KR20090084530A - 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치 - Google Patents
스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치 Download PDFInfo
- Publication number
- KR20090084530A KR20090084530A KR1020080010767A KR20080010767A KR20090084530A KR 20090084530 A KR20090084530 A KR 20090084530A KR 1020080010767 A KR1020080010767 A KR 1020080010767A KR 20080010767 A KR20080010767 A KR 20080010767A KR 20090084530 A KR20090084530 A KR 20090084530A
- Authority
- KR
- South Korea
- Prior art keywords
- code
- blocking
- attack
- hooking
- database
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2139—Recurrent verification
Abstract
Description
Claims (11)
- 악성 코드의 시그니처 정보가 저장되어 있는 시그니처 데이터베이스 및 시스템 보호 관련 정책이 저장되어 있는 정책 데이터베이스를 메모리에 로드하는 단계;스크립트 코드와 보호 대상 객체 사이의 단계에 위치하며 스크립트 코드 및 상기 보호 대상 객체가 함께 사용하는 운영체제의 공유 라이브러리를 후킹하는 단계;상기 후킹 단계를 통해 후킹된 상기 공유 라이브러리의 인터페이스를 상기 시그니처 데이터베이스 및 상기 정책 데이터베이스에 기초하여 검사하는 단계;상기 스크립트 코드가 악성 코드인지 여부를 상기 검사 결과에 기초하여 판단하는 단계를 포함하는스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지 및 차단 방법.
- 제 1 항에 있어서,상기 보호 대상 객체는 COM(Component Object Model) 객체를 포함하는방법.
- 제 1 항에 있어서상기 정책 데이터베이스는 각 객체별로 설정된 보호 정책을 포함하는방법.
- 제 1 항에 있어서,상기 판단 결과 악성 코드라고 판단될 경우 상기 객체의 생성 또는 실행을 차단하는 단계를 더 포함하는방법.
- 제 1 항에 있어서,상기 판단 결과 정상 스크립트 코드라고 판단될 경우 상기 정책 데이터베이스를 기반으로 상기 객체가 차단 객체인지 여부를 검사하는 단계; 및상기 검사 결과 차단 객체이면 상기 객체의 생성 또는 실행을 차단하는 단계를 더 포함하는방법.
- 제 1 항에 있어서,상기 검사하는 단계는 상기 보호 대상 객체의 생성 시부터 소멸 시까지 수행 되는방법.
- 시스템 보호 관련 정책이 저장되어 있는 정책 데이터베이스를 메모리에 로드하는 단계;스크립트 코드와 보호 대상 객체 사이의 통신을 담당하며 상기 스크립트 코드 및 상기 보호 대상 객체가 함께 사용하는 운영체제의 공유 라이브러리를 후킹하는 단계;상기 후킹 단계를 통해 후킹된 상기 공유 라이브러리의 인터페이스를 상기 정책 데이터베이스에 기초하여 검사하여 상기 보호 대상 객체가 차단 객체로 설정되어 있는지 여부를 판단하는 단계; 및상기 판단 결과 차단 객체인 경우 객체의 생성 또는 실행을 차단하는 단계를 포함하는스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지 및 차단 방법.
- 제 7 항에 있어서,상기 보호 대상 객체는 COM 객체를 포함하는방법.
- 제 1 항에 있어서,상기 판단하는 단계는 상기 보호 대상 객체의 생성 시부터 소멸 시까지 수행되는방법.
- 악성 코드의 시그니처 정보가 저장되어 있는 시그니처 데이터베이스;시스템 보호 관련 정책이 저장되어 있는 정책 데이터베이스;공유 라이브러리를 후킹하는 후킹 엔진;상기 시그니처 데이터베이스 및 상기 정책 데이터베이스를 기반으로 하여 공격 코드의 존재 여부를 판단하는 결정 엔진을 포함하는스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지 및 차단 장치.
- 제 1 항 내지 제 9 항 중 어느 한 항에 의한 방법을 실행하기 위한 컴퓨터로 읽을 수 있는 프로그램을 기록한 기록매체.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080010767A KR100985071B1 (ko) | 2008-02-01 | 2008-02-01 | 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080010767A KR100985071B1 (ko) | 2008-02-01 | 2008-02-01 | 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090084530A true KR20090084530A (ko) | 2009-08-05 |
KR100985071B1 KR100985071B1 (ko) | 2010-10-05 |
Family
ID=41205069
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080010767A KR100985071B1 (ko) | 2008-02-01 | 2008-02-01 | 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100985071B1 (ko) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101628101B1 (ko) * | 2014-12-31 | 2016-06-09 | 주식회사 시큐아이 | 시그니처 탐지를 위한 침입 차단 시스템 장비 |
KR20180004462A (ko) * | 2016-07-04 | 2018-01-12 | 순천향대학교 산학협력단 | 키 백업을 사용한 랜섬웨어 방지 시스템 및 방법 |
KR102067733B1 (ko) * | 2019-05-15 | 2020-01-17 | 세종대학교산학협력단 | 포맷 스트링 취약점 검출 방법 및 이를 수행하기 위한 장치 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101181843B1 (ko) | 2010-12-21 | 2012-09-11 | 한국인터넷진흥원 | 후킹 기법을 이용한 난독화 자바 스크립트 자동해독 및 악성 웹 사이트 탐지 방법 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100518584B1 (ko) * | 2003-07-12 | 2005-10-04 | 삼성전자주식회사 | 공유 라이브러리 시스템 및 상기 시스템 구축 방법 |
-
2008
- 2008-02-01 KR KR1020080010767A patent/KR100985071B1/ko active IP Right Grant
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101628101B1 (ko) * | 2014-12-31 | 2016-06-09 | 주식회사 시큐아이 | 시그니처 탐지를 위한 침입 차단 시스템 장비 |
KR20180004462A (ko) * | 2016-07-04 | 2018-01-12 | 순천향대학교 산학협력단 | 키 백업을 사용한 랜섬웨어 방지 시스템 및 방법 |
KR102067733B1 (ko) * | 2019-05-15 | 2020-01-17 | 세종대학교산학협력단 | 포맷 스트링 취약점 검출 방법 및 이를 수행하기 위한 장치 |
Also Published As
Publication number | Publication date |
---|---|
KR100985071B1 (ko) | 2010-10-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3039608B1 (en) | Hardware and software execution profiling | |
KR102307534B1 (ko) | 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들 | |
KR101265173B1 (ko) | 비실행 파일 검사 장치 및 방법 | |
US9424426B2 (en) | Detection of malicious code insertion in trusted environments | |
Wysopal et al. | Static detection of application backdoors: Detecting both malicious software behavior and malicious indicators from the static analysis of executable code | |
US20180075233A1 (en) | Systems and methods for agent-based detection of hacking attempts | |
US9600665B2 (en) | Monitoring device and monitoring method | |
JP2012501028A (ja) | コード解析の発見的方法 | |
US9104860B2 (en) | Systems, methods and media for managing process image hijacks | |
JP6000465B2 (ja) | プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法 | |
CN113632432B (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
JP2013168141A (ja) | マルウェアの検出方法 | |
CN110717181B (zh) | 基于新型程序依赖图的非控制数据攻击检测方法及装置 | |
Verma et al. | A literature review on malware and its analysis | |
KR100985071B1 (ko) | 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치 | |
KR100745640B1 (ko) | 커널 메모리를 보호하는 방법 및 그 장치 | |
KR100666562B1 (ko) | 커널 드라이버 및 프로세스 보호 방법 | |
EP4016343A1 (en) | Processor arrangement for monitoring control-flow integrity | |
US10402564B2 (en) | Fine-grained analysis and prevention of invalid privilege transitions | |
JP5177206B2 (ja) | ソフトウェアの改竄検出装置及び改竄検出方法 | |
Albabtain et al. | The process of reverse engineering GPU malware and provide protection to GPUs | |
US20190294795A1 (en) | Threat Detection System | |
Kirmani et al. | Analyzing detection avoidance of malware by process hiding | |
Kim et al. | Detection and Blocking Method against DLL Injection Attack Using PEB-LDR of ICS EWS in Smart IoT Environments | |
US20210157925A1 (en) | Selective runtime activation of anti-rop defense |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130930 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140929 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20150929 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20160928 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20170928 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20180928 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20190930 Year of fee payment: 10 |