 삭제 방법은 컴퓨터의 저장매체에 데이터 삭제 모듈이 설치되는 단계, 상기 데이터 삭제 모듈이 실행되고, 삭제할 파일이 위치하는 파티션 정보를 분석하는 단계, 상기 파티션 정보로부터 상기 삭제할 파일의 부트섹터주소가 검출되는 단계, 상기 부트섹터주소를 이용하여 운영체제의 에이피아이(API:Application Program Interface)를 거치지 않고 직접 하드디스크에 접근하는 단계, 상기 부트섹터주소의 부트섹터 영역을 분석하여 상기 삭제할 파일의 데이터 시작주소를 검색하는 단계, 상기 삭제할 파일의 데이터 시작주소에 하부에 저장된 메타데이터를 삭제하는 단계 및 상기 메타데이터에 연결된 파일데이터를 삭제하는 단계를 포함하여 이루어진다.In accordance with an aspect of the present invention, a data deletion module is installed in a storage medium of a computer, and the data deletion module is executed and analyzing partition information where a file to be deleted is located. Detecting a boot sector address of the file to be deleted from the partition information, directly accessing a hard disk without going through an application program interface (API) using the boot sector address, and the boot sector address Retrieving a data start address of the file to be deleted by analyzing a boot sector region of the file; deleting metadata stored under the data start address of the file to be deleted; and deleting file data connected to the metadata. It is done by

바람직한 실시예에 있어서, 상기 파일데이터를 삭제하는 단계 이후에 컴퓨터 운영체제가 다시 시작되는 단계 및 상기 컴퓨터 운영체제가 상기 파일의 삭제를 인식하는 단계를 더 포함하여 이루어진다.In a preferred embodiment, the method further includes restarting the computer operating system after deleting the file data and recognizing the deletion of the file by the computer operating system.

이하, 첨부한 도면들을 참조하여 본 발명의 실시예를 상세히 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 2는 컴퓨터 운영체제의 파일시스템을 보여주는 도면이고, 도 3은 본 발명의 실시에에 따른 데이터 삭제 모듈의 구성도이고, 도 4는 본 발명의 실시예에 따른 데이터 삭제 모듈의 동작을 보여주는 도면이다.2 is a view showing a file system of a computer operating system, FIG. 3 is a block diagram of a data deletion module according to an embodiment of the present invention, and FIG. 4 is a view showing an operation of a data deletion module according to an embodiment of the present invention. .

도면들을 참조하면, 본 발명의 일 실시예에 따른 데이터 삭제모듈은(200) 컴퓨터의 저장매체(미도시)에 설치되며, 부트섹터주소 검출수단(210), 파일검색수단(220), 파일삭제수단(230) 및 파일삭제 인식수단(240)을 포함하여 이루어진다.Referring to the drawings, a data deletion module according to an embodiment of the present invention is installed in a storage medium (not shown) of a computer (200), boot sector address detection means 210, file search means 220, file deletion Means 230 and file deletion recognizing means 240.

상기 부트섹터주소 검출수단(210)은 파일 시스템(100)에서 스파이웨어 또는 몰웨어에 관련된 삭제할 파일(113)이 위치하는 파티션(111)의 정보를 분석하여 상 기 삭제할 파일(113)이 위치하는 부트섹터(112)의 부트섹터주소를 검출한다.The boot sector address detecting means 210 analyzes the information of the partition 111 where the file 113 to be deleted related to spyware or malware is located in the file system 100, and thus the file 113 to be deleted is located. The boot sector address of the boot sector 112 is detected.

한편, 상기 파일 시스템(100)은 상기 데이터를 읽기, 쓰기 또는 찾기 위한 준비의 규칙을 미리 하드디스크(14)에 정리해 놓은 것으로서, 예를 들면, 파일에 이름을 붙이고, 저장이나 검색을 위해 파일을 어디에 위치시킬 것인지를 나타내는 체계를 뜻한다. On the other hand, the file system 100 is a pre-arranged rule on the hard disk 14 in preparation for reading, writing or finding the data. For example, the file system 100 is given a name and a file for storage or retrieval. It is a system that indicates where to place.

또한, 상기 파일 시스템(100)은 NTFS(110:NT file system), DOS(120), FAT/FAT32(130:file allocation table), ext/ext2(140) 등을 포함한다. The file system 100 may include an NTFS file system (NTFS) 110, a DOS 120, a FAT / FAT32 (130 file allocation table), an ext / ext2 140, and the like.

본 발명의 실시예에 따른 데이터 삭제모듈(200)은 상기 파일 시스템(100) 중 상기 NTFS(110)에 침투한 스파이웨어나 몰웨어의 파일(113)을 삭제하는 것을 상정하고 있으나, 상기 예를 든 파일 시스템 모두에 적용이 가능하다.The data deletion module 200 according to an embodiment of the present invention assumes that the file 113 of spyware or malware infiltrated into the NTFS 110 of the file system 100 is deleted. Applicable to all file systems.

또한, 상기 부트섹터(112)는 하드디스크 상에 저장된 데이터들 중 제일 먼저 읽혀지는 레코드가 있는 섹터로써 상기 파티션(111) 정보에서 검출된다. In addition, the boot sector 112 is a sector having a record which is read first among data stored on a hard disk, and is detected in the partition 111 information.

또한, 상기 부트섹터주소 검출과정은 win32API(12)와 커널 API(13)를 거쳐(①②) 하드디스크(14)로 접근(③)하여 이루어진다.In addition, the boot sector address detection process is performed by accessing the hard disk 14 via the win32API 12 and the kernel API 13 (①②).

상기 파일검색수단(220)은 상기 부트섹터주소를 이용하여 직접 하드디스크(14)에 접근(④)하며, 상기 부트섹터(122)주소의 부트섹터 영역을 분석하여 상기 상기 삭제할 파일(113)의 데이터 시작주소를 검색한다.The file searching unit 220 directly accesses the hard disk 14 by using the boot sector address ④, analyzes the boot sector area of the boot sector 122 address, Retrieve the data start address.

상기 파일삭제수단(230)은 상기 파일검색수단(220)에서 얻어진 삭제할 파일(113)의 데이터 시작주소를 기반으로 상기 삭제할 파일(113)에 접근하여 상기 삭제할 파일(113)의 메타데이터(114)를 삭제한다. The file deleting means 230 accesses the file 113 to be deleted based on the data start address of the file 113 to be obtained from the file retrieving means 220, and the metadata 114 of the file 113 to be deleted. Delete it.

한편, 상기 삭제할 파일(113)의 데이터는 크게 메타데이터(114)와 파일데이터(115)로 나눌 수 있는데, 상기 메타데이터(114)는 상기 파일(113)의 속성정보라고도 하며, 대량의 파일데이터(115) 가운데에서 찾고 있는 파일데이터(115)를 효율적으로 찾아내기 위해 일정한 규칙에 따라 부여된 데이터이고, 상기 파일데이터(115)는 상기 파일(113)의 실질적인 내용이 포함된 데이터이다.Meanwhile, the data of the file 113 to be deleted may be largely divided into metadata 114 and file data 115. The metadata 114 may also be referred to as attribute information of the file 113. In order to efficiently find the file data 115 that is being searched for in the center of the file 115, the data is given according to a predetermined rule, and the file data 115 is data including substantial contents of the file 113.

또한, 상기 파일삭제수단(230)는 상기 파일(113)의 메타데이터(144)의 정보를 이용하여 삭제하고자하는 파일인지 아닌지 판단하여, 상기 삭제할 파일(113)의 메타데이터(144)이면 상기 메타데이터(144)를 삭제하고 상기 메타데이터(144)에 연결된 파일데이터(115)를 삭제한다.In addition, the file deleting means 230 determines whether or not the file to be deleted using the information of the metadata 144 of the file 113, and if the metadata 144 of the file 113 to be deleted, the meta The data 144 is deleted and the file data 115 connected to the metadata 144 is deleted.

상기 파일삭제 인식수단(240)은 운영체제가 상기 파일(113)의 삭제를 인식할 수 있도록 운영체제를 재부팅 한다. The file deletion recognizing means 240 reboots the operating system so that the operating system can recognize the deletion of the file 113.

따라서, win32 API(12)나 커널 API(13)를 거치지 않고 몰웨어나 스파이웨어에 관련된 파일들을 삭제할 수 있다.Therefore, files related to malware or spyware can be deleted without going through the win32 API 12 or the kernel API 13.

도 5는 본 발명의 실시예에 따른 데이터 삭제 방법을 보여주는 흐름도이다.5 is a flowchart illustrating a data deletion method according to an embodiment of the present invention.

도 5를 참조하면 본 발명의 실시예에 따른 데이터 삭제 방법은 먼저 컴퓨터의 저장매체에 데이터 삭제 모듈(200)이 설치되고(S1000), 상기 데이터 삭제 모듈(200)이 실행된다.Referring to FIG. 5, in the data deletion method according to an exemplary embodiment of the present invention, a data deletion module 200 is first installed in a storage medium of a computer (S1000), and the data deletion module 200 is executed.

다음, 상기 데이터 삭제 모듈(200)이 멀웨어나 스파이웨어에 관련된 삭제할 파일(113)이 위치하는 하드디스크(14)의 파티션(111)을 검색하고, 상기 삭제하고자 하는 파일(113)이 위치하는 파티션(111)의 정보를 분석한다(S2000).Next, the data deletion module 200 searches for the partition 111 of the hard disk 14 where the file 113 to be deleted related to malware or spyware is located, and the partition where the file 113 to be deleted is located. The information of 111 is analyzed (S2000).

다음, 상기 파티션(111)의 정보로부터 상기 삭제할 파일(113)의 부트섹터(112)를 검출한다(S3000).Next, the boot sector 112 of the file 113 to be deleted is detected from the information of the partition 111 (S3000).

한편, 상기 부트섹터(112)는 컴퓨터 파일이 위치하는 물리적 읽기, 쓰기의 단위로써, 보통 상기 삭제할 파일(113)들이 저장된 섹터들 중 가장 처음에 위치하는 섹터이다.Meanwhile, the boot sector 112 is a unit of physical read and write where a computer file is located and is usually the first sector among the sectors in which the files 113 to be deleted are stored.

따라서, 상기 부트섹터(112)를 검출하여 상기 부트섹터(112)의 하부 섹터들을 삭제함으로써 상기 삭제할 파일(113)을 삭제할 수 있는 것이다.Accordingly, the file 113 to be deleted may be deleted by detecting the boot sector 112 and deleting the lower sectors of the boot sector 112.

다음, 상기 부트섹터(112)의 주소를 이용하여 컴퓨터 운영체제의 win32 API(12)나 커널 API(13)들을 거치지않고 물리적으로 직접 하드디스크에 접근한다(S4000).Next, the hard disk is directly accessed without passing through the win32 API 12 or the kernel API 13 of the computer operating system using the address of the boot sector 112 (S4000).

따라서, 운영체제의 보안 기술을 응용하여 상기 Win32 API(12)나 상기 커널 API을 이용한 삭제를 차단하는 스파이웨어 및 몰웨어의 기능을 무력화시킬 수 있다.Therefore, the security technology of the operating system can be applied to disable the functions of spyware and malware that block deletion using the Win32 API 12 or the kernel API.

다음, 상기 부트섹터(112)의 부트섹터 영역을 분석하여 상기 삭제할 파일(113)의 데이터 시작주소를 검색한다(S6000).Next, the boot sector area of the boot sector 112 is analyzed to search for a data start address of the file 113 to be deleted (S6000).

다음, 상기 삭제할 파일(113)의 데이터 시작주소가 얻어지고 상기 데이터 시작주소 하부에 저장된 메타데이터(114)가 상기 삭제할 파일(113)의 메타데이터인지 확인한 후, 상기 삭제할 파일(113)의 메타데이터이면 삭제한다(S7000).Next, after confirming that the data start address of the file 113 to be deleted is obtained and the metadata 114 stored under the data start address is metadata of the file 113 to be deleted, the metadata of the file 113 to be deleted is determined. If it is deleted (S7000).

또한, 상기 메타데이터(114)는 파일(113)의 속성정보라고도 하며 실제 파일데이터(115)의 정보들이 담겨있다. 예를 들면 상기 파일데이터(115)의 위치와 내 용, 작성자에 관한 정보, 권리 조건, 이용 조건 또는 이용 내력 등이 기록되어 있다.In addition, the metadata 114 is also referred to as attribute information of the file 113 and contains information of the actual file data 115. For example, the location and contents of the file data 115, information on the creator, rights conditions, usage conditions or usage history are recorded.

다음, 상기 메타데이터(114)와 연결되고 실질적인 몰웨어나 스파이웨어의 데이터인 파일데이터(115)를 삭제한다(S8000).Next, the file data 115, which is connected to the metadata 114 and is substantially data of malware or spyware, is deleted (S8000).

따라서 상기 Win32 API나 커널 API을 이용하지 않고도 상기 삭제하고자 하는 파일(113)의 파일데이터(115)를 완벽하게 삭제할 수 있다.Therefore, the file data 115 of the file 113 to be deleted can be completely deleted without using the Win32 API or the kernel API.

다음, 운영체제가 재부팅되고 상기 삭제할 파일(113)이 완전히 삭제된 것을 운영체제가 인식하게 된다(S9000).Next, the operating system reboots and the operating system recognizes that the file 113 to be deleted is completely deleted (S9000).

이상에서, 본 발명의 구성 및 동작을 상기한 설명 및 도면에 따라 도시하였지만, 이는 예를 들어 설명한 것에 불과하며 본 발명의 기술적 사상 및 범위를 벗어나지 않는 범위 내에서 다양한 변화 및 변경이 가능함은 물론이다.In the above, the configuration and operation of the present invention has been shown in accordance with the above description and drawings, but this is merely described, for example, and various changes and modifications are possible without departing from the spirit and scope of the present invention. .

상술한 바와 같이 본 발명에 의하면, 윈도우즈 보안 기술을 응용한 스파이웨어 및 몰웨어 프로그램들이 운영체제의 win32 API나 커널 API를 통한 파일의 삭제과정을 방해할 때, 전혀 상기 스파이웨어 및 몰웨어 프로그램의 방해를 받지않고 삭제하고자 하는 파일을 삭제할 수 있는 데이터 삭제 모듈 및 그 삭제 방법을 제공할 수 있는 효과가 있다.As described above, according to the present invention, when spyware and malware programs applying the Windows security technology interfere with the process of deleting a file through the win32 API or the kernel API of the operating system, the spyware and malware programs are completely interrupted. There is an effect that can provide a data deletion module and a method of deleting the file to delete without receiving a.

또한, 본 발명에 의하면, 상기 스프이웨어 및 몰웨어 같은 응용프로그램이 삭제하고자 하는 파일의 접근을 방해할 수 없도록, 물리적으로 하드디스크에 직접 접근하여 원천적으로 상기 스파이웨어 및 몰웨어에 관련된 데이터들을 삭제할 수 있는 데이터 삭제 모듈 및 그 삭제 방법을 제공할 수 있는 효과가 있다.In addition, according to the present invention, the spyware and malware to delete the data related to the spyware and malware by physically accessing the hard disk directly so that applications such as spyware and malware do not interfere with access to the file to be deleted There is an effect that can provide a data deletion module and a method of deleting the same.

Claims (4)

컴퓨터의 저장매체에 설치되며,Installed on your computer's storage media, 삭제할 파일이 위치하는 파티션 정보를 분석하여 상기 삭제할 파일의 부트섹터주소를 검출하는 부트섹터주소 검출수단;Boot sector address detecting means for analyzing the partition information in which the file to be deleted is located and detecting the boot sector address of the file to be deleted; 상기 검출된 부트섹터주소를 이용하여 직접 하드디스크에 접근하며, 상기 부트섹터주소의 부트섹터 영역을 분석하여 상기 삭제할 파일의 데이터 시작주소를 검색하는 파일검색수단; 및File search means for directly accessing a hard disk using the detected boot sector address, and searching a data start address of the file to be deleted by analyzing a boot sector area of the boot sector address; And 상기 삭제할 파일의 데이터 시작주소 하부에 저장된 메타데이터를 삭제하고, 상기 메타데이터에 연결된 파일데이터를 삭제하는 파일삭제수단을 포함하는 것을 특징으로 하는 데이터 삭제 모듈.And file deletion means for deleting the metadata stored under the data start address of the file to be deleted and for deleting the file data connected to the metadata. 제 1 항에 있어서,The method of claim 1, 상기 파일의 삭제를 인식하도록 컴퓨터 운영체제를 다시 시작하게 하는 파일삭제 인식수단을 포함하는 것을 특징으로 하는 데이터 삭제 모듈.And file deletion recognizing means for restarting the computer operating system to recognize deletion of the file. 컴퓨터의 저장매체에 데이터 삭제 모듈이 설치되는 단계;Installing a data erasing module on a storage medium of the computer; 상기 데이터 삭제 모듈이 실행되고, 삭제할 파일이 위치하는 파티션 정보를 분석하는 단계;Executing the data deletion module and analyzing partition information in which a file to be deleted is located; 상기 파티션 정보로부터 상기 삭제할 파일의 부트섹터주소가 검출되는 단계;Detecting a boot sector address of the file to be deleted from the partition information; 상기 부트섹터주소를 이용하여 운영체제의 에이피아이(API:Application Program Interface)를 거치지 않고 직접 하드디스크에 접근하는 단계;Using the boot sector address to directly access a hard disk without going through an application program interface (API) of an operating system; 상기 부트섹터주소의 부트섹터 영역을 분석하여 상기 삭제할 파일의 데이터 시작주소를 검색하는 단계;Analyzing a boot sector area of the boot sector address and searching for a data start address of the file to be deleted; 상기 삭제할 파일의 데이터 시작주소에 하부에 저장된 메타데이터를 삭제하는 단계; 및Deleting metadata stored under the data start address of the file to be deleted; And 상기 메타데이터에 연결된 파일데이터를 삭제하는 단계를 포함하는 것을 특징으로 하는 데이터 삭제 방법.And deleting the file data connected to the metadata. 제 3 항에 있어서,The method of claim 3, wherein 상기 파일데이터를 삭제하는 단계 이후에 컴퓨터 운영체제가 다시 시작되는 단계; 및Restarting the computer operating system after deleting the file data; And 상기 컴퓨터 운영체제가 상기 파일의 삭제를 인식하는 단계를 포함하는 것을 특징으로 하는 데이터 삭제 방법.And recognizing the deletion of the file by the computer operating system.
KR1020070060629A 2007-06-20 2007-06-20 A delete module for spyware and malware datas and a delete method thereof KR20080111986A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070060629A KR20080111986A (en) 2007-06-20 2007-06-20 A delete module for spyware and malware datas and a delete method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070060629A KR20080111986A (en) 2007-06-20 2007-06-20 A delete module for spyware and malware datas and a delete method thereof

Publications (1)

Publication Number Publication Date
KR20080111986A true KR20080111986A (en) 2008-12-24

Family

ID=40370027

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070060629A KR20080111986A (en) 2007-06-20 2007-06-20 A delete module for spyware and malware datas and a delete method thereof

Country Status (1)

Country Link
KR (1) KR20080111986A (en)

Similar Documents

Publication Publication Date Title
US7519806B2 (en) Virtual partition for recording and restoring computer data files
US8838875B2 (en) Systems, methods and computer program products for operating a data processing system in which a file delete command is sent to an external storage device for invalidating data thereon
US8171063B1 (en) System and method for efficiently locating and processing data on a deduplication storage system
JP4828199B2 (en) System and method for integrating knowledge base of anti-virus software applications
US9178900B1 (en) Detection of advanced persistent threat having evasion technology
US7996903B2 (en) Method and system for detecting and removing hidden pestware files
US10713361B2 (en) Anti-malware protection using volume filters
US20080010326A1 (en) Method and system for securely deleting files from a computer storage device
US20060277183A1 (en) System and method for neutralizing locked pestware files
US8079032B2 (en) Method and system for rendering harmless a locked pestware executable object
US8452744B2 (en) System and method for analyzing locked files
CN100573480C (en) A kind of hard disk data protection method and system
US20050055558A1 (en) Memory scanning system and method
CN113553006A (en) Secure encrypted storage system for realizing data writing to read-only partition
US20130046741A1 (en) Methods and systems for creating and saving multiple versions of a computer file
CN116611066B (en) Lesovirus identification method, device, equipment and storage medium
US10037328B2 (en) Non-privileged access to data independent of filesystem implementation
KR100762973B1 (en) Method and apparatus for detecting and deleting a virus code, and information storage medium storing a program thereof
KR100977179B1 (en) Method and System for Searching malicious code
CN102222185B (en) Method for preventing operating system starting file from being infected
KR101625643B1 (en) Apparatus and method for detecting malicious code based on volatile virtual file
KR20080111986A (en) A delete module for spyware and malware datas and a delete method thereof
White Identifying the unknown in user space memory
US20110213809A1 (en) Method, a system and a computer program product for protecting a data-storing device
CN114692151B (en) USB flash disk virus discovery method and application tool thereof

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application