KR20100073126A - 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법 - Google Patents

실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법 Download PDF

Info

Publication number
KR20100073126A
KR20100073126A KR1020080131717A KR20080131717A KR20100073126A KR 20100073126 A KR20100073126 A KR 20100073126A KR 1020080131717 A KR1020080131717 A KR 1020080131717A KR 20080131717 A KR20080131717 A KR 20080131717A KR 20100073126 A KR20100073126 A KR 20100073126A
Authority
KR
South Korea
Prior art keywords
file
compression method
malicious code
header
compression
Prior art date
Application number
KR1020080131717A
Other languages
English (en)
Other versions
KR101110308B1 (ko
Inventor
윤승용
김병구
최양서
김대원
김익균
오진태
장종수
조현숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020080131717A priority Critical patent/KR101110308B1/ko
Publication of KR20100073126A publication Critical patent/KR20100073126A/ko
Application granted granted Critical
Publication of KR101110308B1 publication Critical patent/KR101110308B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/28Error detection; Error correction; Monitoring by checking the correct order of processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/13File access structures, e.g. distributed indices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법에 관한 것이다. 본 발명에 따른 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법은, 대상파일의 파일 헤더를 분석하여, 실행압축 여부를 판단하고, 대상 파일이 실행압축된 경우, 압축방법을 헤더 분석과 압축방법의 시그니처를 이용한 분석 방법을 이용하여 압축방법을 검출한다. 실행압축에 사용된 압축방법을 악성코드 압축용 압축방법 데이터베이스와 비교하여, 대상파일의 악성코드 여부를 판단한다. 따라서, 실행 압축된 악성코드의 경우에도 압축해제 없이 악성코드 여부를 판단할 수 있다.
멜웨어, 악성코드, 악성코드탐지, 압축방법검출, 실행압축, PE 헤더

Description

실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법 {Apparatus and method for detecting malicious code using packed file properties}
본 발명은 악성코드 탐지기술에 관한 것으로, 윈도우 기반 실행 파일인 PE(Portable Executable)파일이 실행 압축된 경우, 압축방법을 검출하여 해당 파일의 악성코드 여부를 판단하는 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법에 관한 것이다.
본 발명은 지식경제부 및 정보통신연구진흥원의 IT성장동력기술개발의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2006-S-042-03, 과제명: Network 위협의 Zero-Day Attack 대응을 위한 실시간 공격 Signature 생성 및 관리 기술 개발]
악성코드를 실행압축 하는 이유는 악성코드 검색엔진의 탐색을 우회하거나, 리버스 엔지니어링을 통한 악성코드 분석을 막기 위한 목적으로 사용되고 있다. Black Hat 2006 학회는 Wildlist에 등록된 악성코드 중 92%가 실행압축되어 있다고 발표하였으며, PandaLab의 보고서는 새로운 악성코드의 79%가 실행압축되어 있다고 발표하였다. 또한, 새롭게 출현하는 악성코드의 50% 이상이 기존의 악성코드를 다 른 압축방법으로 압축한 형태라는 통계도 있다. 압축된 악성코드가 증가하는 이유는 압축방법의 소스코드가 공개되어 누구라도 쉽게 알고리즘 또는 소스코드를 수정하여 다양한 종류의 압축방법을 만들 수 있기 때문이다.
일반적으로 악성코드 검색엔진은 실행압축된 악성코드를 사전 탐지한 후, 추가적인 분석 작업을 수행한다. 압축해제 과정 전의 실행 파일은 악성코드 시그니쳐 검사를 통과할 수 있으므로, 반드시 압축해제 과정을 거친 후 검사를 해야 한다. 수동 압축해제 방식은 많은 시간과 노력이 필요하며, 자동 압축해제 방식은 모든 압축방법에 대해 압축해제 루틴을 구현해야 하므로 매우 복잡하고, 완벽하게 구현하는 것이 어렵다.
본 발명의 목적은 악성코드 탐지를 위해, 해당 파일의 압축방법을 PE 헤더 분석기법과 시그니처 분석기법을 이용하여 탐지한 후, 압축해제 과정 없이 압축방법을 비교하여 악성코드 여부를 판단하는 실행압축 특성을 이용한 악성코드 탐지 장치 및 그 방법을 제공하는 것이다.
상기 목적은, 대상파일의 파일 헤더를 분석하여 상기 대상파일의 PE 파일 여부를 판단하는 PE 파일 판단부, 상기 대상파일이 PE 파일인 경우, 상기 대상파일의 섹션 헤더 분석을 통해 실행압축 여부 및 압축방법을 검출하는 압축방법 검출부 및, 압축방법별 악성코드 여부를 표시하는 제1 데이터 베이스를 포함하고, 상기 제1 데이터 베이스와 상기 압축방법을 비교하여, 상기 대상파일의 악성코드 여부를 판단하는 악성코드 판단부를 포함하는 실행압축 특성을 이용한 악성코드 탐지장치에 의해 달성된다.
또한, 대상 파일을 입력받고, 상기 대상파일이 PE 파일인지 확인하는 PE 파일 확인 단계, 상기 대상파일이 PE 파일인 경우, 상기 대상파일의 섹션 헤더 이름 및 특성 항목을 분석하여, 압축방법을 검출하는 압축방법 검출단계, 상기 압축방법과 압축방법별 악성코드 여부를 저장하고 있는 제1 데이터 베이스와 비교하여 악성코드를 검출하는 악성코드 검출단계 및, 상기 대상파일의 악성코드 여부를 출력하는 단계를 포함하는 실행압축 특성을 이용한 악성코드 탐지 방법에 의해 달성된다.
본 발명에 따르면, 실행압축된 대상파일을 압축해제 하지 않고, 악성코드 여부를 판단할 수 있다. 또한, 본 발명을 기존의 악성코드 탐색기법이 적용된 검색 엔진에 적용하면, 악성코드 검색속도와 정확도를 높일 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세하게 설명한다.
본 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법을 개괄적으로 설명하면 다음과 같다. 먼저 대상파일의 파일 헤더를 검사하여 PE 파일임을 확인한다. 대상파일이 PE 파일인 경우, 섹션헤더의 이름(Name)과 특성(Characteristics)항목을 조사하여 사용된 압축방법을 검출한다. 이때, 검출된 압축방법이 악성코드 압축용 압축방법인 경우, 대상파일을 악성코드로 판단한다. 그러나, 압축방법만으로 대상파일의 악성코드 여부를 판단할 수 없는 경우에는 대상파일에서 MD5와 파일크기를 추출하여, 악성코드의 압축방법, MD5, 파일크기가 저장된 악성코드 데이터베이스와 비교하여 대상파일의 악성코드 여부를 판단한다.
도 1은 마이크로소프트의 실행파일인 PE파일의 구조도이다.
PE파일은 MS-DOS MZ 헤더(101), PE 시그니처(111)를 포함하는 PE 파일 헤더(113) 및 PE Optional 헤더(115)를 포함하는 NT 헤더(110), 섹션 헤더(120) 및 섹션 데이터(130)를 포함한다.
MS-DOS MZ 헤더(101)은 마이크로소프트의 이전 운영체제인 MS-DOS와의 호환 을 위한 파일 헤더로, "MZ"문자열이 헤더의 시작위치에 존재하는 것을 특징으로 한다.
NT 헤더(110)는 PE 시그니처(111), PE 파일 헤더(113) 및 PE Optional 헤더(115)를 포함한다.
PE 시그니처(111)는 "PE00"의 문자열로 구성되어 있으며, 당해파일이 PE 파일임을 나타낸다. PE 시그니처(111)는 NT 헤더(110)의 시작위치에 존재하는 것을 특징으로 한다.
PE 파일 헤더(113)는 섹션의 갯수, 실행 가능한 컴퓨터의 타입, 파일의 최종변경시간 등을 알 수 있는 파일 특성에 관한 정보를 포함하고 있다. PE Optional 헤더(115)는 프로그램 코드의 엔트리 포인트등 프로그램을 실행하기 위한 정보를 포함하고 있다.
섹션 헤더(120)는 NT 헤더(110) 다음에 위치하며, NT 헤더(110)에 섹션 헤더의 기본정보가 포함되어 있다. 섹션 헤더(120)는 각 섹션별 섹션이름, 섹션크기 및 색션특성에 대한 정보를 포함한다.
섹션 데이터(130)는 섹션 헤더(120) 뒤에 위치하며, 각 섹션의 특성별로 프로그램 코드나, 데이터 저장 공간 등으로 사용된다.
도 2는 본 발명의 일 실시예인 실행압축 특성을 이용한 악성코드 탐지장치의 구성도이다.
실행압축 특성을 이용한 악성코드 탐지장치(200)는 PE파일 검출부(210), 압축방법 검출부(220), 악성코드 검출부(230) 및 압축방법 데이터베이스(240)를 포함 하고 있다.
PE파일 검출부(210)는, 대상파일의 헤더를 검사하여 "MZ"문자열로 시작되는지 확인한다. 대상파일의 PE파일 검출부(210)는 대상 파일의 헤더가 "MZ"로 시작하면, 시작위치로부터 일정비트 뒤에 존재하는 NT 헤더(110)를 검사한다. NT 헤더는 PE 시그니처(111)로 시작하며, PE 파일인 경우, "PE00"으로 NT 헤더(110)를 시작한다. 헤더가 "MZ"로 시작하고, NT 헤더에 PE 시그니처인 "PE00" 문자열이 존재하면 마이크로소프트의 운영체제에서 실행가능한 파일임을 나타낸다.
압축방법 검출부(220)는 섹션헤더 분석부(221)와 시그니처 검색부(223)를 포함한다.
섹션헤더 분석부(221)는 대상파일이 PE 파일인 경우, 대상 파일의 섹션헤더(120)의 섹션 이름과 섹션 특성 정보를 분석하여, 압축방법을 검출한다.
일반적인 컴파일러에 의해 생성된 실행파일은 표준 섹션이름을 사용한다. 예를 들면, .text, .data, .rsrc, .reloc, .rdata, .idata, CODE, DATA 등이다. 그러나, PE 파일이 실행압축 되어 있는 경우, 압축방법마다 고유의 섹션이름을 사용한다. 예를 들면, 압축방법 ASPack는 섹션이름으로.aspack을, UPX는 UPX0, UPX1, UPX2를, Upack은 Upack 및 Yoda's Crypter는 yC를 사용한다. 따라서, 섹션이름을 분석하면 실행압축방법을 검출할 수 있다.
또한, 섹션특성 항목에는 해당 섹션이 읽기, 쓰기 및 실행가능 여부를 나타내는 값이 설정되어 있다. 일반적으로 실행압축된 경우, 실제 파일이 실행될 때, 해당 섹션을 압축해제해야 하므로, 섹션특성 항목은 쓰기와 실행가능이 동시에 설 정되어 있다.
따라서, 섹션이름과 섹션특성을 분석하면, 대상파일의 실행압축 여부와, 압축방법을 검출할 수 있다.
시그니처 검색부(223)는 대상파일의 헤더 안에 특정 문자열 패턴이 있는지 검색한다. 일반적인 실행압축 방법은 대상파일의 헤더 안에 고유한 Fingerprint를 남기므로, 이를 탐지하여 압축방법을 검출할 수 있다.
악성코드 검출부(230)은 압축방법 검출부(220)에서 검출한 압축방법과 압축방법 데이터베이스(240)를 비교하여 해당파일의 악성코드 여부를 검사한다.
압축방법 데이터베이스(240)는 악성코드의 압축방법을 저장한 제1 데이터베이스(241) 및 악성코드의 압축방법, 악성코드의 MD5, 악성코드의 파일크기를 포함하는 제2 데이터베이스(243)를 포함한다.
제1 데이터베이스(241)는 압축방법을 블랙리스트, 화이트리스트, 그레이리스트로 구분하여 저장한다. 블랙리스트에는 악성코드 압축에 사용되는 압축방법을 포함하며, 화이트리스트에는 일반적으로 악성코드 압축에 사용되지 않는 상용 압축방법을 포함한다. 악성코드에 사용되는 압축방법은 Upack, NsPack, Mew, Pex, Yoda's Crypter, PolyCryptPE 등이 포함되며, 상용 압축방법은 Themida, Armadillo, AsProtect, UPX, PeCompact, AsPack 등이 포함된다. 다만, 양쪽 모두에 해당하는 압축방법의 경우에는 그레이리스트에 저장되며, 압축방법 중 FSG, Morphine등이 포함된다.
제1 데이터베이스(241)의 그레이리스트에 포함된 압축방법일 경우, 제1 데이 터베이스와의 비교만으로 대상파일의 악성코드 여부를 판단할 수 없다. 따라서, 악성코드의 압축방법, MD5 및 악성코드의 크기를 포함한 제2 데이터베이스(243)와 비교하여 대상파일의 악성코드 여부를 최종 판단한다.
MD5는 대상파일을 입력 받아, 128비트 고정 길이의 출력값으로 변경된 것으로, 대상파일을 나타내는 고유의 값을 나타낸다.
도 3은 본 발명의 일 실시예인 실행압축 특성을 이용한 악성코드 탐지방법의 흐름도이다.
PE 파일 검출부(210)에 검사 대상파일이 입력되면(S100), 대상파일의 헤더를 분석하여 PE 파일 여부를 검사한다(S101).
대상 파일이 PE 파일인 경우, 압축방법 검출부(220)는 대상파일의 섹션헤더를 분석하여 섹션이름과 특성항목을 추출한다(S103). 압축방법 검출부(220)는 추출된 섹션이름과 특성항목을 분석하여 대상파일의 실행압축 여부 및 압축방법을 검출한다. 다만, 추출된 섹션이름과 특성항목 분석을 통해 압축방법을 검출할 수 없는 경우에는 압축방법 검출부(220)는 대상파일의 헤더파일에 압축방법 고유의 Fingerprint를 포함하는지 검사하여, 압축방법을 검출한다(S105).
압축방법 검출부(220)에서 압축방법이 검출된 경우, 악성코드 검출부(230)는 악성코드용 압축방법의 사용여부를 검사하여 해당 파일의 악성코드 여부를 판단한다(S107).
압축방법 검출부(220)에서 압축방법이 검출된 경우, 악성코드 검출부(230)는 먼저 안전한 압축방법이 등록된 화이트리스트에 포함되는지 검사한다(S107). 대상 파일이 화이트리스트에 포함된 경우, 대상파일을 안전한 파일로 판단한다. 대상파일의 압축방법이 화이트 리스트에 등록되지 않은 경우에는, 악성코드용 압축방법이 등록된 블랙리스트에 포함되는지 검사한다(S109). 블랙리스트에 포함된 경우에는 대상파일을 악성코드로 판단한다. 블랙리스트에 등록되지 않은 경우에는 검출된 압축방법이 그레이리스트에 포함되는지 검사한다(S111). 그레이리스트에 등록된 압축방법은 압축방법만으로는 대상파일의 악성코드여부를 판단할 수 없다. 따라서, 악성코드 검출부(230)는 대상파일의 MD5와 파일크기를 추출한다(S113). 추출된 대상파일의 MD5와 파일크기를 저장된 악성코드와 비교하여, 악성코드 여부를 최종 판단한다(S115). 마지막으로, 악성코드 검출부(230)의 판단결과를 출력한다(S117).
이상 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안 될 것이다.
도 1은 마이크로소프트가 정의한 PE 파일의 구조도,
도 2는 본 발명의 일 실시예에 따른 실행압축 특성을 이용한 악성코드 탐지장치의 블록도, 그리고,
도 3은 본 발명의 일 실시예에 따른 실행압축 특성을 이용한 악성코드 탐지방법의 흐름도이다.

Claims (10)

  1. 검사 대상 파일의 파일헤더에 PE 파일임을 식별하는 PE 시그니처를 포함하는지 검사하는 PE 파일 판단부;
    상기 파일헤더에 상기 PE 시그니처가 포함될 때, 파일헤더의 섹션헤더에서 실행압축 여부 및 압축방법을 검출하는 압축방법 검출부; 및
    악성코드에 사용되지 않은 압축방법을 저장한 제1리스트를 포함하고, 상기 압축방법이 상기 제1리스트에 포함되는지 비교하여 상기 파일의 악성코드 여부를 판단하는 제1악성코드 판단부;를 포함하는 실행압축 특성을 이용한 악성코드 탐지장치.
  2. 제 1항에 있어서,
    상기 압축방법 검출부는, 상기 섹션헤더에서 섹션이름 및 특성항목을 추출한 후, 추출된 상기 섹션이름이 공지의 압축방법에서 사용되는 섹션이름인지 검사하고, 상기 특성항목이 쓰기 및 실행가능으로 설정되었는지 검사하여 상기 압축방법을 검출하는 헤더분석 검출부;를 더 포함하는 실행압축 특성을 이용한 악성코드 탐지장치.
  3. 제 1항에 있어서,
    상기 압축방법 검출부는, 상기 파일헤더에 압축방법별 고유의 시그니처를 포함하는지 검사하여 상기 압축방법을 검출하는 시그니처 검색부;를 더 포함하는 실행압축 특성을 이용한 악성코드 탐지장치.
  4. 제 1항에 있어서,
    상기 제1악성코드 판단부는, 악성코드에만 사용되는 압축방법을 저장하는 제2리스트를 포함하고, 상기 제1악성코드 판단부에서 안전하지 않은 압축방법으로 판명될 때, 상기 압축방법이 상기 제2리스트에 포함되는지 비교하여 상기 파일의 악성코드 여부를 판단하는 제2악성코드 판단부;를 더 포함하는 실행압축 특성을 이용한 악성코드 탐지장치.
  5. 제 4항에 있어서,
    상기 제1악성코드 판단부는, 상기 제1리스트 또는 제2리스트에 포함되지 않은 압축방법을 사용하는 악성코드의 압축방법, MD5값 및 파일크기를 포함하는 제3리스트를 포함하고, 상기 제2악성코드 판단부에서 악성코드로 판단되지 않을 때, 상기 파일의 압축방법, MD5값 및 파일크기가 상기 제3리스트에 포함되는지 비교하여 상기 파일의 악성코드 여부를 판단하는 제3악성코드 판단부;를 더 포함하는 실행압축 특성을 이용한 악성코드 탐지장치.
  6. 검사 대상 파일의 파일헤더에 PE 파일임을 식별하는 PE 시그니처를 포함하는지 검사하는 단계;
    상기 파일헤더에 상기 PE 시그니처가 포함될 때, 상기 파일헤더의 섹션헤더에서 압축여부와 압축방법을 검출하는 단계; 및
    악성코드에 사용되지 않는 압축방법이 저장된 제1리스트에 상기 압축방법이 포함되는지 비교하여 상기 파일의 악성코드 여부를 판단하는 단계;를 포함하는 실행압축 특성을 이용한 악성코드 탐지 방법.
  7. 제 6항에 있어서,
    상기 섹션헤더에서 압축방법을 검출할 수 없을 때, 상기 섹션헤더에서 섹션이름 및 특성항목을 추출하여 상기 섹션이름을 공지의 압축방법에 사용되는 섹션이름과 비교하고, 상기 특성항목이 쓰기 및 실행가능으로 설정되었는지를 검사하여 상기 파일의 압축방법을 검출하는 단계;를 더 포함하는 실행압축 특성을 이용한 악성코드 탐지방법.
  8. 제 7항에 있어서,
    상기 섹션이름 및 특성 항목을 추출하여 압축방법을 판단할 수 없을 때, 상기 섹션헤더에 압축방법별 고유의 시그니처를 포함하는지 검사하여 압축방법을 검출하는 단계;를 더 포함하는 실행압축 특성을 이용한 악성코드 탐지방법.
  9. 제 6항에 있어서,
    상기 제1리스트 포함여부 검사 후, 상기 압축방법이 악성코드에만 사용되는 압축방법을 저장하는 제2리스트에 포함되는지 비교하여 상기 파일의 악성코드 여부를 판단하는 단계;를 더 포함하는 실행압축 특성을 이용한 악성코드 탐지방법.
  10. 제 9항에 있어서,
    상기 제2리스트 포함여부 검사 후, 상기 대상파일의 압축방법, MD5값 및 파일크기가 상기 제1리스트 또는 제2리스트에 포함되지 않은 압축방법으로 압축된 악성코드의 압축방법, MD5값 및 파일크기를 포함하는 제3리스트에 포함되는지 비교하여 상기 파일의 악성코드 여부를 판단하는 단계;를 더 포함하는 실행압축 특성을 이용한 악성코드 탐지방법.
KR1020080131717A 2008-12-22 2008-12-22 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법 KR101110308B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080131717A KR101110308B1 (ko) 2008-12-22 2008-12-22 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080131717A KR101110308B1 (ko) 2008-12-22 2008-12-22 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20100073126A true KR20100073126A (ko) 2010-07-01
KR101110308B1 KR101110308B1 (ko) 2012-02-15

Family

ID=42636143

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080131717A KR101110308B1 (ko) 2008-12-22 2008-12-22 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR101110308B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101327865B1 (ko) * 2011-12-29 2013-11-12 주식회사 시큐아이 악성코드에 감염된 홈페이지 탐지 장치 및 방법
WO2014149627A1 (en) * 2013-03-15 2014-09-25 Mcafee, Inc. Generic unpacking of applications for malware detection
CN104573514A (zh) * 2013-10-29 2015-04-29 腾讯科技(深圳)有限公司 压缩文件的检测方法及装置
WO2015100327A1 (en) * 2013-12-26 2015-07-02 Mcafee, Inc. Generic unpacking of program binaries
US9129109B2 (en) 2010-12-31 2015-09-08 Anhlab, Inc. Method and apparatus for detecting a malware in files
KR20150136919A (ko) * 2014-05-28 2015-12-08 주식회사 안랩 악성파일진단장치 및 악성파일진단장치의 진단 방법
KR20170057030A (ko) * 2015-11-16 2017-05-24 한국전자통신연구원 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101427566B1 (ko) * 2013-02-05 2014-09-23 주식회사 잉카인터넷 오진 처리 시스템 및 방법
KR102412196B1 (ko) 2020-03-09 2022-06-23 박근홍 압축파일의 악성코드 검사방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100620313B1 (ko) * 2005-06-15 2006-09-06 (주)이월리서치 마이크로소프트 실행파일의 구조적 특성을 이용한 악성프로그램 검출 시스템 및 방법

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9129109B2 (en) 2010-12-31 2015-09-08 Anhlab, Inc. Method and apparatus for detecting a malware in files
KR101327865B1 (ko) * 2011-12-29 2013-11-12 주식회사 시큐아이 악성코드에 감염된 홈페이지 탐지 장치 및 방법
WO2014149627A1 (en) * 2013-03-15 2014-09-25 Mcafee, Inc. Generic unpacking of applications for malware detection
US9471783B2 (en) 2013-03-15 2016-10-18 Mcafee, Inc. Generic unpacking of applications for malware detection
US9811663B2 (en) 2013-03-15 2017-11-07 Mcafee, Inc. Generic unpacking of applications for malware detection
CN104573514A (zh) * 2013-10-29 2015-04-29 腾讯科技(深圳)有限公司 压缩文件的检测方法及装置
CN104573514B (zh) * 2013-10-29 2018-09-04 腾讯科技(深圳)有限公司 压缩文件的检测方法及装置
WO2015100327A1 (en) * 2013-12-26 2015-07-02 Mcafee, Inc. Generic unpacking of program binaries
US10311233B2 (en) 2013-12-26 2019-06-04 Mcafee, Llc Generic unpacking of program binaries
KR20150136919A (ko) * 2014-05-28 2015-12-08 주식회사 안랩 악성파일진단장치 및 악성파일진단장치의 진단 방법
KR20170057030A (ko) * 2015-11-16 2017-05-24 한국전자통신연구원 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치

Also Published As

Publication number Publication date
KR101110308B1 (ko) 2012-02-15

Similar Documents

Publication Publication Date Title
KR101110308B1 (ko) 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법
US9454658B2 (en) Malware detection using feature analysis
US20070152854A1 (en) Forgery detection using entropy modeling
CN102664875B (zh) 基于云模式的恶意代码类别检测方法
JP4711949B2 (ja) マクロと実行可能なスクリプトにおいてマルウェアを検出する方法およびシステム
US20100011441A1 (en) System for malware normalization and detection
CN111639337B (zh) 一种面向海量Windows软件的未知恶意代码检测方法及系统
US20150256552A1 (en) Imalicious code detection apparatus and method
KR20160082644A (ko) 코드 블록 구분을 통한 악성 코드 탐지 방법 및 장치
KR20090051956A (ko) 악성 코드에 의해 삽입된 동적 연결 라이브러리 검출 장치 및 방법
CN109992969B (zh) 一种恶意文件检测方法、装置及检测平台
KR20140030989A (ko) 안드로이드 운영체제에서 apk 파일의 시그니처 추출 방법, 그리고 이를 위한 컴퓨터로 판독가능한 기록매체
RU2728497C1 (ru) Способ и система определения принадлежности программного обеспечения по его машинному коду
CN113158197B (zh) 一种基于主动iast的sql注入漏洞检测方法、系统
CN105718795A (zh) Linux下基于特征码的恶意代码取证方法及系统
EP2189920B1 (en) Malware signature builder and detection for executable code
KR101161008B1 (ko) 악성코드 탐지시스템 및 방법
KR101327740B1 (ko) 악성코드의 행동 패턴 수집장치 및 방법
CN105468972B (zh) 一种移动终端文件检测方法
KR20160100887A (ko) 코드 블록 비교를 통한 악성 코드 탐지 방법
Akram et al. The making of indicator of compromise using malware reverse engineering techniques
US8689327B2 (en) Method for characterization of a computer program part
CN108573148B (zh) 一种基于词法分析的混淆加密脚本识别方法
KR101792631B1 (ko) 퍼지 해싱을 사용한 함수의 api 기반 소프트웨어의 유사성 측정방법 및 그 시스템
Ravula et al. Learning attack features from static and dynamic analysis of malware

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141229

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170119

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180118

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190122

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20200120

Year of fee payment: 9