KR20110055081A - Method of protecting integrity of computer - Google Patents

Method of protecting integrity of computer Download PDF

Info

Publication number
KR20110055081A
KR20110055081A KR1020090111953A KR20090111953A KR20110055081A KR 20110055081 A KR20110055081 A KR 20110055081A KR 1020090111953 A KR1020090111953 A KR 1020090111953A KR 20090111953 A KR20090111953 A KR 20090111953A KR 20110055081 A KR20110055081 A KR 20110055081A
Authority
KR
South Korea
Prior art keywords
file
authentication
computer
list
event
Prior art date
Application number
KR1020090111953A
Other languages
Korean (ko)
Inventor
임형택
Original Assignee
(주) 에브리존
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 에브리존 filed Critical (주) 에브리존
Priority to KR1020090111953A priority Critical patent/KR20110055081A/en
Publication of KR20110055081A publication Critical patent/KR20110055081A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

PURPOSE: A method for protecting the integrity of a computer is provided to efficiently prevent the illegal file writing operation by monitoring the operation of a computer file. CONSTITUTION: A method for protecting the integrity of a computer comprises the steps of: installing a program at a computer having no virus; generating an authentication file list of the program(S201); scanning all files existing in the computer(S202); judging the existence of a scan-target file(S203); extracting the information which is supposed to be stored in the authentication file list DB(S204); adding the information to the authentication file list DB(S205); and terminating the generation procedure of the authentication file list of the scan-target file(S206).

Description

컴퓨터의 무결성을 보호하는 방법 { Method of protecting integrity of computer }{Method of protecting integrity of computer}

본 발명은 컴퓨터 소프트웨어 및 컴퓨터 보안에 관한 것으로, 특히 컴퓨터에서의 쓰기나 실행 등과 같은 동작(파일 이벤트)을 감시하여 이를 사전에 작성된 인증 파일 목록(단순 텍스트 파일 또는 데이터 베이스 파일 등)과 비교하여 무결성에 위배되는(인증받지 못한) 파일인 경우 해당 동작을 차단하여 컴퓨터에 항상 인증된 파일만 존재하도록 하는 컴퓨터 무결성 보호 방법에 관한 것으로 악의적인 해킹을 통한 백도어(Backdoor), 바이러스(Virus), 멀웨어(Malware)등과 같은 악의적인 목적을 가진 파일의 실행, 쓰기 등과 같은 행위를 원천적으로 차단하여 컴퓨터의 무결성을 보호하는 것에 그 목적이 있다.TECHNICAL FIELD The present invention relates to computer software and computer security, and in particular, monitors an operation (file event) such as writing or executing on a computer, and compares it with a list of previously created authentication files (such as a simple text file or a database file). If the file violates (unauthenticated), the computer integrity protection method that blocks the action to ensure that only authorized files exist on the computer at all times. Backdoor, virus, and malware (by malicious hacking) Its purpose is to protect the integrity of the computer by blocking the execution and writing of files with malicious purposes.

일반적으로 해킹의 목적으로 컴퓨터에 백도어를 심고 바이러스를 감염시키거나 또는 DDOS 공격의 숙주로 이용하기 위해서는 먼저 이러한 목적의 파일들을 컴퓨터에 복사하고, 실행하는 작업이 필요하다. 현재의 안티-바이러스 프로그램들은 알려지지 않은 새로운 패턴을 가진 악의적인 파일에 대해서는 이를 진단하지 못하며, 이렇게 통과하여 컴퓨터에 생성된 악의적인 파일들은 다른 컴퓨터에 바이러스를 감 염시키거나 DDOS 공격을 하는 등의 피해를 입히기도 한다. 이와 같이 기존의 안티-바이러스 제품에서 사용하고 있는 기술로는 알려지지 않은 새로운 악의적인 파일의 공격을 막을 수 없다는 문제점이 있다. 물론 상기 안 알려진 패턴을 가진 멀웨어에 대해서 안티-바이러스 제품들은 샘플을 입수한 후에 패턴 업데이트를 하겠지만 이는 이미 감염이 널리 확산 된 뒤일 가능성이 있기 때문에 컴퓨터는 항상 새로운 멀웨어나 해킹의 공격에 안전하지 못한 것이 현실이다.In general, in order to hack into a computer and infect a virus or use it as a host for a DDOS attack, it is necessary to first copy and execute files for this purpose on the computer. Current anti-virus programs can't diagnose malicious files with unknown new patterns, and malicious files created on these computers can be infected by viruses or other DDOS attacks on other computers. Also wears. As such, the technology used in the existing anti-virus products cannot prevent the attack of unknown new malicious files. Of course, for malware with unknown patterns, anti-virus products will update the pattern after they have obtained a sample, but it's possible that the computer is not always safe from new malware or hacking attacks because it is likely that the infection has already spread. It is a reality.

본 발명은 상기한 바와 같이 종래의 문제점들을 개선 시키기 위하여 창안된 것으로서, 기존의 안티-바이러스와 같이 패턴인식을 통한 악의적 파일인지 여부를 판단하는 사후대책이 아닌, 생성이나 실행등과 같은 이벤트가 발생하는 파일이 컴퓨터의 무결성에 위배 되는가의 여부를 판가름하여 컴퓨터를 항상 무결성 상태로 유지할 수 있도록 하는 컴퓨터의 무결성을 보호하는 방법이며, 사후대책에 지나지 않는 종래의 문제점을 개선한 예방책으로 멀웨어의 침투 및 해킹에 의한 백도어 생성, 바이러스 감염등과 같은 행위 등을 원천적으로 차단하는데 그 목적이 있다.The present invention was devised to improve the conventional problems as described above, and events, such as creation or execution, are generated, rather than an after-measure to determine whether the file is a malicious file through pattern recognition, such as an existing anti-virus. It is a method to protect the integrity of the computer so that the file always violates the integrity of the computer to ensure that the computer is always in an intact state. Its purpose is to block activities such as backdoor creation and virus infection by hacking.

본 발명에 따른 시스템은 프로그램을 컴퓨터에 설치하면 컴퓨터에 존재하는 모든 파일들(또는 실행파일과 같은 필요한 파일들만)을 검사하여 파일의 완전 경로, 서명 등과 같은 인증에 필요한 정보들을 추출하여 인증 파일 목록 데이터베이스(DB)에 기록하는 인증 파일 목록 빌더(생성) 모듈을 포함하며, 인증 파일 목록은 반드시 로컬에 존재할 필요는 없으며, 보안상의 이유등으로 원격에 존재할 수도 있을 것이다.When the program is installed in a computer, the system according to the present invention scans all files (or only necessary files such as executable files) existing in the computer, extracts information necessary for authentication such as a full path of a file, a signature, and the like, and lists the authentication files. It includes an authentication file list builder (creation) module that writes to a database, and the authentication file list does not necessarily need to exist locally, but may exist remotely for security reasons.

또한, 파일의 동작을 감시하고 인증 및 차단하는 모니터링 모듈을 포함하며, 모니터링 모듈은 파일 이벤트를 감시하는 드라이버 또는 API를 후킹하는 DLL 등으로 구성될 수 있고, 프로그램이 설치되는 운영체제에 따라 다양한 형태의 방법으로 해당 목적의 기능을 수행하는 모듈로 구현될 수 있을 것이다.In addition, the module includes a monitoring module that monitors, authenticates, and blocks file operations, and the monitoring module may be configured as a driver that monitors file events or a DLL that hooks an API. In this way, it may be implemented as a module that performs a function of the corresponding purpose.

바람직하게는, 모니터링 모듈은 파일 이벤트 발생시 이벤트 발생 파일 또는 이벤트 발생 파일의 부모 파일이 인증 파일 목록에 있는 파일이라면 인증 파일 목록 데이터베이스에 상황에 맞게 추가 또는 갱신하며, 웹서버와 같이 파일들이 자주 업데이트 되는 경우를 위해서 사전에 정책을 정의해 두고, 이 정책에 부합하는 파일은 차단하지 않는 등의 정책에 따른 절차를 처리하는 기능을 수행하는 모듈을 포함할 수도 있으며, 별도의 모듈로 존재하여 이를 호출할 수 있도록 구성될 수도 있다.Preferably, the monitoring module adds or updates the authentication file list database according to the situation if the event generating file or the parent file of the event generating file is a file in the authentication file list when the file event occurs, and the files are frequently updated such as a web server. For this case, the policy may be defined in advance, and a module that performs a function of processing a procedure according to the policy, such as not blocking a file that meets the policy, may be included. It may be configured to be.

바람직하게는, 상기의 사전에 정의된 정책은 IP에 따른 파일 이벤트 차단 및 허용, 직급별 파일 이벤트 차단 및 허용 등과 같은 일반적인 보안제품(방화벽, 침입차단 시스템, 침입방지 시스템 등)의 정책 설정과 유사한 방식으로 구성된 정책을 포함하도록 구성될 수 있다.Preferably, the predefined policy is similar to the policy setting of general security products (firewalls, intrusion prevention systems, intrusion prevention systems, etc.) such as blocking and allowing file events according to IP, blocking and allowing file events by rank, and the like. It can be configured to include a policy configured in a way.

바람직하게는, 본 시스템은 다양한 운영체제와 다양한 휴대폰, 스마트폰, 임베디드 시스템과 같은 다양한 플랫폼에 적용될 수 있도록 구현 또는 구성 될 수 있을 것이다.Preferably, the system may be implemented or configured to be applied to various platforms such as various operating systems and various mobile phones, smart phones, and embedded systems.

상기에서 설명한 바와 같이, 본 발명은 컴퓨터의 무결성을 보호하는 방법으로 해킹목적을 위한 백도어 침투, 바이러스 감염, DDOS의 숙주 등과 같은 악의적인 목적의 행위를 원천적으로 차단할 수 있는 효과가 있다.As described above, the present invention has the effect of blocking malicious purposes such as backdoor infiltration, virus infection, host of DDOS, etc. for the purpose of protecting the integrity of the computer.

한편, 본 발명은 하기의 발명의 실시를 위한 구체적인 내용에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명에 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변경 실시가 가능할 것이다.On the other hand, the present invention is not limited to the specific details for the practice of the following invention, anyone of ordinary skill in the field of the invention without departing from the gist of the invention claimed in the claims various modifications Would be possible.

이하 첨부된 도면을 참조하여 본 발명의 실시를 위한 구체적인 내용을 상세히 설명하기로 한다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야 한다. 따라서, 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형 예들이 있을 수 있음을 이해하여야 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. Prior to this, terms or words used in the specification and claims should not be construed as having a conventional or dictionary meaning, and the inventors should properly explain the concept of terms in order to best explain their own invention. Based on the principle that can be defined, it should be interpreted as meaning and concept corresponding to the technical idea of the present invention. Therefore, it is not intended to represent all of the technical idea of the present invention, it should be understood that there may be various equivalents and modifications that may replace them at the time of the present application.

도 1은 본 발명에 따른 시스템을 설명하기 위한 개념도이다.1 is a conceptual diagram illustrating a system according to the present invention.

먼저 파일 스캔 모듈이 컴퓨터의 모든 파일을 스캔(S101)하여 인증 파일 목록 DB(S102)에 추가하고, 모니터링 모듈(S104)은 이벤트가 발생한 파일(S103)을 인증 파일 목록 DB(S102)에서 검색하여 파일 인증에 실패한 경우에는 파일 이벤트를 차단(S105)하는 것이 본 발명의 기본개념이다.First, the file scan module scans all files of the computer (S101) and adds them to the authentication file list DB (S102), and the monitoring module (S104) searches for the file (S103) in which the event occurred in the authentication file list DB (S102). If file authentication fails, blocking the file event (S105) is a basic concept of the present invention.

도 2는 본 발명에 따른 시스템 설치시에 인증 파일 목록을 생성하는 과정을 설명하기 위한 동작 흐름도이다.2 is a flowchart illustrating a process of generating a list of authentication files when installing a system according to the present invention.

먼저 어떠한 바이러스나 멀웨어 등이 감염되지 않은 깨끗한 컴퓨터에 본 프로그램을 설치한다. 설치시 또는 차후 관리자가 원할 경우에 본 프로그램의 인증 파일 목록 생성을 시작(S201)하면, 컴퓨터에 존재하는 모든 파일들을 스캔(S202)하 여 스캔할 파일이 존재하는지 여부를 판단(S203)하여 존재하면 파일에서 인증 파일 목록 DB에 저장할 정보(경로, MD5 와 같은 고유한 식별이 가능한 서명 등)를 추출하여(S204) 인증 파일 목록 DB에 추가(S205)한다. 스캔할 파일이 더 이상 존재하지 않는다면 인증 파일 목록 생성을 종료(S206)한다. First, install this program on a clean computer that is free of any virus or malware. When the administrator starts to generate the authentication file list of the program at the time of installation or later (S201), all files existing in the computer are scanned (S202) to determine whether a file to be scanned exists (S203). Then, the information to be stored in the authentication file list DB (path, signature that can be uniquely identified, such as MD5) is extracted (S204) and added to the authentication file list DB (S205). If the file to be scanned no longer exists, the generation of the authentication file list is terminated (S206).

이러한 인증 파일 목록 생성 작업은 다소 번거로울 수 있지만 설치시 최초 1회만 이루어지며, 이후 추가되는 인증 파일들은 자동으로 추가된다. 단, 인증 파일 목록 DB의 손상과 같은 특별한 이유 등으로 최초 1회가 아닌 관리자가 원할 시에는 다시 리빌드(재생성) 할 수 있을 것이다. Creating a list of authentication files can be a bit cumbersome, but only one installation is performed at the time of installation, and additional authentication files are added automatically. However, if it is not the first time and the administrator wants it for a special reason such as damage of the authentication file list DB, it can be rebuilt (regenerated).

도면 3은 모니터링 모듈이 파일을 인증하고, 차단하는 과정을 설명하기 위한 동작 흐름도이다. 3 is an operation flowchart illustrating a process of monitoring and authenticating a file by a monitoring module.

상기에서와 같이 인증 파일 목록 DB가 생성된 후에는 본 프로그램의 모니터링 기능이 시작되어(S301) 컴퓨터의 무결성을 보호해 준다.After the authentication file list DB is generated as described above, the monitoring function of the program is started (S301) to protect the integrity of the computer.

이를 위해서 발생되는 모든 파일 이벤트를 감시(S302)하고, 파일이벤트가 발생하면(S303), 먼저 부모 프로세스의 존재 여부를 파악(S304)하고 부모 프로세스가 존재하지 않는다면 파일 인증 정보를 추출(S306)하고, 인증 파일 목록 DB에 접속하여 동일한 인증 정보가 있는지 검색(S307)한다. 이 검색결과를 바탕으로 인증받은 파일인지의 여부를 파악(S308)하여 인증받지 못한 파일이라면 파일 이벤트를 차단(S310)하고, 인증받은 파일이라면(S309) 부모 프로세스가 존재하지 않는 경우이므로 파일 이벤트를 정상적으로 실행(S312)한다.To this end, all file events generated are monitored (S302), and if a file event occurs (S303), first determine whether a parent process exists (S304), and if the parent process does not exist, extract file authentication information (S306). Access the authentication file list DB and search whether there is the same authentication information (S307). Based on the search result, it is determined whether the file is an authenticated file (S308). If the file is not authenticated, the file event is blocked (S310). If the file is an authenticated file (S309), the file event is detected because the parent process does not exist. It executes normally (S312).

이와같이 일반적인 경우에는 이벤트가 발생한 파일이 인증 파일 목록 DB에 없다면 이벤트를 차단하는 비교적 간단한 과정이다. 이렇게 할 경우 만약 Microsoft Windows Update 등과 같은 정상적인 프로그램이 인증 파일 목록 DB에 없는 새로운 파일을 생성하고, 게다가 이 파일을 실행하는 경우라면 이 파일은 인증 파일 목록 DB에 없는 경우이므로 이벤트가 차단될 것이다. 그러나 실제로는 상기 Microsoft Windows Update 등과 같은 정상적인 프로그램이 실행하는 내용에 대해서는 정상적인 절차이므로 차단을 하면 안 될 것이다. 이러한 문제점을 보완하기 위해서, 본 발명은 Microsoft Windows Update를 부모 프로세스라고 가정하고 부모 프로세스가 인증 파일 목록 DB에 존재하는(인증받은) 경우라면 부모 프로세스가 수행하는 동작에 대해서는 이를 정상적인 절차로 간주하고 이 부모 프로세스가 생성하는 파일 또한 정상적인 파일로 간주하여 인증 파일 목록 DB에 추가 할 것이다.In this general case, if the file where the event occurred is not in the authentication file list DB, it is a relatively simple process to block the event. In this case, if a normal program such as Microsoft Windows Update creates a new file that is not in the authentication file list DB, and executes this file, the event will be blocked because this file is not in the authentication file list DB. In practice, however, it should not be blocked because it is a normal procedure for contents executed by a normal program such as Microsoft Windows Update. To solve this problem, the present invention assumes that Microsoft Windows Update is a parent process, and if the parent process exists in the authentication file list DB (authenticated), the operation performed by the parent process is regarded as a normal procedure. The file created by the parent process will also be considered a normal file and added to the authentication file list DB.

실제로 Microsoft Windows Update와 같은 정상적인 절차에 의해서 파일 이벤트가 발생할(S303) 경우 부모 프로세스(여기서는 Micorsoft Windows Update)가 존재하는가 여부를 판단(S304)하여 존재하는 경우라면 부모 파일의 인증 정보를 추출(S305)하고, 인증 파일 목록 DB에 접속하여 동일한 인증 정보가 있는지 검색(S307)한다. 이 검색결과를 바탕으로 인증받은 파일인지의 여부를 파악(S308)하여 인증받지 못한 파일이라면 파일 이벤트를 차단(S310)하고, 인증받은 파일이라면 부모 프로세스가 존재하고 동시에 파일을 생성하는 이벤트인지 판단하여(S309), 조건에 충족된다면 이 파일 또한 인증을 허가해야 하므로 이를 위해서 파일 인증 정보를 추출하여 인증 파일 목록 DB에 추가(S311)한 후 파일 이벤트를 정상적으로 실행(S312)한다.In fact, when a file event occurs by a normal procedure such as Microsoft Windows Update (S303), it is determined whether a parent process (here, Micorsoft Windows Update) exists (S304), and if so, extracts authentication information of the parent file (S305). Then, access to the authentication file list DB to search for the same authentication information (S307). Based on the search result, it is determined whether the file is an authenticated file (S308). If the file is not authenticated, the file event is blocked (S310). If the file is authenticated, it is determined whether the parent process exists and the file is generated at the same time. (S309) If this condition is satisfied, this file must also be authorized, so for this purpose, the file authentication information is extracted and added to the authentication file list DB (S311), and then the file event is normally executed (S312).

또한, 파일의 실행 이벤트는 파일이 존재해야만 실행될 수 있는 것이므로 실행 이벤트가 발생하기 전인 파일 생성 이벤트 과정에서 인증 파일 목록 DB에 추가되므로 상기 부모 프로세스가 존재하고 동시에 파일을 생성하는 이벤트인지 판단하는(S309) 조건이 필요하지만, 만일 파일 생성 이후 다른 파일 이벤트 과정에서 인증 파일 목록 DB에 추가되도록 수정한다면 파일 생성 이벤트가 아닌 다른 파일 이벤트 발생시로 S309의 조건이 수정될 수 있을 것이다. 이와 같이 본 발명은 반드시 상기 설명한 흐름대로 구현될 필요는 없을 것이며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명에 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변경 실시가 가능할 것이다.In addition, since the execution event of the file may be executed only when the file exists, it is added to the authentication file list DB in the process of generating a file before the execution event occurs, thereby determining whether the parent process exists and simultaneously generates the file (S309). ) Condition is required, but if the file is modified to be added to the authentication file list DB in the course of another file event, the condition of S309 may be modified when a file event other than the file creation event occurs. As such, the present invention will not necessarily be implemented according to the above-described flows, and various changes can be made by those skilled in the art without departing from the gist of the present invention claimed in the claims. will be.

도면 1은 본 발명에 따른 시스템을 설명하기 위한 개념도,1 is a conceptual diagram illustrating a system according to the present invention;

도면 2는 본 발명에 따른 시스템 설치시에 인증 파일 목록을 생성하는 과정을 설명하기 위한 동작 흐름도,2 is an operation flowchart for explaining a process of generating a list of authentication files when installing a system according to the present invention;

도면 3은 모니터링 모듈이 파일을 인증하고, 차단하는 과정을 설명하기 위한 동작 흐름도.3 is an operation flowchart for explaining a process of monitoring and authenticating a file by a monitoring module;

Claims (5)

컴퓨터에서 파일 실행이나 파일 쓰기 등과 같은 파일 이벤트가 발생할 시,When a file event occurs on your computer, such as executing a file or writing a file, 상기 파일이 인증받은 파일인지의 여부를 식별하기 위해서 상기 파일에서 인증에 필요한 정보를 추출하고;Extracting information necessary for authentication from the file to identify whether the file is an authenticated file; 상기 추출한 인증에 필요한 정보가 인증 파일 목록에 있는지 식별하여 상기 파일이 인증 파일 목록에 있는 파일이라면 상기 이벤트를 진행하며, 인증 파일 목록에 없는 파일이라면 상기 이벤트를 차단하여 컴퓨터에 항상 인증받은 파일만 존재하고, 또한 인증받은 파일 이벤트만 실행될 수 있도록 구성된 것을 특징으로 하는 컴퓨터 시스템.If the extracted information necessary for authentication is in the authentication file list, the file proceeds with the event if the file is in the authentication file list, and if the file is not in the authentication file list, the file is always on the computer by blocking the event. And also allow only authorized file events to be executed. 제 1항에 있어서, 상기 인증 파일 목록은 컴퓨터의 모든 파일(또는 필요한 파일만)을 스캔하여 인증에 필요한 정보를 추출하여 사전에 작성된 것을 특징으로 하고, 동적으로도 갱신될 수 있는 것을 특징으로 하는 컴퓨터 시스템.The method of claim 1, wherein the authentication file list is pre-created by scanning all files (or only necessary files) of the computer to extract information necessary for authentication, and may be dynamically updated. Computer system. 제 1항에 있어서, 파일 이벤트가 발생할 시 해당파일이 또는 해당파일의 부모 프로세스의 파일에서 인증에 필요한 정보를 추출하고;The method of claim 1, further comprising: extracting information necessary for authentication from the file or from a file of a parent process of the file when a file event occurs; 상기 추출한 인증 정보가 인증 파일 목록에 있는지 식별하여 상기 파일이 또는 부모 프로세스 파일이 인증받은 파일이라면 상기 이벤트를 진행하고 해당 파일을 인증받은 파일목록에 추가 또는 갱신하며, 인증받지 못한 파일이라면 상기 이벤 트를 차단하는 것을 특징으로 하는 컴퓨터 시스템.If the extracted authentication information is in the authentication file list and the file or the parent process file is an authenticated file, proceed with the event and add or update the file to the authenticated file list, and if the file is not authenticated, the event Computer system, characterized in that for blocking. 제 1항에 있어서, 인증받은 파일 목록은 빠른 속도를 위해서 로컬에 존재할 수도 있으며, 보안을 위해서 외부에 존재하여 원격으로 접속하도록 할 수 있는 것을 특징으로 하는 컴퓨터 시스템.2. The computer system of claim 1, wherein the list of authorized files may exist locally for faster speed, and may be external and remotely accessed for security. 제 1항에서 있어서, 정상적인 이벤트를 차단하는 것을 방지하기 위해서 사전에 정의된 정책에 따라서 이벤트를 차단하는 것을 특징으로 하는 컴퓨터 시스템.2. The computer system of claim 1, wherein the event is blocked according to a predefined policy to prevent blocking a normal event.
KR1020090111953A 2009-11-19 2009-11-19 Method of protecting integrity of computer KR20110055081A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090111953A KR20110055081A (en) 2009-11-19 2009-11-19 Method of protecting integrity of computer

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090111953A KR20110055081A (en) 2009-11-19 2009-11-19 Method of protecting integrity of computer

Publications (1)

Publication Number Publication Date
KR20110055081A true KR20110055081A (en) 2011-05-25

Family

ID=44364168

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090111953A KR20110055081A (en) 2009-11-19 2009-11-19 Method of protecting integrity of computer

Country Status (1)

Country Link
KR (1) KR20110055081A (en)

Similar Documents

Publication Publication Date Title
JP7084778B2 (en) Systems and methods for cloud-based detection, exploration and elimination of targeted attacks
KR102307534B1 (en) Systems and methods for tracking malicious behavior across multiple software entities
US8719935B2 (en) Mitigating false positives in malware detection
US9092823B2 (en) Internet fraud prevention
US9015829B2 (en) Preventing and responding to disabling of malware protection software
US9330259B2 (en) Malware discovery method and system
US9058504B1 (en) Anti-malware digital-signature verification
KR20140033349A (en) System and method for virtual machine monitor based anti-malware security
US10083301B2 (en) Behaviour based malware prevention
US8549626B1 (en) Method and apparatus for securing a computer from malicious threats through generic remediation
CN107330328B (en) Method and device for defending against virus attack and server
Min et al. Antivirus security: naked during updates
Ramilli et al. Multi-stage delivery of malware
Vijayalakshmi et al. Study on emerging trends in malware variants
Min et al. A novel malware for subversion of self‐protection in anti‐virus
Alzahrani et al. Ransomware in windows and android platforms
KR100745640B1 (en) Method for protecting kernel memory and apparatus thereof
KR100666562B1 (en) Method for protecting kernel driver and process
KR101003510B1 (en) System for Detection and Prevent of Recrudescence of Mal-Process
KR101614809B1 (en) Practice control system of endpoint application program and method for control the same
Deka et al. Malware detection vectors and analysis techniques: A brief survey
Regi et al. Case study on detection and prevention methods in zero day attacks
Etaher et al. Understanding the threat of banking malware
Sharma Design and implementation of malware detection scheme
KR20110055081A (en) Method of protecting integrity of computer

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application