KR20100005518A - 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 - Google Patents
확장자를 위장한 파일을 탐지하는 방법 및 그 장치 Download PDFInfo
- Publication number
- KR20100005518A KR20100005518A KR1020080065590A KR20080065590A KR20100005518A KR 20100005518 A KR20100005518 A KR 20100005518A KR 1020080065590 A KR1020080065590 A KR 1020080065590A KR 20080065590 A KR20080065590 A KR 20080065590A KR 20100005518 A KR20100005518 A KR 20100005518A
- Authority
- KR
- South Korea
- Prior art keywords
- file
- extension
- extracting
- detecting
- header information
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
Claims (13)
- 파일의 파일명으로부터 확장자를 추출하는 표시확장자 추출단계;확장자와 이에 대응되는 헤더정보로 구성되어 있는 데이터베이스로부터 상기 표시확장자에 해당하는 헤더정보를 추출하는 단계;상기 파일의 정적분석을 수행하여 상기 추출된 헤더정보와 실제 파일의 내용이 일치하는지 여부를 판단하는 단계 및일치하는 경우에는 상기 파일의 확장자는 변조되지 않은 것으로 판단하고, 일치하지 않는 경우에는 상기 파일의 확장자는 변조된 것으로 판단하는 단계를 포함하는 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 방법.
- 제1항에 있어서,네트워크를 통해서 파일의 전송요청을 감지하는 단계를 더 포함하고,상기 추출단계의 파일은 상기 감지된 파일인 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 방법.
- 제 2항에 있어서변조되지 않는 것으로 판단된 경우에는 상기 파일의 전송을 허용하고, 변조 된 것으로 판단된 경우에는 상기 파일의 전송을 차단하는 단계를 더 포함하는 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 방법.
- 제1항에 있어서,파일 조작을 위한 파일IO를 감지하는 단계를 더 포함하고,상기 추출단계의 파일은 상기 감지된 파일인 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 방법.
- 제 1항에 있어서변조된 것으로 판단된 경우에는 상기 파일에 대한 악성코드를 검사하는 단계를 더 포함하는 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 방법.
- 파일의 파일명으로부터 확장자를 추출하는 표시확장자 추출단계;상기 파일의 정적분석을 수행하여 상기 파일의 헤더정보를 추출하는 단계;확장자와 이에 대응되는 헤더정보로 구성되어 있는 데이터베이스로부터 상기 추출된 헤더정보에 해당하는 확장자를 추출하는 실제확장자 추출단계;상기 표시확장자와 상기 실제확장자가 일치하는지 여부를 판단하는 단계 및일치하는 경우에는 상기 파일의 확장자는 변조되지 않은 것으로 판단하고, 일치하지 않는 경우에는 상기 파일의 확장자는 변조된 것으로 판단하는 단계를 포함하는 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 방법.
- 제6항에 있어서,사용자로부터 파일을 입력받는 단계를 더 포함하고,상기 표시확장자 추출단계의 파일은 상기 입력받은 파일인 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 방법.
- 제 6항에 있어서변조된 것으로 판단된 경우에는 상기 파일의 확장자를 실제확장자로 변경하는 단계를 더 포함하는 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 방법.
- 확장자와 이에 대응되는 헤더정보로 구성되어 있는 파일헤더구조 데이터베이스 및파일의 파일명으로부터 표시확장자를 추출하고, 상기 파일헤더구조 데이터베 이스로부터 상기 표시확장자에 해당하는 헤더정보를 추출한 후에 실제 파일의 내용과 비교하여, 일치하는 경우에는 상기 파일의 확장자는 변조되지 않은 것으로 판단하고, 일치하지 않는 경우에는 상기 파일의 확장자는 변조된 것으로 판단하는 제어모듈을 포함하는 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 장치.
- 제 9항에 있어서,네트워크를 통해서 파일의 전송요청을 감지하는 네트워크 필터 드라이버를 더 더 포함하고,상기 추출단계의 파일은 상기 감지된 파일인 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 장치.
- 제 9항에 있어서,파일 조작을 위한 파일IO를 감지하는 파일필터 드라이버를 더 포함하고,상기 추출단계의 파일은 상기 감지된 파일인 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 장치.
- 제 9항에 있어서변조된 것으로 판단된 경우에는 상기 파일에 대한 악성코드를 검사하는 악성코드 검사모듈을 더 포함하는 것을 특징으로 하는 확장자를 위장한 파일을 탐지하는 장치.
- 파일의 파일명으로부터 확장자를 추출하는 표시확장자 추출단계;확장자와 이에 대응되는 헤더정보로 구성되어 있는 데이터베이스로부터 상기 표시확장자에 해당하는 헤더정보를 추출하는 단계;상기 파일의 정적분석을 수행하여 상기 추출된 헤더정보와 실제 파일의 내용이 일치하는지 여부를 판단하는 단계 및일치하는 경우에는 상기 파일의 확장자는 변조되지 않은 것으로 판단하고, 일치하지 않는 경우에는 상기 파일의 확장자는 변조된 것으로 판단하는 단계를 수행할 수 있는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080065590A KR100992434B1 (ko) | 2008-07-07 | 2008-07-07 | 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080065590A KR100992434B1 (ko) | 2008-07-07 | 2008-07-07 | 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100005518A true KR20100005518A (ko) | 2010-01-15 |
KR100992434B1 KR100992434B1 (ko) | 2010-11-05 |
Family
ID=41814889
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080065590A KR100992434B1 (ko) | 2008-07-07 | 2008-07-07 | 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100992434B1 (ko) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101161493B1 (ko) * | 2010-01-18 | 2012-06-29 | (주)쉬프트웍스 | 안드로이드 단말 플랫폼에서의 악성 코드와 위험 파일의 진단 방법 |
KR101247943B1 (ko) * | 2012-09-21 | 2013-04-02 | 주식회사 윈스테크넷 | 화이트리스트를 이용한 바이러스 검사 장치 및 방법 |
KR101311367B1 (ko) * | 2013-04-09 | 2013-09-25 | 주식회사 안랩 | 메모리 보호기능 우회 공격 진단 장치 및 방법 |
US8627478B2 (en) | 2012-05-11 | 2014-01-07 | Ahnlab, Inc. | Method and apparatus for inspecting non-portable executable files |
WO2014010847A1 (ko) * | 2012-07-09 | 2014-01-16 | 주식회사 안랩 | 악성 애플리케이션 진단장치 및 방법 |
WO2014010829A1 (ko) * | 2012-07-09 | 2014-01-16 | 주식회사 안랩 | 캐싱을 이용한 악성코드 진단장치 및 방법 |
US8646076B1 (en) | 2012-09-11 | 2014-02-04 | Ahnlab, Inc. | Method and apparatus for detecting malicious shell codes using debugging events |
WO2014035043A1 (ko) * | 2012-09-03 | 2014-03-06 | 주식회사 안랩 | 악성 애플리케이션 진단 장치 및 방법 |
US8763128B2 (en) | 2012-05-11 | 2014-06-24 | Ahnlab, Inc. | Apparatus and method for detecting malicious files |
KR101642222B1 (ko) * | 2015-03-21 | 2016-07-22 | 홍동철 | 안드로이드 운영체제에서의 스파이 애플리케이션 및 시스템 변조 탐지 방법 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103685135B (zh) * | 2012-08-30 | 2018-09-07 | 腾讯科技(深圳)有限公司 | 对下载文件进行安全监控方法及系统 |
-
2008
- 2008-07-07 KR KR1020080065590A patent/KR100992434B1/ko active IP Right Grant
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101161493B1 (ko) * | 2010-01-18 | 2012-06-29 | (주)쉬프트웍스 | 안드로이드 단말 플랫폼에서의 악성 코드와 위험 파일의 진단 방법 |
US8627478B2 (en) | 2012-05-11 | 2014-01-07 | Ahnlab, Inc. | Method and apparatus for inspecting non-portable executable files |
US8763128B2 (en) | 2012-05-11 | 2014-06-24 | Ahnlab, Inc. | Apparatus and method for detecting malicious files |
WO2014010847A1 (ko) * | 2012-07-09 | 2014-01-16 | 주식회사 안랩 | 악성 애플리케이션 진단장치 및 방법 |
WO2014010829A1 (ko) * | 2012-07-09 | 2014-01-16 | 주식회사 안랩 | 캐싱을 이용한 악성코드 진단장치 및 방법 |
WO2014035043A1 (ko) * | 2012-09-03 | 2014-03-06 | 주식회사 안랩 | 악성 애플리케이션 진단 장치 및 방법 |
US9525706B2 (en) | 2012-09-03 | 2016-12-20 | Ahnlab, Inc. | Apparatus and method for diagnosing malicious applications |
US8646076B1 (en) | 2012-09-11 | 2014-02-04 | Ahnlab, Inc. | Method and apparatus for detecting malicious shell codes using debugging events |
KR101247943B1 (ko) * | 2012-09-21 | 2013-04-02 | 주식회사 윈스테크넷 | 화이트리스트를 이용한 바이러스 검사 장치 및 방법 |
KR101311367B1 (ko) * | 2013-04-09 | 2013-09-25 | 주식회사 안랩 | 메모리 보호기능 우회 공격 진단 장치 및 방법 |
KR101642222B1 (ko) * | 2015-03-21 | 2016-07-22 | 홍동철 | 안드로이드 운영체제에서의 스파이 애플리케이션 및 시스템 변조 탐지 방법 |
Also Published As
Publication number | Publication date |
---|---|
KR100992434B1 (ko) | 2010-11-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100992434B1 (ko) | 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 | |
US9294486B1 (en) | Malware detection and analysis | |
US9953162B2 (en) | Rapid malware inspection of mobile applications | |
US8677493B2 (en) | Dynamic cleaning for malware using cloud technology | |
US8918878B2 (en) | Restoration of file damage caused by malware | |
US8782791B2 (en) | Computer virus detection systems and methods | |
US8805995B1 (en) | Capturing data relating to a threat | |
JP5326062B1 (ja) | 非実行ファイル検査装置及び方法 | |
JP5265061B1 (ja) | 悪意のあるファイル検査装置及び方法 | |
US20190141075A1 (en) | Method and system for a protection mechanism to improve server security | |
US20110041179A1 (en) | Malware detection | |
JPWO2014112185A1 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
US8474040B2 (en) | Environmental imaging | |
KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
US10873588B2 (en) | System, method, and apparatus for computer security | |
US10747879B2 (en) | System, method, and computer program product for identifying a file used to automatically launch content as unwanted | |
US11487868B2 (en) | System, method, and apparatus for computer security | |
Andriatsimandefitra et al. | Detection and identification of android malware based on information flow monitoring | |
US9959406B2 (en) | System and method for zero-day privilege escalation malware detection | |
JP5326063B1 (ja) | デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法 | |
JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
JP2010182020A (ja) | 不正検知装置およびプログラム | |
CN112580038A (zh) | 反病毒数据的处理方法、装置及设备 | |
US11436326B2 (en) | False alarm detection for malware scanning | |
JP7328635B2 (ja) | セキュリティインシデント検知装置、セキュリティインシデント検知システム、セキュリティインシデント検知方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20131101 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20141103 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20151102 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20161101 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20171101 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20181101 Year of fee payment: 9 |