KR20110119159A - Apparatus and method for preventing backdoor - Google Patents
Apparatus and method for preventing backdoor Download PDFInfo
- Publication number
- KR20110119159A KR20110119159A KR1020100038697A KR20100038697A KR20110119159A KR 20110119159 A KR20110119159 A KR 20110119159A KR 1020100038697 A KR1020100038697 A KR 1020100038697A KR 20100038697 A KR20100038697 A KR 20100038697A KR 20110119159 A KR20110119159 A KR 20110119159A
- Authority
- KR
- South Korea
- Prior art keywords
- kernel
- password
- log information
- application
- extended
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 230000002265 prevention Effects 0.000 claims description 29
- 238000009434 installation Methods 0.000 abstract description 8
- 239000000284 extract Substances 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 11
- 230000008569 process Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/556—Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Abstract
Description
본 발명은 컴퓨터 보안 기술에 관련된 것으로, 보다 자세하게는 백도어를 방지하는 기술에 관한 것이다.
The present invention relates to computer security technology, and more particularly, to a technology for preventing a back door.
컴퓨터, 네트워킹 기술과 인터넷 문화의 빠른 보급으로 인해 지식 정보화 사회로의 이전이 급속하게 변하고 있다. 인터넷의 보급에 따라 순기능적인 면에서는 인터넷을 통하여 많은 정보의 공유를 할 수 있게 되었다.The rapid dissemination of computer, networking technology and internet culture is changing rapidly to the knowledge information society. With the spread of the Internet, it is possible to share a lot of information through the Internet in terms of net functions.
하지만 역기능적인 면에서 인터넷의 설계상 개방적인 특성과 TCP/IP 프로토콜의 근본적인 문제점 및 정보시스템 자체의 취약성 등으로 인해서 악의적인 불법 침입에 의한 정보의 도청, 위조 및 변조 행위들이 이루어지고 있다.However, due to the dysfunctional aspects of the Internet's design, the fundamental problems of the TCP / IP protocol, and the vulnerability of the information system itself, eavesdropping, forgery, and tampering with information caused by malicious intrusion are taking place.
인터넷을 구성하는 컴퓨터는 운영체제(Operating System)를 통해 작동한다. 운영체제는 시스템 콜을 제공하여 어플리케이션(Application)이 컴퓨터의 자원을 이용하여 동작을 수행할 수 있게 한다. 즉, 어플리케이션이 시스템 콜을 호출하면, 시스템 콜은 커널(kernel)을 호출하여 프로세스 생성, 메모리 할당, 연산 등의 컴퓨터의 자원을 사용하여 동작을 수행한다.The computers that make up the Internet operate through an operating system. The operating system provides system calls to allow applications to perform operations by using computer resources. That is, when an application calls a system call, the system call invokes a kernel to perform an operation using computer resources such as process creation, memory allocation, and operation.
하지만 한번의 불법 침입에 의한 시스템 콜의 변경으로 이후 침입 때에는 간단히 관리자 권한을 얻을 수 있는 백도어(backdoor)를 통한 해킹 행위가 늘어나면서 그 피해가 증가하고 있는 실정이다. 백도어는 정상적인 인증, 권한 획득 과정이 없이 불법적으로 컴퓨터 시스템의 관리자 권한을 획득할 수 있도록 하는 프로그램이다. 일반적인 백도어는 무결성 검사 방법(예를 들어, btrom, StMichaed LKM)을 통해 쉽게 탐지되어 제거될 수 있다. However, due to the change of the system call caused by one illegal intrusion, the damage is increasing due to the increase of the hacking behavior through the backdoor, which can simply gain administrator authority in the subsequent intrusion. A backdoor is a program that allows an administrator to illegally acquire a computer system without a normal authentication and authorization process. Typical backdoors can be easily detected and eliminated through integrity check methods (eg btrom, StMichaed LKM).
하지만, 최근 확장 커널 모듈(Loadable Kernel Modules)을 이용하여 커널의 기능을 확장하는 운영체제가 등장함에 따라 확장 커널 모듈을 이용한 백도어 설치가 발생하고 있다. 확장 커널 모듈은 커널 상에 등록(로드)되어 커널의 일부로써 작동하는 모듈로써, 전체 커널을 다시 컴파일하지 않고, 커널의 기능을 확장할 수 있다. 이러한 확장 커널 모듈을 이용하여 백도어의 설치하는 해킹 방법이 등장하였고, 이에 따른 백도어는 기존 무결성 검사 방법으로는 탐지가 불가능한 문제가 있다.
However, with the recent emergence of operating systems that extend the functionality of the kernel using Loadable Kernel Modules, backdoor installation using the Extended Kernel Module has occurred. An extended kernel module is a module that is registered (loaded) in the kernel and operates as part of the kernel. The extended kernel module can extend the function of the kernel without recompiling the entire kernel. A hacking method for installing a backdoor has appeared using such an extended kernel module, and the backdoor has a problem that cannot be detected by the existing integrity checking method.
본 발명은 확장 커널 모듈의 로그 정보를 제공하는 백도어 방지 장치 및 방법을 제공하고자 한다.An object of the present invention is to provide an apparatus and method for preventing backdoors that provide log information of an extended kernel module.
또한 본 발명은 확장 커널 모듈의 커널 등록 시 패스워드 인증을 수행하는 백도어 방지 장치 및 방법을 제공하고자 한다.
In addition, the present invention is to provide an apparatus and method for preventing backdoors to perform password authentication when registering a kernel of an extended kernel module.
본 발명의 일 측면에 따르면, 어플리케이션으로부터 수신한 확장 커널 등록 요청에 따라 확장 커널 모듈을 커널에 등록시키는 커널 로딩부; 상기 확장 커널 모듈의 등록에 상응하는 로그 정보를 생성하는 로그 정보 생성부; 상기 로그 정보를 저장하는 저장부를 포함하는 백도어 방지 장치가 제공된다.According to an aspect of the present invention, a kernel loading unit for registering an extension kernel module in the kernel according to an extension kernel registration request received from an application; A log information generator for generating log information corresponding to the registration of the extended kernel module; Provided is a back door prevention device including a storage unit for storing the log information.
백도어 방지 장치는 어플리케이션의 요청에 따라 상기 로그 정보를 추출하여 상기 어플리케이션으로 제공하는 로그 정보 제공부를 더 포함할 수 있다.The apparatus for preventing backdoors may further include a log information providing unit for extracting the log information according to a request of an application and providing the log information to the application.
상기 확장 커널 모듈이 커널에 등록되는 경우, 상기 커널 로딩부는 상기 로그 정보 생성부로 상기 확장 커널 모듈에 대한 로그 정보의 생성을 요청하고,When the extended kernel module is registered in the kernel, the kernel loading unit requests generation of log information about the extended kernel module to the log information generator,
상기 로그 정보 생성부는 상기 커널 로딩부의 로그 정보의 생성 요청에 따라 상기 로그 정보를 생성할 수 있다.
The log information generation unit may generate the log information according to a request for generating log information of the kernel loading unit.
본 발명의 다른 측면에 따르면, 어플리케이션으로부터 입력 패스워드 및 확장 커널 모듈의 등록 요청을 수신하는 커널 로딩부; 설정 패스워드를 저장하는 패스워드 설정부; 상기 입력 패스워드를 상기 설정 패스워드와 비교하는 인증부를 포함하되, 상기 입력 패스워드와 상기 설정 패스워드가 동일할 경우, 상기 커널 로딩부는 상기 확장 커널 모듈을 커널로 등록시키는 것을 특징으로 하는 백도어 방지 장치가 제공된다.According to another aspect of the present invention, a kernel loading unit for receiving an input password and a registration request of an extended kernel module from an application; A password setting unit for storing a setting password; And an authentication unit for comparing the input password with the setting password, and when the input password and the setting password are the same, the kernel loading unit registers the extension kernel module as a kernel. .
상기 패스워드 설정부는 상기 어플리케이션으로부터 패스워드를 수신하는 경우, 상기 수신한 패스워드를 상기 설정 패스워드로 저장할 수 있다.When the password setting unit receives a password from the application, the password setting unit may store the received password as the setting password.
상기 커널 로딩부는 입력 패스워드 및 확장 커널 모듈의 등록 요청을 수신하는 경우, 상기 인증부로 상기 입력 패스워드의 인증을 요청하고, 상기 인증부는 상기 커널 로딩부의 인증 요청에 따라 상기 설정 패스워드와 상기 입력 패스워드를 비교할 수 있다.When the kernel loading unit receives an input password and a registration request of an extended kernel module, the authentication unit requests authentication of the input password to the authentication unit, and the authentication unit compares the set password with the input password according to the authentication request of the kernel loading unit. Can be.
상기 입력 패스워드와 상기 설정 패스워드가 상이한 경우, 커널 로딩부는 상기 어플리케이션으로 에러 메시지를 전송할 수 있다.
When the input password and the configuration password are different, the kernel loading unit may transmit an error message to the application.
본 발명의 또 다른 측면에 따르면, 어플리케이션으로부터 확장 커널 모듈의 등록 요청을 수신하는 단계; 상기 확장 커널 모듈을 커널에 등록시키는 단계; 상기 확장 커널 모듈의 등록에 상응하는 로그 정보를 생성하는 단계; 및 상기 로그 정보를 저장하는 단계를 포함하는 백도어 방지 방법이 제공된다.According to another aspect of the invention, receiving a registration request of an extension kernel module from an application; Registering the extension kernel module with a kernel; Generating log information corresponding to registration of the extended kernel module; And storing the log information.
백도어 방지 방법은 상기 어플리케이션으로부터 상기 로그 정보의 요청을 수신하는 단계; 및 상기 로그 정보를 상기 어플리케이션으로 전송하는 단계를 더 포함할 수 있다.
A method of preventing a back door may include receiving a request for log information from the application; And transmitting the log information to the application.
본 발명의 또 다른 측면에 따르면, 어플리케이션으로부터 입력 패스워드 및 확장 커널 모듈의 등록 요청을 수신하는 단계; 상기 입력 패스워드를 상기 설정 패스워드와 비교하는 단계; 및 상기 입력 패스워드와 상기 설정 패스워드가 동일할 경우, 상기 확장 커널 모듈을 커널로 등록시키는 단계를 포함하는 백도어 방지 방법이 제공된다.According to another aspect of the invention, the step of receiving an input password and registration request of the extended kernel module from the application; Comparing the input password with the set password; And registering the extension kernel module as a kernel when the input password and the configuration password are the same.
백도어 방지 방법은 상기 어플리케이션으로부터 패스워드를 수신하는 단계; 및 상기 패스워드를 상기 설정 패스워드로 설정하는 단계를 더 포함할 수 있다.A method of preventing a back door may include receiving a password from the application; And setting the password as the set password.
백도어 방지 방법은 상기 입력 패스워드와 상기 설정 패스워드가 상이한 경우, 상기 어플리케이션으로 에러 메시지를 전송하는 단계를 더 포함할 수 있다.
The method may further include transmitting an error message to the application when the input password and the setting password are different.
본 발명의 실시예에 의하면, 확장 커널 모듈을 이용한 백도어를 감지할 수 있다.According to an embodiment of the present invention, the back door using the extended kernel module can be detected.
본 발명의 실시예에 의하면, 권한이 없는 불법 침입으로 확장 커널 모듈을 이용한 백도어 설치를 방지할 수 있다.
According to an embodiment of the present invention, it is possible to prevent backdoor installation using an extension kernel module due to unauthorized intrusion.
도 1은 백도어 방지 장치를 간략히 예시한 블록도.
도 2는 다른 실시예에 따른 백도어 방지 장치를 예시한 도면.
도 3은 백도어 방지 장치가 백도어 설치를 판단할 수 있는 로그 정보를 생성하는 과정을 예시한 순서도.
도 4는 백도어 방지 장치가 확장 커널 모듈의 등록 과정에서 패스워드를 이용한 백도어 설치를 방지하는 방법을 나타낸 순서도.1 is a block diagram briefly illustrating a backdoor prevention device.
Figure 2 illustrates a backdoor prevention device according to another embodiment.
3 is a flowchart illustrating a process of generating log information for determining a back door installation by the back door preventing apparatus.
FIG. 4 is a flowchart illustrating a method of preventing a back door installation using a password in a registration process of an extended kernel module by a back door preventing apparatus. FIG.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.The present invention may be variously modified and have various embodiments, and specific embodiments will be illustrated in the drawings and described in detail with reference to the accompanying drawings. However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention.
또한, 본 명세서에서, 일 구성요소가 다른 구성요소로 신호를 "전송한다"로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되어 신호를 전송할 수 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 신호를 전송할 수도 있다고 이해되어야 할 것이다.
Further, in the present specification, when one component is referred to as "transmitting a signal" to another component, the one component may be directly connected to the other component to transmit a signal, but there is a particular opposite description. It is to be understood that unless otherwise, the signal may be transmitted in the intermediary with another component.
도 1은 백도어 방지 장치를 간략히 예시한 블록도이다.1 is a block diagram briefly illustrating a backdoor prevention device.
도 1을 참조하면, 백도어 방지 장치는 어플리케이션(110), 시스템 콜 제공부(120), 커널 제공부(130) 및 로그 정보 저장부(150)를 포함한다.Referring to FIG. 1, the backdoor prevention apparatus includes an
어플리케이션(110)은 백도어 방지 장치에서 제공하는 시스템 콜(System Call)을 이용하여 동작 가능한 응용 프로그램이다. 즉, 어플리케이션(110)은 시스템 콜 제공부(120)에서 제공하는 시스템 콜을 호출하여 컴퓨터 시스템의 자원을 이용할 수 있다. 특히 어플리케이션(110)은 시스템 콜 제공부(120)로 확장 커널 모듈(Loadable Kernel Modules)의 커널(kernel)로 등록을 요청할 수 있다. 이 때, 어플리케이션(110)은 사용자가 커맨드 프롬프트(command prompt)를 통해 입력한 시스템 콜을 호출하는 명령어일 수 있다.The
시스템 콜 제공부(120)는 어플리케이션(110)이 이용할 수 있는 시스템 콜을 제공한다. 시스템 콜은 커널과 어플리케이션(110)을 중계해 주는 인터페이스로써, 어플리케이션(110)은 시스템 콜을 통해서만 커널로 접근할 수 있다. The
시스템 콜 제공부(120)는 확장 커널 모듈을 커널에 등록하도록 커널 제공부(130)로 요청(이하 확장 커널 등록 요청이라 지칭)하는 커널 로딩부(123)을 포함한다. 확장 커널 모듈은 커널에 등록되어 커널이 제공하는 기능을 확장할 수 있는 모듈로써, 운영 체제는 확장 커널 모듈을 커널에 등록하여 커널 전체를 다시 컴파일하지 않고 확장 커널 모듈의 기능을 커널로써 제공할 수 있다. 예를 들어, 컴퓨터 시스템에 새로운 디바이스가 추가되어 커널의 추가 기능이 필요할 경우, 커널 로딩부(123)는 추가 기능을 제공하는 확장 커널 모듈을 커널에 등록하는 것을 커널 제공부(130)로 요청할 수 있다. 또한 커널 로딩부(123)은 커널에 등록한 확장 커널 모듈에 대한 로그 정보의 생성을 로그 정보 생성부(126)로 요청한다.The
로그 정보 생성부(126)은 커널 로딩부(123)에서 커널 제공부(130)로 등록을 요청한 확장 커널 모듈에 대한 로그 정보를 생성하여 로그 정보 저장부(150)에 저장한다. 즉, 로그 정보 생성부(126)은 커널 로딩부(123)가 커널에 등록한 모든 확장 커널 모듈에 대한 로그 정보를 생성하여 로그 정보 저장부(150)에 누적하여 저장할 수 있다. 이 때, 로그 정보는 커널에 등록된 확장 커널 모듈의 이름, 등록된 시각, 확장 커널 모듈의 용량 등을 나타내는 정보를 포함할 수 있다.The
로그 정보 제공부(129)는 어플리케이션(110)의 요청에 따라 로그 정보 저장부(150)에 저장된 로그 정보를 로딩하여 어플리케이션(110)으로 제공한다. 또한 로그 정보 제공부(129)는 어플리케이션(110)의 요청에 따라 로그 정보 저장부(150)에 저장된 로그 정보의 일부 또는 전체를 삭제할 수 있다.The log
커널 제공부(130)는 커널을 메모리(미도시)에 상주시키고, 시스템 콜 제공부(120)의 시스템 콜에 상응하는 커널이 실행되도록 한다. 또한 커널 제공부(130)는 커널 로딩부(123)의 확장 커널 등록 요청에 따라 해당 확장 커널 모듈을 메모리(미도시)에 상주시켜 커널의 일부로 동작하도록 할 수 있다.The
로그 정보 저장부(150)는 로그 정보 생성부(126)로부터 수신한 로그 정보를 저장한다.The log
상술한 백도어 방지 장치는 등록되는 모든 확장 커널 모듈에 대한 로그 정보를 어플리케이션을 통해 사용자에게 제공하기 때문에, 사용자는 로그 정보를 확인하여 확장 커널 모듈을 이용한 백도어를 찾을 수 있다.
Since the above-described backdoor prevention apparatus provides the user with log information on all registered extended kernel modules through the application, the user can find the backdoor using the extended kernel module by checking the log information.
도 2는 다른 실시예에 따른 백도어 방지 장치를 예시한 도면이다.2 is a diagram illustrating a backdoor prevention apparatus according to another embodiment.
백도어 방지 장치는 어플리케이션(210), 시스템 콜 제공부(220), 커널 제공부(230)를 포함한다.The backdoor prevention device includes an
어플리케이션(210)은 백도어 방지 장치에서 제공하는 시스템 콜을 이용하여 동작 가능한 응용 프로그램이다. 즉, 어플리케이션(210)은 시스템 콜 제공부(220)에서 제공하는 시스템 콜을 호출하여 컴퓨터 시스템의 자원을 이용할 수 있다. 특히, 어플리케이션(110)은 시스템 콜 제공부(120)로 확장 커널 모듈(Loadable Kernel Modules)을 커널(kernel)에 등록하는 것을 요청할 수 있다. 이 때, 어플리케이션(210)은 시스템 콜 제공부에 포함된 커널 로딩부(223)을 호출할 때, 패스워드를 함께 커널 로딩부(223)로 전송한다. 어플리케이션(210)은 사용자가 커맨드 프롬프트(command prompt)를 통해 입력한 시스템 콜을 호출하는 명령어일 수 있다.The
시스템 콜 제공부(220)는 어플리케이션(210)이 이용할 수 있는 시스템 콜을 제공한다. 시스템 콜은 커널과 어플리케이션(210)을 중계해 주는 인터페이스로써, 어플리케이션(210)은 시스템 콜을 통해서만 커널로 접근할 수 있다. The
시스템 콜 제공부(220)는 확장 커널 모듈을 커널에 등록하도록 커널 제공부(130)로 요청하는 커널 로딩부(223)을 포함한다. 확장 커널 모듈은 커널에 등록되어 커널의 기능을 확장할 수 있는 모듈로써, 운영 체제는 확장 커널 모듈을 커널에 등록하여 커널 전체를 다시 컴파일하지 않고 확장 커널 모듈의 기능을 커널로써 제공할 수 있다. 예를 들어, 컴퓨터 시스템에 새로운 디바이스가 추가되어 커널의 추가 기능이 필요할 경우, 커널 로딩부(223)는 추가 기능을 제공하는 확장 커널 모듈에 대한 확장 커널 등록 요청을 커널 제공부(230)로 전송 할 수 있다. 이 때, 커널 로딩부(223)는 커널 제공부(230)로 확장 커널 등록 요청을 전송하기 이전에 인증부(226)로 패스워드 전송하여 인증을 요청한다.The
인증부(226)은 수신한 패스워드가 미리 지정된 패스워드와 동일한지 확인하고, 패스워드의 동일 여부를 나타내는 리턴값을 커널 로딩부(123)로 전송한다.The
인증부(226)로부터 수신한 리턴값이 패스워드가 동일함을 나타내는 값(예를 들어, 1)일 경우, 커널 로딩부(123)은 어플리케이션(110)이 요청한 확장 커널 모듈을 커널 제공부(130)로 전송하여 커널로 등록되도록 한다. 인증부(226)로부터 수신한 리턴값이 패스워드와 상이함을 나타내는 값(예를 들어, 0)일 경우, 커널 로딩부(123)은 어플리케이션(110)으로 확장 커널 모듈을 등록할 수 없음을 나타내는 에러 메시지를 전송한다.If the return value received from the
또한 시스템 콜 제공부(220)는 패스워드를 설정하는 시스템 콜인 패스워드 설정부(226)을 포함할 수 있으며, 사용자는 어플리케이션(210)은 패스워드 설정부(226)로 패스워드의 설정을 요청할 수 있다. 패스워드 설정부(226)는 어플리케이션(210)로부터 패스워드로 사용될 문자열을 입력 받아 저장하여, 추후 인증부(226)의 패스워드 요청에 따라 저장된 문자열을 인증부(226)로 전송할 수 있다. In addition, the
또한 패스워드 설정부(229)은 패스워드가 이미 설정되어 있는 경우, 어플리케이션(110)으로부터 인증을 위해 입력된 패스워드(이하 입력 패스워드라 지칭)와 새로이 설정할 패스워드를 입력 받을 수 있다. 패스워드 설정부(229)는 입력 패스워드와 현재 패스워드 설정부(229)에 설정되어 있는 패스워드(이하 설정 패스워드라 지칭)를 비교하여 동일한 경우, 새로이 설정할 패스워드를 설정 패스워드로 변경하여 저장할 수 있다.
In addition, when a password is already set, the
상술한 올바른 패스워드를 전송하여 시스템 콜을 요청하는 경우에만 확장 커널 모듈의 등록을 수행하는 백도어 방지 장치는 침입자가 관리자 권한을 갖고 해킹을 위한 확장 커널 모듈의 등록을 요청하더라도, 백도어 방지 장치는 패스워드의 입력 없이는 확장 커널 모듈을 등록할 수 없도록 하여 백도어 설치를 불가하도록 할 수 있다.
The backdoor prevention device that performs registration of the extended kernel module only when requesting a system call by transmitting the correct password as described above, even if an attacker has the administrator's authority and requests the registration of the extended kernel module for hacking, the backdoor prevention device does not recognize the password. You can disable the backdoor installation by not registering the extension kernel module without input.
도 3은 백도어 방지 장치가 백도어 설치를 판단할 수 있는 로그 정보를 생성하는 과정을 예시한 순서도이다.3 is a flowchart illustrating a process of generating log information for determining a back door installation by the apparatus for preventing a back door.
도 3을 참조하면, 단계 310에서 백도어 방지 장치는 어플리케이션(110)이 요청하는 확장 커널 모듈의 등록을 위해 커널 로딩부를 호출한다.Referring to FIG. 3, in
단계 320에서 백도어 방지 장치는 확장 커널 모듈을 커널에 등록한다. 커널에 등록된 확장 커널 모듈은 이후 커널의 일부로 기능을 수행할 수 있다.In
단계 330에서 백도어 방지 장치는 등록된 확장 커널 모듈에 대한 로그 정보를 생성한다. 이 때, 로그 정보는 커널에 등록된 확장 커널 모듈의 이름, 등록된 시각, 확장 커널 모듈의 용량 등을 나타내는 정보를 포함할 수 있다.In
단계 340에서 백도어 방지 장치는 단계 330에서 생성된 로그 정보를 로그 정보 저장부(150)에 저장한다.In
단계 350에서 백도어 방지 장치는 어플리케이션(110)으로부터 로그 정보를 요청 받는다. 이 때, 어플리케이션(110)은 사용자로부터 로그 정보를 요청하는 명령을 입력 받는 경우, 백도어 방지 장치로 로그 정보를 요청할 수 있다.In
단계 360에서 백도어 방지 장치는 단계 350의 요청에 따라 로그 정보 저장부(150)에서 로그 정보를 추출한다.In
단계 370에서 백도어 방지 장치는 단계 360에서 추출한 로그 정보를 어플리케이션(110)으로 전송한다.
In
도 4는 백도어 방지 장치가 확장 커널 모듈의 등록 과정에서 패스워드를 이용한 백도어 설치를 방지하는 방법을 나타낸 순서도이다.4 is a flowchart illustrating a method of preventing a backdoor installation using a password in a registration process of an extended kernel module by a backdoor prevention apparatus.
도 4를 참조하면, 단계 410에서 백도어 방지 장치는 어플리케이션(210)으로부터 커널 로딩부 호출 및 패스워드를 수신한다.Referring to FIG. 4, in
단계 420에서 백도어 방지 장치는 단계 310에서 수신한 패스워드가 백도어 방지 장치에 미리 설정된 패스워드와 동일한지 확인한다. 이 때, 백도어 방지 장치에는 패스워드가 미리 설정될 수 있다. 즉, 백도어 방지 장치는 패스워드를 설정하는 시스템 콜을 구비할 수 있으며, 사용자는 어플리케이션(210)을 통해 해당 시스템 콜의 호출하여 패스워드를 설정할 수 있다. 예를 들어, 패스워드를 설정하는 시스템 콜인 패스워드 설정부는 패스워드로 사용될 문자열을 입력 받아 저장하여, 추후 인증부(226)의 패스워드 요청에 따라 저장된 문자열을 인증부(226)로 전송할 수 있다. In
제1 인자를 통해 입력 받은 패스워드가 기설정된 패스워드와 상이한 경우, 단계 430에서 백도어 방지 장치는 패스워드가 올바르지 않다는 에러 메시지를 어플리케이션(210)으로 전송한다.If the password inputted through the first factor is different from the preset password, the backdoor prevention device transmits an error message indicating that the password is not correct to the
제1 인자를 통해 입력 받은 패스워드가 기설정된 패스워드와 동일한 경우, 단계 440에서 백도어 방지 장치는 확장 커널 모듈을 커널에 등록한다.
If the password inputted through the first parameter is the same as the preset password, the backdoor prevention device registers the extension kernel module in the kernel at
이제까지 본 발명에 대하여 그 실시 예를 중심으로 살펴보았다. 전술한 실시 예 외의 많은 실시 예들이 본 발명의 특허청구범위 내에 존재한다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예는 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the embodiment for the present invention. Many embodiments other than the above-described embodiments are within the claims of the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. The disclosed embodiments should, therefore, be considered in an illustrative rather than a restrictive sense. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.
Claims (12)
상기 확장 커널 모듈의 등록에 상응하는 로그 정보를 생성하는 로그 정보 생성부;
상기 로그 정보를 저장하는 저장부를 포함하는 백도어 방지 장치.
A kernel loading unit that registers an extension kernel module with a kernel according to an extension kernel registration request received from an application;
A log information generator for generating log information corresponding to the registration of the extended kernel module;
Back door prevention device comprising a storage unit for storing the log information.
어플리케이션의 요청에 따라 상기 로그 정보를 추출하여 상기 어플리케이션으로 제공하는 로그 정보 제공부를 더 포함하는 백도어 방지 장치.
The method according to claim 1,
And a log information providing unit extracting the log information according to a request of an application and providing the log information to the application.
상기 확장 커널 모듈이 커널에 등록되는 경우, 상기 커널 로딩부는 상기 로그 정보 생성부로 상기 확장 커널 모듈에 대한 로그 정보의 생성을 요청하고,
상기 로그 정보 생성부는 상기 커널 로딩부의 로그 정보의 생성 요청에 따라 상기 로그 정보를 생성하는 것을 특징으로 하는 백도어 방지 장치.
The method according to claim 1,
When the extended kernel module is registered in the kernel, the kernel loading unit requests generation of log information about the extended kernel module to the log information generator,
And the log information generator generates the log information according to a request for generating log information of the kernel loading unit.
설정 패스워드를 저장하는 패스워드 설정부;
상기 입력 패스워드를 상기 설정 패스워드와 비교하는 인증부를 포함하되,
상기 입력 패스워드와 상기 설정 패스워드가 동일할 경우, 상기 커널 로딩부는 상기 확장 커널 모듈을 커널로 등록시키는 것을 특징으로 하는 백도어 방지 장치.
A kernel loading unit which receives an input password and a registration request of an extended kernel module from an application;
A password setting unit for storing a setting password;
An authentication unit for comparing the input password with the set password,
And if the input password and the configuration password are the same, the kernel loading unit registers the extension kernel module as a kernel.
상기 패스워드 설정부는 상기 어플리케이션으로부터 패스워드를 수신하는 경우,
상기 수신한 패스워드를 상기 설정 패스워드로 저장하는 것을 특징으로 하는 백도어 방지 장치.
The method of claim 4, wherein
When the password setting unit receives a password from the application,
And storing the received password as the set password.
상기 커널 로딩부는 입력 패스워드 및 확장 커널 모듈의 등록 요청을 수신하는 경우, 상기 인증부로 상기 입력 패스워드의 인증을 요청하고,
상기 인증부는 상기 커널 로딩부의 인증 요청에 따라 상기 설정 패스워드와 상기 입력 패스워드를 비교하는 것을 특징으로 하는 백도어 방지 장치.
The method of claim 4, wherein
When the kernel loading unit receives an input password and a registration request of an extended kernel module, the kernel loading unit requests authentication of the input password from the authentication unit.
And the authentication unit compares the set password and the input password according to an authentication request of the kernel loading unit.
상기 입력 패스워드와 상기 설정 패스워드가 상이한 경우, 커널 로딩부는 상기 어플리케이션으로 에러 메시지를 전송하는 것을 특징으로 하는 백도어 방지 장치.
The method of claim 4, wherein
And the kernel loading unit transmits an error message to the application when the input password and the setting password are different.
상기 확장 커널 모듈을 커널에 등록시키는 단계;
상기 확장 커널 모듈의 등록에 상응하는 로그 정보를 생성하는 단계; 및
상기 로그 정보를 저장하는 단계를 포함하는 백도어 방지 방법.
Receiving a registration request of an extension kernel module from an application;
Registering the extension kernel module with a kernel;
Generating log information corresponding to registration of the extended kernel module; And
And storing the log information.
상기 어플리케이션으로부터 상기 로그 정보의 요청을 수신하는 단계; 및
상기 로그 정보를 상기 어플리케이션으로 전송하는 단계를 더 포함하는 백도어 방지 방법.
The method of claim 8,
Receiving a request for log information from the application; And
And transmitting the log information to the application.
상기 입력 패스워드를 상기 설정 패스워드와 비교하는 단계; 및
상기 입력 패스워드와 상기 설정 패스워드가 동일할 경우, 상기 확장 커널 모듈을 커널로 등록시키는 단계를 포함하는 백도어 방지 방법.
Receiving an input password and a registration request of an extended kernel module from an application;
Comparing the input password with the set password; And
Registering the extended kernel module as a kernel when the input password and the configuration password are the same.
상기 어플리케이션으로부터 패스워드를 수신하는 단계; 및
상기 패스워드를 상기 설정 패스워드로 설정하는 단계를 더 포함하는 백도어 방지 방법.
The method of claim 10,
Receiving a password from the application; And
And setting the password as the set password.
상기 입력 패스워드와 상기 설정 패스워드가 상이한 경우, 상기 어플리케이션으로 에러 메시지를 전송하는 단계를 더 포함하는 백도어 방지 방법.
The method of claim 10,
And transmitting an error message to the application when the input password and the setting password are different.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100038697A KR20110119159A (en) | 2010-04-26 | 2010-04-26 | Apparatus and method for preventing backdoor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100038697A KR20110119159A (en) | 2010-04-26 | 2010-04-26 | Apparatus and method for preventing backdoor |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20110119159A true KR20110119159A (en) | 2011-11-02 |
Family
ID=45390788
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100038697A KR20110119159A (en) | 2010-04-26 | 2010-04-26 | Apparatus and method for preventing backdoor |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20110119159A (en) |
-
2010
- 2010-04-26 KR KR1020100038697A patent/KR20110119159A/en not_active Application Discontinuation
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11514159B2 (en) | Method and system for preventing and detecting security threats | |
Jia et al. | ContexloT: Towards providing contextual integrity to appified IoT platforms. | |
EP1349033A1 (en) | A method of protecting the integrity of a computer program | |
JP2012008732A (en) | Installation control device and program | |
US11658996B2 (en) | Historic data breach detection | |
Classen et al. | Evil never sleeps: When wireless malware stays on after turning off iphones | |
Sohr et al. | Software security aspects of Java-based mobile phones | |
Jeong et al. | SafeGuard: a behavior based real-time malware detection scheme for mobile multimedia applications in android platform | |
Wu et al. | The mobile agent security enhanced by trusted computing technology | |
US11611570B2 (en) | Attack signature generation | |
KR20110119159A (en) | Apparatus and method for preventing backdoor | |
Moran | Security for mobile ATE applications | |
US11582248B2 (en) | Data breach protection | |
Khurshid et al. | TEE-watchdog: mitigating unauthorized activities within trusted execution environments in ARM-based low-power IoT devices | |
Song et al. | Android Data-Clone Attack via Operating System Customization | |
CN117473542A (en) | Service data access method, device, equipment and storage medium | |
Mancini et al. | Ephemeral classification of mobile terminals | |
GB2569553A (en) | Historic data breach detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |