KR20090052596A - 악성프로그램 탐지장치 및 그 방법 - Google Patents

악성프로그램 탐지장치 및 그 방법 Download PDF

Info

Publication number
KR20090052596A
KR20090052596A KR1020070119190A KR20070119190A KR20090052596A KR 20090052596 A KR20090052596 A KR 20090052596A KR 1020070119190 A KR1020070119190 A KR 1020070119190A KR 20070119190 A KR20070119190 A KR 20070119190A KR 20090052596 A KR20090052596 A KR 20090052596A
Authority
KR
South Korea
Prior art keywords
file
header
malicious program
executable
malicious
Prior art date
Application number
KR1020070119190A
Other languages
English (en)
Other versions
KR100942795B1 (ko
Inventor
최양서
김익균
김병구
윤승용
김대원
오진태
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070119190A priority Critical patent/KR100942795B1/ko
Priority to US12/209,249 priority patent/US20090133125A1/en
Publication of KR20090052596A publication Critical patent/KR20090052596A/ko
Application granted granted Critical
Publication of KR100942795B1 publication Critical patent/KR100942795B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Quality & Reliability (AREA)
  • Stored Programmes (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 악성프로그램 탐지 장치 및 그 방법에 관한 것으로, 실행 가능한 파일의 헤더를 분석하여 해당 파일의 악성프로그램 여부를 판단함으로써, 악성프로그램의 빠른 탐지가 가능하고, 알려지지 않은 악성프로그램에 대해서도 악성프로그램 여부를 예측 및 판단할 수 있어, 악성프로그램으로부터 시스템을 보호하고 보안성을 향상시키는 효과가 있다.
악성프로그램, 악성코드, malware, malicious software, virus, 바이러스, 탐지, PE파일

Description

악성프로그램 탐지장치 및 그 방법{A method and a device for malware detection}
본 발명은 악성프로그램 탐지 장치 및 그 방법에 관한 것으로, 실행파일의 헤더를 분석하여 실행파일의 악성프로그램 여부를 예측하고 탐지하는 악성프로그램 탐지 장치 및 그 방법에 관한 것이다.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT성장동력기술개발의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 0810-2007-0036, 과제명: Network 위협의 Zero-day Attack 대응을 위한 실시간 공격 Signature생성 및 관리 기술 개발].
최근의 통신 환경에서 발생하는 공격의 형태를 분석해 보면 과거 다량의 네트워크 트래픽을 생성하는 공격에서 악성프로그램을 이용하여 특정 대상만을 공격함으로써 원하는 정보를 탈취하려는 공격이 대부분을 이루고 있다.
악성프로그램(malicious Program)은 악의적인 목적을 위해 작성된 실행 가능한 코드의 통칭으로 말웨어(malware, malicious software), 악성코드(malicious code)라고도 하며, 자기 복제 능력과 감염 대상의 유무에 따라, 바이러스(Virus), 웜바이러스(worm virus), 트로이목마(Trojan horse)로 분류될 수 있다.
또한, 악성프로그램과 유사한 스파이웨어(spyware)는 다른 사람의 컴퓨터에 잠입하여 중요한 개인정보를 빼가는 소프트웨어로서, 최근에는 사용자 이름은 물론 IP주소와 즐겨 찾는 URL, 개인 아이디, 패스워드까지 알아낼 수 있게 발전되어 악의적으로 사용될 소지가 많아 문제가 되고 있다.
이러한 악성프로그램에 의한 주요 증상은 네트워크 트래픽 발생, 시스템 성능 저하, 파일 삭제, 이메일 자동발송, 개인 정보 유출, 원격 제어 등으로 그 피해가 증대되고 있다. 또한, 대부분의 악성 프로그램은 해당 악성 프로그램이 보안 전문가에 의해 분석되더라도 쉽게 해당 악성 프로그램의 의도 및 행위가 알려지지 않게 하기 위해 다양한 분석 방해 기법이 적용되고 있다.
악성프로그램으로 인한 증상이나 유포 방법이 점차 복잡해지고 지능화되고 있어, 기존 안티바이러스 프로그램 만으로는 다양한 악성프로그램을 진단 및 치료할 수 없어 한계가 있다.
또한, 종래의 악성프로그램 탐지 장치 및 방법은 기 발견된 악성프로그램에 대한 전문가의 분석을 통해 시그니처(Signature)를 생성하고 이를 기반으로 동일한 악성프로그램이 사용되는 경우 이를 탐지하는 것이 대부분으로, 기 탐지 가능한 악성프로그램과 매우 유사한 악성 프로그램이라고 할지라도 시그니처와 정확히 일치하는 특징을 보유하고 있지 않은 악성프로그램은 탐지가 불가능하다는 한계가 있으며 알려지지 않은 악성프로그램에 대응할 수 없다는 문제점이 있다.
본 발명의 목적은, 실행파일(PE파일)의 헤더 분석을 통해 악성프로그램이 가질 수 있는 특징을 기반으로 해당 실행파일의 악성프로그램 여부를 판단하는 것으로, 악성프로그램에 대한 빠른 탐지가 가능하고, 알려지지 않은 악성프로그램에 대해서도 예측 가능하도록 하는 악성프로그램 탐지 장치 및 그 방법을 제공하는데 있다.
상기한 과제를 해결하기 위한 본 발명에 따른 악성프로그램 탐지 장치는 입력된 파일의 헤더를 추출하는 헤더추출부, 상기 파일의 실행파일 여부를 판단하는 파일판단부, 상기 파일판단부의 판단결과에 따라 상기 추출된 상기 파일의 헤더를 분석하여 상기 파일의 악성프로그램 가능성을 판단하는 헤더분석부 및, 상기 헤더분석부의 판단결과를 종합하여 최종적으로 상기 파일의 악성프로그램여부를 판단하고 출력하는 악성프로그램 판단부를 포함한다.
또한, 본 발명에 따른 악성프로그램 탐지 방법은 입력되는 파일의 헤더를 분석하여, 상기 파일의 실행파일 여부를 판단하는 단계, 상기 파일이 실행파일인 경우, 상기 파일의 헤더를 분석하여, 기 설정된 조건에 따라 상기 파일의 악성프로그램 여부를 판단하는 단계 및, 상기 파일이 악성프로그램인 경우 악성프로그램에 대한 안내를 출력하는 단계를 포함한다.
본 발명에 따르면 악성프로그램 탐지 장치 및 그 방법은, 사전에 악성프로그 램의 실행 파일 헤더 분석을 통해 얻은 악성프로그램의 특징을 이용하여 악성프로그램을 탐지 함으로서, 악성프로그램의 신속한 탐지가 가능하여 탐지 시간이 크게 단축되고, 기존의 알려진 악성프로그램인지 여부와는 관계없이 악성프로그램에 대한 탐지가 가능하므로, 악성프로그램의 예측 및 판단을 통해 사전에 악성프로그램에 대처할 수 있어 프로그램이 설치된 시스템을 보호하고, 그에 따른 보안성이 크게 향상되는 효과가 있다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하면 다음과 같다.
악성프로그램은 분석되는 것을 방해하기 위해 다양한 기법이 적용되는데, 이경우 해당 악성 프로그램의 PE 헤더가 정상적인 방법을 통해 일반 컴파일러를 이용하여 생성하는 경우와 매우 다른 형태를 띠게 된다.
악성프로그램에 분석 방해 기법들이 적용되는 경우 PE 헤더의 위치나 그 특성이 변경되게 되는데, 이로 인해 정상적인 일반 실행파일에서는 거의 나타나지 않는 특성이 나타나게 된다. 본 발명에서는 이러한 특징을 이용하여 해당 실행 파일이 악성 프로그램인지 여부를 판단하는 것이다.
도 1 은 본 발명의 실시예에 따른 악성프로그램 탐지 장치의 구조 설명에 참조되는 블록도이다.
악성프로그램 탐지 장치는 도 1을 참조하면, 악성프로그램 탐지부(100), 데이터부(60), 제어부(50), 입력부(70), 출력부(80)를 포함한다. 악성프로그램 탐지 장치는 그 외 다른 기기와의 연결을 위한 인터페이스부 또는 소정의 네트워크 통신 부를 더 포함할 수 있다.
악성프로그램 탐지부(100)는 실행파일을 입력 받아, 실행파일의 헤더를 분석하고, 헤더 분석 결과에 따라 실행파일이 악성프로그램인지 여부를 판단하여 결과를 출력한다.
이때, 제어부(50)는 악성프로그램 탐지부(100)에 의해 출력되는 결과에 대응하여 소정의 안내메시지를 생성하고, 출력부(80)를 통해 판단결과가 출력되도록 한다.
입력부(70)는 복수의 버튼을 포함하고, 버튼 조작에 대응하여 데이터부(60)에 저장된 복수의 파일 중 악성프로그램 여부를 판단하기 위한 실행파일을 선택 및 입력한다. 데이터부(60)는 복수의 프로그램 데이터가 저장되고, 악성프로그램 탐지부(100)의 구동에 따른 데이터가 저장된다. 이때, 데이터부(60)는 실행되는 프로그램 및 프로세스 중에 발생되는 데이터가 임시 저장되는 휘발성 메모리, 데이터를 저장하는 불휘발성의 메모리 또는 다량의 데이터 저장을 위한 저장장치를 포함한다.
출력부(80)는 문자 또는 이미지를 화면에 출력하는 표시장치, 램프와 같이 점등, 소등되고, 경우에 따라 점멸되는 발광장치, 소정의 효과음을 출력하는 음향출력장치 중 적어도 어느 하나를 포함하여, 악성프로그램 탐지장치의 동작상태를 출력한다. 이때, 출력부(80)는 제어부(50)의 제어명령에 대응하여, 표시장치, 발광장치, 음향출력장치 중 적어도 하나를 구동하여 입력된 실행파일이 악성프로그램인지 여부를 출력하며, 예를 들어, 표시장치를 통해 악성프로그램 여부에 따른 안내 메시지가 출력되거나, 발광장치가 점멸되도록 하고, 또는 소정의 경고음이 출력되도록 한다.
악성프로그램 탐지부(100)는 입력부(70)의 조작에 대응하여, 데이터부(60)에 저장되거나 또는 외부로부터 입력되는 파일을 입력 받아 악성프로그램 여부를 판단한다. 악성프로그램 탐지부(100)는 입력된 파일이 윈도우와 같은 운영체제에서 실행 가능한 PE(Portable Executable)포맷의 실행파일인지 여부를 확인하고, 실행파일의 헤더의 구조 또는 헤더에 포함되는 데이터 값이 소정 조건을 만족하는 경우 악성프로그램인 것으로 판단한다. PE포맷은 확장자 EXE나 DLL인 파일에 모두 적용되는 형식이다.
이러한 악성프로그램 탐지부(100)는 파일판단부(10), 헤더추출부(20), 헤더분석부(30), 악성프로그램판단부(40)를 포함한다.
파일판단부(10)는 입력된 파일이 PE파일, 즉 PE포맷의 실행파일인지 여부를 판단한다. 이때, 파일판단부(10)는 입력된 파일의 헤더를 분석하여, 헤더 내에서 소정의 데이터가 지정된 위치에 존재하는지 여부에 따라 실행파일 여부를 판단한다.
헤더추출부(20)는 파일판단부(10)의 판단결과에 따라 입력된 파일이 실행파일인 경우, 파일판단부(10)에서 확인한 헤더의 필드값 이외에 헤더분석부(30)에서 사용되는 헤더의 필드값을 추가적으로 추출한다.
헤더분석부(30)는 파일판단부(10) 및 헤더추출부(20)에서 추출된 헤더 및 헤더의 필드값을 이용하여, 실행파일을 분석하고, 악성프로그램일 가능성을 판단한 다. 헤더분석부(30)는 실행파일에 포함되는 섹션에 관련된 헤더에 포함된 복수의 필드값을 이용하여, 각 필드값이 소정 조건을 만족하는지 판단하고, 각각의 조건에 대응되는 섹션이 존재하는 경우 악성프로그램일 가능성이 큰 것으로 판단한다. 또한, 헤더분석부(30)는 코드에 관련된 헤더의 필드값을 기준값과 비교하여 실행파일의 악성 프로그램 가능성을 판단한다.
이때, 악성프로그램 판단부(40)는 헤더분석부(30)의 결과에 각각 가중치를 부여하고, 가중치를 종합적으로 고려하여 실행파일의 악성프로그램 여부를 최종 판단한다.
이때, 악성프로그램 판단부(40)에서의 가중치는 각 시스템의 보안수준 또는 보안정책에 따라 가변 될 수 있으며, 이는 악성프로그램 탐지 장치의 사용자에 의해 변경 가능한 것이므로 그에 대한 상세한 설명은 생략하기로 한다.
악성프로그램 판단부(40)는 입력된 파일의 악성프로그램여부에 대한 판단결과를 제어부(50)로 인가하고, 제어부(50)는 그 판단결과가 출력부(80)를 통해 출력되도록 제어한다.
도 2 는 본 발명의 실시예에 따른 실행 가능한 파일의 헤더의 구조 설명에 참조되는 도이다.
도 2를 참조하면, 실행파일의 헤더는 코드에 관련된 제1헤더(IMAGE_DOS_HEADER) 및 도스호환더미(H110), PE 헤더(IMAGE_NT_HEADERS)(H120)와, 섹션에 관련된 제3헤더(IMAGE_SECTION_HEADER) 및 배열 섹션테이블(H130)을 포함한다. 실행 파일은 그 외의 헤더를 더 포함하나 그에 대한 설명은 하기에서 생략 하기로 한다.
이러한 실행파일의 헤더는 코드(CODE)를 위한 영역과 데이터(DATA)를 위한 영역으로 나뉘어 지며, 실제 실행되는 순간, 상기와 같은 헤더의 각 영역은 메모리로 로딩된다.
PE파일의 시작은 제1헤더(H111)인 IMAGE_DOS_HEADER 이며, 그 크기는 64bytes이고, e_magic, e_lfanew 와 같은 필드를 구성요소로서 포함한다. PE파일의 제1 헤더(H111)의 제일 첫 필드인 e_magic의 값은 'MZ'(0x5A4D) 이다. 즉 PE파일의 헤더는 'MZ' 로 시작된다. 제1헤더(H111)의 마지막 필드인 제1 필드(e_lfanew)는 4byte의 데이터를 포함하며, PE헤더의 시작 오프셋(OFFSET)을 나타내게 된다.
즉, 실행파일이 실행되는 경우, PE파일이 'MZ'로 시작되는 것을 우선 확인하고, 제1헤더(H111)가 순차적으로 실행되고 마지막 제1필드(e_lfanew)의 데이터가 지시하는 위치에 존재하는 PE헤더(H120)로 점프하게 된다.
이때, 제1헤더(H111) 뒤의 도스 호환더미(H112)는 윈도우즈 프로그램을 실행할 경우 출력할 에러메시지를 저장하는 저장소이다.
제1 헤더(H111) 이후에는 PE헤더(H120)가 실행된다. PE헤더(H120)는 IMAGE_NT_HEADERS라는 구조체이며, PE 로더(loader)를 위한 핵심적인 정보들을 포함한다.
PE헤더(H120)의 처음시작은 4byte의 PE 시그니처(Signature) 이고, 다음으로 제2헤더(H122)인 IMAGE_FILE_HEADER(20bytes)를 포함한다. PE헤더(H120)은 IMAGE_OPTIONAL_HEADER(224bytes)(H123)와, 데이터 디렉토리배열(128 byte)(H124) 를 포함한다.
PE 헤더(H120)의 PE 시그니처(Signature)는 "PE00" 이며, 실행파일이실행되는 시스템이 윈도우인 경우, PE헤더(H120)의 시그니처(Signature)는 무조건 "PE00"여야 프로그램이 실행된다. 그에 따라, 시그니처(Signature)값이 "PE00"인 것을 검사함으로써 PE파일이 올바른지 아닌지를 검사하게 된다.
이때, 제2헤더(H122)인 IMAGE_FILE_HEADER는 CPU등의 PE 파일의 물리적 레이아웃(physical layout), 및 가치(properties)에 대한 정보를 포함하며, IMAGE_OPTIONAL_HEADER(H123)는 로지컬 레이아웃을 (logical layout)을 담당한다.
제2헤더(H122)인 IMAGE_FILE_HEADER에는 CPU타입, PE파일의 생성 시간, EXE인지 DLL인지 여부, 섹션의 개수 등에 대한 정보가 포함된다.
제2필드인, Machine 필드는 실행될 CPU의 종류를 나타내는 것으로 이 값이변경되는 경우, 프로그램의 빠른 실행을 방해하게 된다. NumberOfSections 필드는 섹션의 개수. 강제적으로 섹션을추가/제거할 때 사용된다.
그 외, 파일이 생성된 날짜와 시간을 나타내는 TimeDateStamp. 디버깅시 요구되는 PointerToSymbolTable, NumberOfSymbols와 같은 필드를 포함한다.
섹션에 관련된 제3헤더(IMAGE_SECTION_HEADER)(H131 내지 H134) 및 섹션테이블은 PE 파일에 대한 코드, 데이터, 자원, 그리고 실행파일에 대한 기타 정보를 포함한다.
섹션(SECTION)은 코드와 데이터(code/data), 읽기와 쓰기(read/write)와 같은 속성을 가지고 있는 정보의 묶음으로서 속성이 일치하는 것의 묶음이며, 여러 종류의 속성을 갖는다.
이러한 섹션(section)을 나눠주는 기준선을 나타내는 것이 섹션테이블(Section table)이다. 이는 IMAGE_SECTION_HEADER 구조체의 배열이다. 각각의 섹션(section)은 헤더와 바디(raw data)로 이루어져 있고 섹션테이블(section table)은 섹션(section)의 헤더만을 포함한다. 이때, 섹션 숫자는 배열 크기와 같다.
제3헤더(IMAGE_SECTION_HEADER) 에는 실행파일이 exe인지 dll인지 나타내는 Characteristics 필드(제3필드), 해당 섹션의 이름을 나타내는 Name필드(제4필드), 섹션의 크기를 나타내는 SizeOfRawdata필드(제5필드)가 포함된다.
도2와 같이 실행파일의 헤더가 구성되므로, 파일판단부(10)는 제1헤더(IMAGE_DOS_HEADER)(H111) 및 제2 헤더(IMAGE_FILE_HEADER)(H122) 에 포함되는 필드 값에 근거하여 PE포맷의 실행파일 여부를 판단한다.
이때, 파일판단부(10)는 PE파일이 'MZ'로 시작되는지 여부를 우선판단하고, 'MZ'로 시작되는 경우에는 PE파일의 헤더의 일부분을 추출하여 소정 위치에 'PE00' 이 존재하는지 판단한다.
전술한 바와 같이, PE파일은 제 1헤더(IMAGE_DOS_HEADER)가 'MZ' 라는 DOS 시그니처로 시작되므로, PE파일이 'MZ'로 시작되지 않는 경우 파일판단부(10)는 입력된 파일이 PE파일이 아닌 것으로 판단한다.
또한, 파일판단부(10)는 PE파일의 헤더가 'MZ' 로 시작되는 경우, PE파일의 헤더를 64byte 추출하여 제1헤더(IMAGE_DOS_HEADR)의 제1필드(e_lfanew)의 값을 확인한다. 이때, 제1필드의 값에 대응되는 위치에 'PE00' 가 존재하지 않는 경우에는 입력된 파일이 PE파일이 아닌 것으로 판단한다.
또한, 파일판단부(10)는 입력된 파일이 위의 두 조건을 만족하는 경우, 제2헤더(IMAGE_FILE_HEADER)(H122)를 추출하고, CPU의 종류를 나타내는 제2 헤더의 제2 필드(machine) 값을 확인한다. 이때, 제2 필드(Machine)의 값이 표1에 도시된 바와 같은 경우 입력된 파일이 PE파일인 것으로 최종 판단한다.
이때, 하기 표1에 도시된 바와 같이 제2필드값이 각각 0X014C, 0X0200, 0X8664 중 어느 하나와 일치하지 않는 경우에는 PE파일이 아닌 것으로 판단한다.
정의 의미
IMAGE_FILE_MACHINE_I386 0x014c Intel 386 CPU (32bit)
IMAGE_FILE_MACHINE_IA64 0x0200 Intel 386 CPU (64bit)
IMAGE_FILE_MACHINE_AMD64 0x8664 AMD64(K8) CPU
여기서, 제2필드(Machine)의 값은 실행파일이 실행되는 시스템의 CPU에 관한 것으로 32BIT 인텔 CPU는 제2 필드의 IMAGE_FILE_MACHINE_I386 값이 0X014C가 되고, 64bit 인텔 CPU인 경우 IMAGE_FILE_MACHINE_IA64의 값이 0X0200 이 된다.
이때, 파일판단부(10)에 의해 PE파일 판단에 사용되는 제2필드(Machine)의값은 PE파일의 악성프로그램 여부를 판단하는 범위를 CPU를 이용하는 시스템으로 제한하기 위한 것으로서, PE파일이 실행되는 시스템의 CPU 사양 또는 기술의 발전에 따라 추가되거나 변경될 수 있다.
헤더분석부(30)는 헤더추출부(20)에 의해 추출된 헤더의 복수의 필드 값 중 표2와 같은 필드값을 이용하여 PE파일의 악성프로그램 가능성을 판단한다. 이때, 헤더추출부(20)는 섹션 및 DATA영역에 대한 제3헤더(IMAGE_SECTION_HEADER)를 추출한다.
Headers Field Name 특성
IMAGE_SECTION_HEADER Characteristics 해당 섹션의 특징 표현
IMAGE_SECTION_HEADER SizeOfRawData 해당 섹션의 크기
IMAGE_SECTION_HEADER Name 해당 섹션 명
IMAGE_DOS_HEADER e_lfanew PE 시그니처의 위치
제3 헤더(IMAGE_SECTION_HEADER)는 섹션 에 대한 것으로 각 필드는 각 섹션에 대한 특성값을 포함한다.
헤더분석부(30)는 제3 필드(Characteristics)를 이용하여, 실행가능 속성과 쓰기 속성을 모두 포함하는 섹션이 존재하는지 여부, 실행가능 속성과 코드속성 중 어느 하나만 포함하는 섹션이 존재하는지 여부, 및 제3필드 값 중 실행 가능한 섹션이 존재하지 않는지 여부를 각각 판단한다.
그리고 헤더분석부(30)는 제3헤더(IMAGE_SECTION_HEADER)의 제4필드(Name)값에 인쇄될 수 없는 값을 포함하는 섹션이 존재하는지 여부와, 제5필드(SizeOfRawData)값의 총합이 전체 PE파일의 크기보다 큰지 여부를 판단한다.
또한, 헤더분석부(30)는 제1헤더(IMAGE_DOS_HEADER)(H122)의 제1필드(e_lfanew)값이 제1헤더의 크기보다 작은 경우와 제1헤더의 제1필드값이 정해진 기준보다 큰지 여부를 각각 판단한다.
제3필드(Characteristics)값에 포함되는 섹션 중에 실행가능 속성과 쓰기속성을 모두 포함하는 섹션이 존재하는 경우는 주로 악성프로그램에서 PE파일이 실행되는 동안 코드영역을 수정하기 위한 사용되는 것으로서, 일반적인 PE파일에서는 발생되는 경우가 거의 없으므로, 헤더분석부(30)는 제3 필드(Characteristics)값에 실행가능 속성과 쓰기 속성을 모두 포함하는 섹션이 존재하는 경우 악성프로그램일 가능성이 높은 것으로 판단한다.
또한, 제3필드(Characteristics)의 값 중, 실행가능 속성과 코드속성 중 어느 하나만 포함하는 섹션이 존재하는지 경우와, 제3필드 값 중 실행 가능한 섹션이 존재하지 않는 경우는 악성프로그램이 분석되지 않도록 분석을 방해하기 위해 악성프로그램의 제작자가 임의로 수정하는 경우이다. 일반적인 PE파일은 제3필드값에 포함되는 섹션 중 실행가능 속성을 포함하는 섹션은 코드 속성 또한 포함하며, 실행 가능한 섹션이 적어도 하나 포함된다. 즉, 일반적인 PE파일의 제3필드값에는 실행가능 속성과 코드 속성을 모두 포함하는 섹션이 적어도 하나 존재한다.
제4필드(Name)값에 인쇄될 수 없는 값을 포함하는 섹션이 존재하는지 경우는, 악성프로그램에서 PE파일 분석기를 통해 특정 섹션의 시작과 끝을 용이하게 판단할 수 없도록 하기 위한 것으로 PE파일의 분석을 방해하기 위한 악성프로그램의 특징 중 하나 이며, 일반적인 컴파일러를 이용하여 정상적으로 생성되는 PE파일에서는 발생하지 않는다.
제5필드(SizeOfRawData)값의 총합이 전체 파일의 크기보다 큰 경우는, 악성프로그램에서 특정 섹션의 크기를 매우 크게 설정 함으로서, 악성프로그램을 분석하려는 다른 프로그램에서 악성프로그램을 읽어 들이는데 많은 시간이 소요되도록 하여 분석을 방해하려는 목적으로 수정된 경우이다.
또한, 헤더분석부(30)는 제1헤더(IMAGE_DOS_HEADER)(H122)의 제1필드(e_lfanew)값이 제1헤더의 크기보다 작은 경우는 일반적인 PE파일에서는 발생할 수 없는 경우로서, 악성프로그램의 분석을 방해하기 위해 조작된 것이다.
제1헤더(IMAGE_DOS_HEADER)(H122)의 제1필드(e_lfanew)값이 정해진 기준보다 큰 경우는 일반적으로 PE파일의 IMAGE_DOS_HEADER 및 도스호환더미가 종료되는 위치에 PE 시그니처(H121)가 존재해야 하는데 이를 다른 위치에 위치시킴으로서, 악성프로그램에 대한 분석이 어렵도록 하기 위해 발생된다.
따라서, 헤더분석부(30)는 상기와 같은 7가지 사항에 대하여, 각각 만족 여부를 판단하고, 적어도 하나 만족되는 사항이 존재하는 경우 악성프로그램일 가능성이 높은 것으로 판단한다.
그에 대하여, 악성프로그램 판단부(40)는 헤더분석부(30)의 판단결과에 따라 7가지 사항에 대하여 모두 만족하지 않는 경우에는 정상프로그램으로 판단하고, 적어도 하나 만족하는 경우에는 만족하는 각각에 대하여 가중치를 부여하여 종합한 결과에 따라 최종적으로 악성프로그램 여부를 판단한다.
상기와 같이 구성된 본 발명의 일실시예에 따른 동작을 살펴보면 다음과 같다.
도 3 은 본 발명의 실시예에 따른 악성프로그램 탐지 장치의 탐지 방법에 대한 동작설명에 참조되는 순서도이다.
도 3을 참조하면, 악성프로그램 탐지 장치는 분석할 파일이 입력부(70)의 조작에 따라 선택 및 입력되면(S210), 파일판단부(10)는 파일의 헤더를 이용하여 입력된 파일이 실행파일인지 판단한다(S220).
이때, 파일 판단부(10)는 실행파일이 소정의 시그니처로 시작되는 지, 또는 실행파일을 의미하는 PE 시그니처가 지정된 위치에 위치되는지 여부에 따라 실행파일 여부를 판단한다.
파일판단부(10)의 판단 결과에 따라, 입력된 파일이 실행파일인 경우, 헤더추출부(20)는 헤더를 추가적으로 추출하여 헤더 분석부(30)로 제공한다(S230). 이때, 헤더추출부(20)는 파일판단부(10)에서 추출된 헤더 이외에 헤더분석부(30)에서 사용되는 헤더를 추출한다.
헤더분석부(30)는 실행파일의 헤더를 분석하고, 실행파일의 헤더에 분석을 방해하는 기법이 적용되었는지 여부를 판단하여, 해당 실행파일의 악성프로그램 가능성을 판단한다(S240).
악성프로그램판단부(40)는 헤더분석부(30)의 분석결과에 가중치를 부여하고, 가중치를 종합하여 최종적으로 입력된 실행파일의 악성프로그램 여부를 판단하고(S250), 그에 따른 판단결과를 출력한다.
이때, 제어부(50)는 악성프로그램판단부(40)의 판단결과에 따라 소정의 안내메시지 또는 경고음이 출력부(80)를 통해 출력되도록 한다. 입력된 실행파일이 악성프로그램인 경우에는 악성프로그램임을 알리는 안내메시지 또는 경고음이 출력부(80)를 통해 출력되도록 한다(S260).
실행파일이 정상프로그램인 것으로 판단되는 경우에는 정상프로그램임을 알리는 안내메시지 또는 소정의 효과음이 출력부(80)를 통해 출력되도록 한다(S270)
도 4 는 본 발명의 실시예에 따른 악성프로그램 탐지 장치의 실행 가능한 파일 여부를 판단하는 방법에 대한 동작설명에 참조되는 순서도이다.
도 4를 참조하면, 파일판단부(10)는 제1헤더(IMAGE_DOS_HEADER) 및 제2 헤더(IMAGE_FILE_HEADER)에 포함되는 필드값에 근거하여 입력된 파일이 PE포맷의 실행파일인지 판단한다.
이때, 파일판단부(10)는 제1헤더(IMAGE_DOS_HEADER)(H111)를 추출하고(S310), 추출된 헤더를 분석하여, 'MZ' 로 시작되는지 여부를 우선 판단한다(S320).
제1헤더(IMAGE_DOS_HEADER)가 'MZ' 로 시작되는 경우, 즉 실행파일의 시작이 'MZ'인 경우, 제1헤더의 제1필드(e_lfanew)의 값을 확인하고(S330), 제1필드의 값에 대응되는 위치에 PE시그니처(PE00)(H121)가 존재하지 판단한다(S340).
이때, 제1헤더가 'MZ' 로 시작되지 않는 경우, 그리고 제1필드(e_lfanew)의 값에 대응되는 위치에 PE시그니처가 위치되지 않고 다른 곳에 위치하는 경우에는 입력된 파일이 PE포맷의 실행파일이 아닌 것으로 판단한다(S400).
입력된 파일이 'MZ'로 시작되고, 지정된 위치에 PE시그니처가 위치하는 경우, 헤더추출부(20)는 헤더분석부(30)에서 요구되는 다른 헤더를 추가적으로 추출한다(S350). 이때, 헤더추출부(20)는 PE헤더의 구조체 중 제2 헤더(IMAGE_FILE_HEADER) 및 섹션 헤더(IMAGE_SECTION_HEADER)를 추출한다(S350).
이때, 파일판단부(10)는 제2헤더(IMAGE_FILE_HEADER)에서 실행파일이 실행되는 시스템 사양에 대한 제2필드(machine) 값을 각각 '0X014C', '0X0200', '0X8664' 와 비교한다(S360 내지 S380). 여기서, 제2필드값은 전술한 바와 같이 각각의 시스템 운영체제에 따라 각각 상이한 값을 갖는다.
적어도 어느 하나의 코드가 일치하는 경우에는 입력된 파일이 PE포맷의 실행파일인 것으로 판단한다(S390). 한편, 일치하지 않는 경우에는 PE파일이 아닌 것으로 판단한다(S400).
도 5 는 본 발명의 실시예에 따른 악성프로그램 탐지 장치의 실행 가능한 파일 여부를 판단하는 방법에 대한 동작설명에 참조되는 순서도이다.
도 5 를 참조하면, 헤더분석부(3)는 파일판단부(10)에 의해 입력된 파일이 PE포맷의 실행파일인 것으로 판단되면, 실행파일이 악성프로그램일 가능성을 판단한다.
헤더분석부(30)는 제3헤더(IMAGE_SECTION_HEADER)의 제3 필드(CHARACTERISTICS)의 값을 이용하여, 실행가능 속성과 쓰기 속성을 모두 포함하는 섹션이 존재하는지 여부(S420), 실행가능 속성과 코드속성 중 어느 하나만 포함하는 섹션이 존재하는지 여부(S430), 실행 가능한 섹션이 존재하지 않는지(S440), 즉 포함되는 모든 섹션이 실행 불가능한지 여부를 판단한다.
또한, 헤더분석부(30)는 제3헤더(IMAGE_SECTION_HEADER)의 제4필드(Name)값에 따라, 인쇄될 수 없는 값을 포함하는 섹션이 존재하는지 여부(S450)와, 제5필드(SizeOfRawData)값의 총합이 전체 파일의 크기보다 큰지 여부를 판단하고(S460), 또한 제1헤더(IMAGE_DOS_HEADER)(H111)의 제1필드(e_lfanew) 값이 제1헤더(H111)의 크기보다 작은 경우와 제1헤더의 제1필드값이 정해진 기준값 보다 큰지 여부를 판단한다(S470).
상기와 같은 사항에 대하여 조건의 만족여부를 상기와 같은 순서로 순차적으로 판단하는 것은 아니며, 각 조건에 대한 판단순서는 변경될 수 있다.
헤더분석부(30)는 상기와 같은 조건 각각에 대하여, 입력된 실행파일의 악성프로그램일 가능성을 판단하여, 악성프로그램 판단부(40)로 판단결과를 전달하고, 악성프로그램 판단부(40)는 각각의 판단결과에 대하여 가중치를 부여한 후 그 종합결과에 따라 최종적으로 악성프로그램여부를 판단한다.
따라서, 본 발명에 따른 악성프로그램 탐지 장치 및 방법은 실행파일의 헤더를 분석하여, 소정 조건의 만족 여부에 따라, 실행파일 여부 및 악성프로그램 여부를 판단함으로서 새로운 형태의 악성프로그램에도 대응 가능하다.
이상과 같이 본 발명에 의한 악성프로그램 탐지 장치 및 방법은 예시된 도면을 참조로 설명하였으나, 본 명세서에 개시된 실시예와 도면에 의해 본 발명은 이에 한정되지 않고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 응용될 수 있다.
도 1 은 본 발명의 실시예에 따른 악성프로그램 탐지 장치의 구조 설명에 참조되는 블록도,
도 2 는 본 발명의 실시예에 따른 실행 가능한 파일의 헤더의 구조 설명에 참조되는 도,
도 3 은 본 발명의 실시예에 따른 악성프로그램 탐지 장치의 탐지 방법에 대한 동작설명에 참조되는 순서도,
도 4 는 본 발명의 실시예에 따른 악성프로그램 탐지 장치의 실행 가능한 파일 여부를 판단하는 방법에 대한 동작설명에 참조되는 순서도,
도 5 는 본 발명의 실시예에 따른 악성프로그램 탐지 장치의 악성프로그램 여부 판단 방법에 대한 동작설명에 참조되는 순서도이다.
<도면의 주요 부분에 관한 부호의 설명>
10: 파일 판단부 20: 헤더 추출부
30: 헤더 분석부 40: 악성프로그램 판단부
100: 악성프로그램 탐지부
50: 제어부 60: 데이터부
70: 입력부 80: 출력부

Claims (14)

  1. 입력되는 파일의 헤더를 분석하여, 상기 파일의 실행파일 여부를 판단하는 단계;
    상기 파일이 실행파일인 경우, 상기 파일의 헤더를 분석하여, 기 설정된 조건에 따라 상기 파일의 악성프로그램 여부를 판단하는 단계; 및,
    상기 파일이 악성프로그램인 경우 악성프로그램에 대한 안내를 출력하는 단계를 포함하는 것을 특징으로 하는 악성프로그램 탐지 방법.
  2. 제 1 항에 있어서,
    상기 실행파일 판단 단계는 상기 파일의 헤더가 제1 시그니처(Signature)로 시작되는지 판단하는 단계를 더 포함하는 것을 특징으로 하는 악성프로그램 탐지 방법.
  3. 제 2 항에 있어서,
    상기 실행파일 판단단계는 상기 파일의 헤더가 제1 시그니처(Signature)로 시작되는 경우, 상기 파일의 제2 시그니처(Signature)가 지정된 위치에 위치되는지 판단하여, 지정된 위치에 존재하는 경우 상기 파일이 실행파일인 것으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 악성프로그램 탐지 방법.
  4. 제 1 항에 있어서,
    상기 악성프로그램 판단단계는 실행가능 속성과 쓰기 속성을 모두 포함하는 섹션이 존재하는지 여부를 판단하고, 판단결과에 따라 악성프로그램 여부에 대한 최종판단 단계를 수행하는 것을 특징으로 하는 악성프로그램 탐지 방법.
  5. 제 1 항에 있어서,
    상기 악성프로그램 판단단계는 실행가능 속성과 코드속성 중 어느 하나만 포함하는 섹션이 존재하는지 여부를 판단하고, 판단결과에 따라 악성프로그램 여부에 대한 최종판단 단계를 수행하는 것을 특징으로 하는 악성프로그램 탐지 방법.
  6. 제 1 항에 있어서,
    상기 악성프로그램 판단단계는 실행 가능한 섹션이 존재하지 않는 지 여부를 판단하고, 판단결과에 따라 악성프로그램 여부에 대한 최종판단 단계를 수행하는 것을 특징으로 하는 악성프로그램 탐지 방법.
  7. 제 1 항에 있어서,
    상기 악성프로그램 판단단계는 인쇄될 수 없는 값을 포함하는 섹션이 존재하는 지 여부를 판단하고, 판단결과에 따라 악성프로그램 여부에 대한 최종판단 단계를 수행하는 것을 특징으로 하는 악성프로그램 탐지 방법.
  8. 제 1 항에 있어서,
    상기 악성프로그램 판단단계는 상기 파일에 포함되는 섹션의 크기의 총합이 전체 파일의 크기보다 큰 지 여부를 판단하고, 판단결과에 따라 악성프로그램 여부에 대한 최종판단 단계를 수행하는 것을 특징으로 하는 악성프로그램 탐지 방법.
  9. 제 1 항에 있어서,
    상기 악성프로그램 판단단계는 상기 파일에 포함되는 복수의 헤더 중, 제1 헤더의 끝 및 제2 헤더의 시작을 지시하는 값이 제1헤더의 크기보다 작은 지 여부를 판단하고, 판단결과에 따라 악성프로그램 여부에 대한 최종판단 단계를 수행하는 것을 특징으로 하는 악성프로그램 탐지 방법.
  10. 제 1 항에 있어서,
    상기 악성프로그램 판단단계는 제2 시그니처(Signature)의 위치를 지정하는 값이 기 설정된 기준값보다 큰 지 여부를 판단하고, 판단결과에 따라 악성프로그램 여부에 대한 최종판단 단계를 수행하는 것을 특징으로 하는 악성프로그램 탐지 방법.
  11. 제 4 항 내지 제 10항 중 어느 한 항에 있어서,
    상기 최종판단 단계는 상기 판단결과 기 설정된 조건을 만족하는 경우 각 조건에 대한 가중치를 종합하여 상기 파일이 악성프로그램인 것으로 판단하는 것을 특징으로 하는 악성프로그램 탐지 방법.
  12. 입력된 파일의 헤더를 추출하는 헤더추출부;
    상기 파일의 실행파일 여부를 판단하는 파일판단부;
    상기 파일판단부의 판단결과에 따라 상기 추출된 상기 파일의 헤더를 분석하여 상기 파일의 악성프로그램 가능성을 판단하는 헤더분석부; 및,
    상기 헤더분석부의 판단결과를 종합하여 최종적으로 상기 파일의 악성프로그램여부를 판단하고 출력하는 악성프로그램 판단부를 포함하는 것을 특징으로 하는 악성프로그램 탐지 장치.
  13. 제 12 항에 있어서,
    상기 파일판단부는 상기 파일의 헤더가 제1 시그니처(Signature)로 시작되고, 상기 파일의 제2 시그니처(Signature)가 지정된 위치에 존재하는지 여부를 판단하여, 상기 파일이 PE포맷의 실행파일인 것으로 판단하는 것을 특징으로 하는 악성프로그램 탐지 장치.
  14. 제 12 항에 있어서,
    상기 헤더분석부는 상기 파일의 헤더에, 실행가능 속성과 쓰기 속성을 모두 포함하는 섹션이 존재하는 경우,
    실행가능 속성과 코드속성 중 어느 하나만 포함하는 섹션이 존재하는 경우,
    실행 가능한 섹션이 존재하지 않는 경우,
    인쇄될 수 없는 값을 포함하는 섹션이 존재하는 경우,
    상기 파일에 포함되는 섹션의 크기의 총합이 전체 파일의 크기보다 큰 경우
    상기 제1 헤더의 끝 및 제2 헤더의 시작을 지시하는 값이 제1헤더의 크기보다 작은 경우, 및
    상기 제1 헤더의 제1 필드값이 정해진 기준값보다 큰 경우 중 적어도 어느 하나를 만족하는 경우, 상기 파일의 악성프로그램 여부를 판단하는 것을 특징으로 하는 악성프로그램 탐지 장치.
KR1020070119190A 2007-11-21 2007-11-21 악성프로그램 탐지장치 및 그 방법 KR100942795B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070119190A KR100942795B1 (ko) 2007-11-21 2007-11-21 악성프로그램 탐지장치 및 그 방법
US12/209,249 US20090133125A1 (en) 2007-11-21 2008-09-12 Method and apparatus for malware detection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070119190A KR100942795B1 (ko) 2007-11-21 2007-11-21 악성프로그램 탐지장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20090052596A true KR20090052596A (ko) 2009-05-26
KR100942795B1 KR100942795B1 (ko) 2010-02-18

Family

ID=40643402

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070119190A KR100942795B1 (ko) 2007-11-21 2007-11-21 악성프로그램 탐지장치 및 그 방법

Country Status (2)

Country Link
US (1) US20090133125A1 (ko)
KR (1) KR100942795B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101064940B1 (ko) * 2009-04-22 2011-09-15 주식회사 안철수연구소 악성 코드 재검사 방지 정보의 장시간 운용 방법, 장치 및 그 방법을 실행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체
KR101288833B1 (ko) * 2012-02-01 2013-08-23 주식회사 인프라웨어테크놀러지 오피스문서를 통한 악성 프로그램 유포 차단 방법 및 이를 위한 컴퓨터로 판독가능한 기록매체
KR101390475B1 (ko) * 2013-02-05 2014-04-29 주식회사 윈스 네트워크 기반의 악성코드 탐지 시스템 및 탐지 방법
KR101518233B1 (ko) * 2014-03-31 2015-05-12 순천향대학교 산학협력단 기업 내부 전산환경의 위협탐지를 위한 보안 장치
KR20150136919A (ko) * 2014-05-28 2015-12-08 주식회사 안랩 악성파일진단장치 및 악성파일진단장치의 진단 방법

Families Citing this family (181)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US8850571B2 (en) * 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8181251B2 (en) * 2008-12-18 2012-05-15 Symantec Corporation Methods and systems for detecting malware
US8621625B1 (en) * 2008-12-23 2013-12-31 Symantec Corporation Methods and systems for detecting infected files
US8418251B1 (en) * 2009-04-27 2013-04-09 Symantec Corporation Detecting malware using cost characteristics
CA2806368C (en) * 2009-07-29 2019-04-30 Reversinglabs Corporation Portable executable file analysis
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
KR20120072120A (ko) * 2010-12-23 2012-07-03 한국전자통신연구원 악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법
US9111094B2 (en) * 2011-01-21 2015-08-18 F-Secure Corporation Malware detection
TWI432987B (zh) * 2011-03-15 2014-04-01 Phison Electronics Corp 記憶體儲存裝置、其記憶體控制器與病毒掃描方法
US9519782B2 (en) 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
US9135439B2 (en) * 2012-10-05 2015-09-15 Trustwave Holdings, Inc. Methods and apparatus to detect risks using application layer protocol headers
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9009822B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
WO2014145805A1 (en) 2013-03-15 2014-09-18 Mandiant, Llc System and method employing structured intelligence to verify and contain threats at endpoints
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
WO2014210050A1 (en) 2013-06-24 2014-12-31 Cylance Inc. Automated system for generative multimodel multiclass classification and similarity analysis using machine learning
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US10089461B1 (en) 2013-09-30 2018-10-02 Fireeye, Inc. Page replacement code injection
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9292686B2 (en) 2014-01-16 2016-03-22 Fireeye, Inc. Micro-virtualization architecture for threat-aware microvisor deployment in a node of a network environment
US8930916B1 (en) 2014-01-31 2015-01-06 Cylance Inc. Generation of API call graphs from static disassembly
US9262296B1 (en) * 2014-01-31 2016-02-16 Cylance Inc. Static feature extraction from structured files
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
JP6662782B2 (ja) 2014-02-07 2020-03-11 サイランス・インコーポレイテッドCylance Inc. 識別のためのアンサンブル機械学習を利用するアプリケーション実行コントロール
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
CN104331308B (zh) * 2014-10-30 2017-08-22 章立春 一种pe程序文件加载执行方法
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US9465940B1 (en) 2015-03-30 2016-10-11 Cylance Inc. Wavelet decomposition of software entropy to identify malware
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9495633B2 (en) 2015-04-16 2016-11-15 Cylance, Inc. Recurrent neural networks for malware analysis
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
KR101710918B1 (ko) * 2015-11-30 2017-02-28 (주)이스트소프트 사용자파일을 암호화하는 악성코드의 모니터링 장치 및 방법
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
CN109002710B (zh) * 2017-06-07 2021-06-22 中国移动通信有限公司研究院 一种检测方法、装置及计算机可读存储介质
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
CN107291513B (zh) * 2017-07-04 2020-07-31 武汉斗鱼网络科技有限公司 文件加载方法及装置、计算机可读存储介质
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
KR101938203B1 (ko) * 2017-10-11 2019-01-14 주식회사 티지아이씨컴퓨터 컴퓨터 시스템의 하드웨어 및 소프트웨어의 에러 발생 여부를 통합적으로 관리하는 장치
KR101938202B1 (ko) * 2017-10-27 2019-01-14 장성욱 컴퓨터 시스템에 포함된 하드웨어의 에러 발생 여부를 통합적으로 관리하여 백업 및 복구를 수행하여 외부 단말에 알리는 방법
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
KR101941105B1 (ko) * 2017-10-27 2019-01-22 주식회사 지음 컴퓨터 시스템에 포함된 하드웨어의 에러 발생 여부를 통합적으로 관리하여 백업 및 복구를 수행하여 외부 단말에 알리는 방법
KR101920597B1 (ko) 2017-11-16 2018-11-21 숭실대학교산학협력단 동적 코드 추출 기반 자동 분석 방지 우회 및 코드 로직 해석 장치
CN108334778B (zh) * 2017-12-20 2021-12-31 北京金山安全管理系统技术有限公司 病毒检测方法、装置、存储介质及处理器
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
KR101880686B1 (ko) 2018-02-28 2018-07-20 에스지에이솔루션즈 주식회사 Ai 딥러닝 기반의 악성코드 탐지 시스템
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
US12074887B1 (en) 2018-12-21 2024-08-27 Musarubra Us Llc System and method for selectively processing content after identification and removal of malicious content
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11614987B2 (en) * 2019-03-26 2023-03-28 Hcl Technologies Limited Verifying data loading requirements of an avionics unit
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
CN111368298B (zh) * 2020-02-27 2023-07-21 腾讯科技(深圳)有限公司 一种病毒文件识别方法、装置、设备及存储介质
KR102393913B1 (ko) 2020-04-27 2022-05-03 (주)세이퍼존 이상행위 탐지 장치, 방법 및 이를 포함하는 시스템
CN113434863B (zh) * 2021-06-25 2023-11-24 上海观安信息技术股份有限公司 一种基于pe文件结构实现主机远程控制方法及装置
US20230179607A1 (en) * 2021-12-03 2023-06-08 Juniper Networks, Inc. Blocking or allowing a file stream associated with a file based on an initial portion of the file
US20230185915A1 (en) * 2021-12-14 2023-06-15 Palo Alto Networks, Inc. Detecting microsoft windows installer malware using text classification models

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6367012B1 (en) * 1996-12-06 2002-04-02 Microsoft Corporation Embedding certifications in executable files for network transmission
IL120420A (en) * 1997-03-10 1999-12-31 Security 7 Software Ltd Method and system for preventing the downloading and execution of executable objects
US7093239B1 (en) * 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
KR100516304B1 (ko) * 2003-05-16 2005-09-26 주식회사 안철수연구소 프로세스메모리의 악성코드 검출기 및 그 방법
US7523500B1 (en) * 2004-06-08 2009-04-21 Symantec Corporation Filtered antivirus scanning
US7805765B2 (en) * 2004-12-28 2010-09-28 Lenovo (Singapore) Pte Ltd. Execution validation using header containing validation data
US7349931B2 (en) * 2005-04-14 2008-03-25 Webroot Software, Inc. System and method for scanning obfuscated files for pestware
KR100620313B1 (ko) * 2005-06-15 2006-09-06 (주)이월리서치 마이크로소프트 실행파일의 구조적 특성을 이용한 악성프로그램 검출 시스템 및 방법
US20080134326A2 (en) * 2005-09-13 2008-06-05 Cloudmark, Inc. Signature for Executable Code
US7779472B1 (en) * 2005-10-11 2010-08-17 Trend Micro, Inc. Application behavior based malware detection
US20070245417A1 (en) 2006-04-17 2007-10-18 Hojae Lee Malicious Attack Detection System and An Associated Method of Use
US20090013405A1 (en) * 2007-07-06 2009-01-08 Messagelabs Limited Heuristic detection of malicious code

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101064940B1 (ko) * 2009-04-22 2011-09-15 주식회사 안철수연구소 악성 코드 재검사 방지 정보의 장시간 운용 방법, 장치 및 그 방법을 실행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체
KR101288833B1 (ko) * 2012-02-01 2013-08-23 주식회사 인프라웨어테크놀러지 오피스문서를 통한 악성 프로그램 유포 차단 방법 및 이를 위한 컴퓨터로 판독가능한 기록매체
KR101390475B1 (ko) * 2013-02-05 2014-04-29 주식회사 윈스 네트워크 기반의 악성코드 탐지 시스템 및 탐지 방법
KR101518233B1 (ko) * 2014-03-31 2015-05-12 순천향대학교 산학협력단 기업 내부 전산환경의 위협탐지를 위한 보안 장치
KR20150136919A (ko) * 2014-05-28 2015-12-08 주식회사 안랩 악성파일진단장치 및 악성파일진단장치의 진단 방법

Also Published As

Publication number Publication date
US20090133125A1 (en) 2009-05-21
KR100942795B1 (ko) 2010-02-18

Similar Documents

Publication Publication Date Title
KR100942795B1 (ko) 악성프로그램 탐지장치 및 그 방법
US8117660B2 (en) Secure control flows by monitoring control transfers
RU2589862C1 (ru) Способ обнаружения вредоносного кода в оперативной памяти
US8621624B2 (en) Apparatus and method for preventing anomaly of application program
JP5908132B2 (ja) プログラムの脆弱点を用いた攻撃の探知装置および方法
RU2514140C1 (ru) Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов
RU2531861C1 (ru) Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
US7779472B1 (en) Application behavior based malware detection
GB2499932B (en) Detecting a return-oriented programming exploit
US9081967B2 (en) System and method for protecting computers from software vulnerabilities
US8079085B1 (en) Reducing false positives during behavior monitoring
US10055585B2 (en) Hardware and software execution profiling
JP4929403B2 (ja) コンピュータにおける悪意プログラム自動保護方法及び装置
US8904536B2 (en) Heuristic method of code analysis
KR101720686B1 (ko) 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법
JP5265061B1 (ja) 悪意のあるファイル検査装置及び方法
JP2018041438A (ja) ファイル中の悪意のあるコードの検出システム及び方法
CN105260659A (zh) 一种基于qemu的内核级代码重用型攻击检测方法
US9038161B2 (en) Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor
JP2010262609A (ja) 効率的なマルウェアの動的解析手法
CN114065196A (zh) Java内存马检测方法、装置、电子设备与存储介质
KR101262228B1 (ko) 문서기반 악성코드 탐지 장치 및 방법
RU2592383C1 (ru) Способ формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти
CN107239703B (zh) 一种动态链接库缺失的可执行程序的动态分析方法
CN111898120A (zh) 控制流完整性保护方法及装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130205

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140123

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150126

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160222

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170203

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180126

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20200210

Year of fee payment: 11