KR20120031745A - 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법 - Google Patents
커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법 Download PDFInfo
- Publication number
- KR20120031745A KR20120031745A KR1020100093308A KR20100093308A KR20120031745A KR 20120031745 A KR20120031745 A KR 20120031745A KR 1020100093308 A KR1020100093308 A KR 1020100093308A KR 20100093308 A KR20100093308 A KR 20100093308A KR 20120031745 A KR20120031745 A KR 20120031745A
- Authority
- KR
- South Korea
- Prior art keywords
- driver
- event
- kernel
- function
- registry
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
본 발명은 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템 및 그 방법에 관한 것으로서, 컴퓨터의 로딩 시점에서 PsSetCreateProcessNotifyRoutine 함수 내부의 커널드라이버에 존재하는 함수를 콜백(Callback)함수로 등록하여, 프로세스의 생성 및 종료에 따른 프로세스 이벤트를 리턴(return)받는 프로세스 모니터 드라이버; 내부에 존재하는 함수를 드라이버 로딩 시점에서 CmRegisterCallback 함수 내부에 콜백함수로 등록하여, 레지스트리 이벤트를 리턴받는 레지스트리 모니터 드라이버; 윈도우 시스템에서 존재하는 Filter Manager에 커널드라이버 자체를 mini filter 드라이버로 등록하여 파일관련 입출력 이벤트를 리턴받는 파일 모니터 드라이버; 및 프로세스 이벤트, 레지스트리 이벤트 및 입출력 이벤트를 커널 드라이버와 응용 프로그램이 동시에 접근할 수 있는 공유 메모리를 통해 인가받아 기 설정된 모니터링 대상 프로세스의 데이터만을 선별하여 기 정의된 공유 메모리 영역에 저장하는 행위 이벤트 컬렉터;를 포함한다.
Description
본 발명은 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템 및 그 방법에 관한 것으로서, 더욱 상세하게는 별도의 후킹 코드 삽입없이 커널 매니저에 등록된 콜백 함수를 통해 행위 모니터링이 가능하기 때문에 성능상의 문제없이 커널레벨 행위 분석을 제공하는 기술에 관한 것이다.
도 1에 도시된 바와 같이, 최근 신종/변종 악성코드의 수가 급격히 증가함에 따라, 7.7 DDoS 공격과 같이 악성코드를 이용한 사이버 공격의 피해가 지속적으로 증가하고 있으며, 금전적인 피해 유발로 그 심각성이 증대되고 있다.
또한, 수집되는 악성코드의 80% 이상이 분석 방해 및 지연을 목적으로 커널 루트킷, 실행압축, DLL/바이너리 코드 삽입 등을 사용하고 있어, 악성코드에 대한 신속한 대응이 어려운 실정이다.
급증하고 있는 악성코드 대응하기 위해 대부분의 안티바이러스 벤더들은 악성코드 행위 분석 자동화 시스템을 구축하여, 빠른 시간에 치명적 위협 악성코드를 우선적으로 선별해서 대응하고 있다. 악성코드 자동 분석을 위한 기술로 윈도우 시스템 후킹 기법을 이용한 분석 기술이 일반적으로 사용되고 있다.
응용 레벨 API 후킹을 이용한 악성코드 자동 분석 기술은 윈도우 커널에 대한 전문적인 지식 없이도 빠른 시스템 구축이 가능한 장점이 있으나, 커널레벨 구동 악성코드 분석에 어려움이 있다.
또한, 커널레벨 악성코드 행위 분석 기술은 SSDT, IDT 등 윈도우 커널 오브젝트에 행위 모니터링을 위한 후킹코드(Hooking Code)를 삽입하기 때문에 커널레벨 구동 악성코드에 대해서도 분석할 수 있으나, 동일 후킹기술을 사용하는 악성코드의 행위 분석이 어렵고, 시스템 후킹에 따른 성능 상의 문제가 발생한다.
지금까지 제안된 악성코드 행위 분석 기술은 악성코드가 호출한 API를 모니터링 한 다음 API 호출 패턴을 분석하여 행위를 탐지하는 기술에 중점을 두고 연구되어 왔다. 그러나, 대부분의 연구들이 커널 루트킷 기능 보유 악성코드 분석에 어려움이 있으며, 대량의 악성코드 분석에 따른 성능 문제가 발생한다.
도 2에 도시된 바와 같이, Sunbelt사의 CWSandbox는 악성코드를 가상환경 기반 분석 환경에서 실행하고, 악성 프로세스의 쓰레드로 모니터링 모듈인 CWMonitor.dll파일을 삽입한다. 삽입 이 후 악성코드가 실행되는 과정에서 발생하는 윈도우 API 호출 정보를 API후킹 기법을 이용하여 가로 챈 다음, 파일, 레지스트리, 프로세스 생성 이벤트를 분석한다. 그러나, Win32 API 호출을 이용하기 때문에 윈도우 커널 영역에서 IRP 메시지 생성, Native API 호출 등과 같은 커널 레벨 구동 악성코드 분석에 어려움이 있다.
한편, 도 3에 도시된 바와 같은 Ikarus software사의 TTAnalyze와 오픈 프로젝트의 ZeroWine은 QEMU에서 처리하는 악성코드의명령어(Instruction)를 모니터링해서 호출 API정보를 추출한다. QEMU는 악성코드의 명령어를 하나씩 번역해서 실제 CPU에서 실행되는 것처럼 가상으로 실행하게 된다. 따라서 명령어 순차 실행에 따른 분석 시간 지연이 발생한다.
그리고, 도 4에 도시된 바와 같은 Artem Dinaburge 등이 제안한 Ether는 악성코드의 가상환경 탐지 기능 무력화에 중점을 두고 개발된 도구로, 현재는 악성코드 행위 모니터링만 가능하다. Ether는 Intel-VT기술이 적용된 CPU와 XEN 3.0를 이용해서 하드웨어 기반 가상화 시스템에서 악성코드를 실행하기 때문에 다양한 가상환경탐지 무력화 기능을 제공한다. 그러나, 악성코드 실행을 위해 발생하는 모든 명령어(Insrturction)을 분석 및 필터링해서 파일쓰기등과 같이 특정행위 모니터링에 복잡함이 존재한다.
본 발명의 목적은, 지능형 분석 방해 기법이 적용된 악성코드를 커널레벨에서 모니터링할 수 있으며, 행위 모니터링에 따른 시스템 성능 저하를 막을 수 있는 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템을 제공함에 있다.
본 발명은 구체적으로, 윈도우 커널에 존재하는 I/O Filter, 프로세스, 레지스트리 등과 같은 커널 매니저에 콜백 함수를 등록하여 발생하는 콜백 메시지로 행위 모니터링을 수행하되, 후킹코드 삽입에 따른 분석 오류가 발생하지 않으며, 성능 저하없이 커널레벨에서 행위 모니터링을 제공함에 그 특징적인 목적이 있다.
이러한 기술적 과제를 달성하기 위한 본 발명의 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템은, 컴퓨터의 로딩 시점에서 PsSetCreateProcessNotifyRoutine 함수 내부의 커널드라이버에 존재하는 함수를 콜백(Callback)함수로 등록하여, 프로세스의 생성 및 종료에 따른 프로세스 이벤트를 리턴(return)받는 프로세스 모니터 드라이버; 내부에 존재하는 함수를 드라이버 로딩 시점에서 CmRegisterCallback 함수 내부에 콜백함수로 등록하여, 레지스트리 이벤트를 리턴받는 레지스트리 모니터 드라이버; 윈도우 시스템에서 존재하는 Filter Manager에 커널드라이버 자체를 mini filter 드라이버로 등록하여 파일관련 입출력 이벤트를 리턴받는 파일 모니터 드라이버; 및 프로세스 이벤트, 레지스트리 이벤트 및 입출력 이벤트를 커널 드라이버와 응용 프로그램이 동시에 접근할 수 있는 공유 메모리를 통해 인가받아 기 설정된 모니터링 대상 프로세스의 데이터만을 선별하여 기 정의된 공유 메모리 영역에 저장하는 행위 이벤트 컬렉터;를 포함한다.
그리고, 상술한 시스템을 기반으로 하는 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법은, 프로세스 모니터 드라이버가 컴퓨터 로딩 시점에서 PsSetCreateProcessNotifyRoutine 함수 내부의 커널드라이버에 존재하는 함수를 콜백(Callback)함수로 등록하는 (a) 단계; 레지스트리 모니터 드라이버가 드라이버 로딩 시점에서 CmRegisterCallback 함수 내부에 레지스트리 모니터 드라이버 내부에 존재하는 함수를 콜백함수로 등록하는 (b) 단계; 파일 모니터 드라이버가 윈도우 시스템에서 존재하는 Filter Manager에 커널드라이버 자체를 mini filter 드라이버로 등록하는 (c) 단계; 및 행위 이벤트 컬렉터가 프로세스 모니터 드라이버로부터 프로세스 이벤트를 인가받고, 레지스트리 모니터 드라이버로부터 레지스트리 이벤트를 인가받으며, 파일 모니터 드라이버로부터 입출력 이벤트를 인가받는 (d) 단계;를 포함한다.
상기와 같은 본 발명에 따르면, 지능형 분석 방해 기법이 적용된 악성코드를 커널레벨에서 모니터링함은 물론, 행위 모니터링에 따른 시스템 성능 저하를 막을 수 있는 커널 콜백 매커니즘을 이용하여 악성코드를 자동으로 분석하는 효과가 있다.
그리고, 본 발명에 따르면, 윈도우 커널에 존재하는 I/O Filter, 프로세스, 레지스트리 등과 같은 커널 매니저에 콜백 함수를 등록하여 발생하는 콜백 메시지로 행위 모니터링을 수행함으로써, 후킹코드 삽입에 따른 분석 오류가 발생하지 않으며, 성능 저하 없이 커널레벨에서 행위 모니터링을 제공하는 효과가 있다.
도 1은 최근의 악성코드 수집 통계를 도시한 도면.
도 2는 종래의 CWSandbox 시스템을 도시한 구성도.
도 3은 종래의 TTAnalyze 시스템을 도시한 구성도.
도 4는 종래의 Ether 시스템을 도시한 구성도.
도 5는 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템을 도시한 구성도.
도 6은 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템의 콜백 메커니즘 모듈 구성도.
도 7은 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템의 모니터링 성능을 도시한 도면.
도 8 은 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법을 도시한 순서도.
도 9 는 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법의 제S40단계 이후 과정을 도시한 순서도.
도 2는 종래의 CWSandbox 시스템을 도시한 구성도.
도 3은 종래의 TTAnalyze 시스템을 도시한 구성도.
도 4는 종래의 Ether 시스템을 도시한 구성도.
도 5는 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템을 도시한 구성도.
도 6은 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템의 콜백 메커니즘 모듈 구성도.
도 7은 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템의 모니터링 성능을 도시한 도면.
도 8 은 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법을 도시한 순서도.
도 9 는 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법의 제S40단계 이후 과정을 도시한 순서도.
본 발명의 구체적인 특징 및 이점들은 첨부도면에 의거한 다음의 상세한 설명으로 더욱 명백해질 것이다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 발명자가 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야 할 것이다. 또한, 본 발명에 관련된 공지 기능 및 그 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는, 그 구체적인 설명을 생략하였음에 유의해야 할 것이다.
도 5 및 도 6에 도시된 바와 같이 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템(100)은 프로세스 모니터 드라이버(110), 레지스트리 모니터 드라이버(120), 파일 모니터 드라이버(130) 및 행위 이벤트 컬렉터(140)를 포함하여 구성된다.
구체적으로, 프로세스 모니터 드라이버(Process Monitor Driver)(110)는 컴퓨터의 로딩 시점에서 PsSetCreateProcessNotifyRoutine 함수 내부의 커널드라이버에 존재하는 함수를 콜백(Callback)함수로 등록하여, 프로세스 생성 및 종료 이벤트를 전달받는다.
또한, 레지스트리 모니터 드라이버(Registry Monitor Driver)(120)는 내부에 존재하는 함수를 드라이버 로딩 시점에서 CmRegisterCallback 함수 내부에 콜백함수로 등록하여, 레지스트리 이벤트를 전달받는다.
또한, 파일 모니터 드라이버(File Monitor Driver)(130)는 윈도우 시스템에서 존재하는 Filter Manager에 커널드라이버 자체를 mini filter 드라이버로 등록하여 파일관련 입출력(I/O) 이벤트를 전달받는다.
그리고, 행위 이벤트 컬렉터(Behavior Event Collector)(140)는 상기 프로세스 이벤트, 레지스트리 이벤트 및 입출력 이벤트(이하, '모니터링 데이터')를 커널 드라이버와 응용 프로그램이 동시에 접근할 수 있는 공유 메모리를 통해 인가받되, 상기 모니터링 데이터들 중에 기 설정된 모니터링 대상 프로세스의 데이터만을 선별하여 기 정의된 공유 메모리 영역에 저장한다.
또한, 행위 이벤트 컬렉터(140)는 기 설정된 주기마다 공유 메모리 영역에 접근하여 새롭게 저장된 데이터가 있는지 검사하되, 검사결과 새롭게 저장된 데이터가 존재하는 경우, 프로세스 모니터 드라이버(110), 레지스트리 모니터 드라이버(120) 및 파일 모니터 드라이버(130) 각각으로부터 모니터링 데이터를 독출한다.
이하, 도 7을 참조하여 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템의 모니터링 성능에 대해 살피면 아래와 같다.
본 발명에 따른 성능 테스트는, 악성코드 공유 커뮤니티등을 통해 수집된 최신 악성코드 108종의 상용/오픈 분석시스템과 행위 미탐 및 오탐 분석 성능을 비교하였다.
Ikarus software사의 TTAnalyze의 경우, 업그레이드 버전인 Anubis로 대체하였으며, Ether는 분석 기능을 제공하지 않아, ThreatExpert, Botwall로 대신하였다. 또한, 5종 악성코드 분석 시스템의 분석 결과 비교를 통해 3종이상의 분석 시스템에서 동일하게 탐지된 행위를 기준으로 미탐 및 오탐 건수를 측정하였다.
예를 들어, 3개 이상의 분석시스템에서 탐지된 A 악성코드의 파일 이벤트 "C:\malware.exe 생성"을 기준으로 이를 미 탐지한 나머지 2개 분석시스템의 미탐 건수를 1 증가시켰으며, 또한 동일 악성코드 A의 파일 이벤트를 "C:\tests.exe 생성"으로 분석했을 경우 오탐 건수를 1 증가 시킨다.
즉, 도 7에 도시된 성능 평가 결과에서 보는 바와 같이, 본 발명에서 제안한 커널 매커니즘을 이용한 악성코드 행위 분석 기술이 타 분석 시스템에 비해 낮은 미탐과 오탐을 보임을 확인할 수 있다.
이하, 도 8을 참조하여 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법에 대해 살피면 아래와 같다.
먼저, 도 8에 도시된 바와 같이, 프로세스 모니터 드라이버(110)가 컴퓨터 로딩 시점에서 PsSetCreateProcessNotifyRoutine 함수 내부의 커널드라이버에 존재하는 함수를 콜백(Callback)함수로 등록한다(S10).
이어서, 레지스트리 모니터 드라이버(120)가 드라이버 로딩 시점에서 CmRegisterCallback 함수 내부에 레지스트리 모니터 드라이버 내부에 존재하는 함수를 콜백함수로 등록한다(S20).
뒤이어, 파일 모니터 드라이버(130)가 윈도우 시스템에서 존재하는 Filter Manager에 커널드라이버 자체를 mini filter 드라이버로 등록한다(S30).
그리고, 행위 이벤트 컬렉터(140)가 프로세스 모니터 드라이버(110)로부터 프로세스 이벤트를 인가받고, 레지스트리 모니터 드라이버(120)로부터 레지스트리 이벤트를 인가받으며, 파일 모니터 드라이버(130)로부터 입출력 이벤트를 인가받는다(S40).
도 9를 참조하여 본 발명에 따른 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법의 제S40단계 이후 과정을 살피면 아래와 같다.
행위 이벤트 컬렉터(140)가 프로세스 이벤트, 레지스트리 이벤트 및 입출력 이벤트(모니터링 데이터)들 중에 기 설정된 모니터링 대상 프로세스의 데이터만을 선별하여 기 정의된 공유 메모리 영역에 저장한다(S50).
그리고, 행위 이벤트 컬렉터(140)가 기 설정된 주기마다 공유 메모리 영역에 접근하여 새롭게 저장된 데이터가 있는지 검사하되, 검사결과 새롭게 저장된 데이터가 존재하는 경우, 프로세스 모니터 드라이버(110), 레지스트리 모니터 드라이버(120) 및 파일 모니터 드라이버(130) 각각으로부터 모니터링 데이터를 독출하는 제S40단계로 절차를 이행한다(S60).
이상으로 본 발명의 기술적 사상을 예시하기 위한 바람직한 실시예와 관련하여 설명하고 도시하였지만, 본 발명은 이와 같이 도시되고 설명된 그대로의 구성 및 작용에만 국한되는 것이 아니며, 기술적 사상의 범주를 일탈함이 없이 본 발명에 대해 다수의 변경 및 수정이 가능함을 당업자들은 잘 이해할 수 있을 것이다. 따라서 그러한 모든 적절한 변경 및 수정과 균등 물들도 본 발명의 범위에 속하는 것으로 간주되어야 할 것이다.
100: 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템
110: 프로세스 모니터 드라이버 120: 레지스트리 모니터 드라이버
130: 파일 모니터 드라이버 140: 행위 이벤트 컬렉터
110: 프로세스 모니터 드라이버 120: 레지스트리 모니터 드라이버
130: 파일 모니터 드라이버 140: 행위 이벤트 컬렉터
Claims (5)
- 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템에 있어서,
컴퓨터의 로딩 시점에서 PsSetCreateProcessNotifyRoutine 함수 내부의 커널드라이버에 존재하는 함수를 콜백(Callback)함수로 등록하여, 프로세스의 생성 및 종료에 따른 프로세스 이벤트를 리턴(return)받는 프로세스 모니터 드라이버;
내부에 존재하는 함수를 드라이버 로딩 시점에서 CmRegisterCallback 함수 내부에 콜백함수로 등록하여, 레지스트리 이벤트를 리턴받는 레지스트리 모니터 드라이버;
윈도우 시스템에서 존재하는 Filter Manager에 커널드라이버 자체를 mini filter 드라이버로 등록하여 파일관련 입출력 이벤트를 리턴받는 파일 모니터 드라이버; 및
상기 프로세스 이벤트, 레지스트리 이벤트 및 입출력 이벤트를 커널 드라이버와 응용 프로그램이 동시에 접근할 수 있는 공유 메모리를 통해 인가받아 기 설정된 모니터링 대상 프로세스의 데이터만을 선별하여 기 정의된 공유 메모리 영역에 저장하는 행위 이벤트 컬렉터;를 포함하는 것을 특징으로 하는 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템. - 제 1 항에 있어서,
상기 행위 이벤트 컬렉터는,
기 설정된 주기마다 공유 메모리 영역에 접근하여 새롭게 저장된 데이터가 있는지 검사하되,
상기 검사결과 새롭게 저장된 데이터가 존재하는 경우, 상기 프로세스 모니터 드라이버, 레지스트리 모니터 드라이버 및 파일 모니터 드라이버 각각으로부터 상기 프로세스 이벤트, 레지스트리 이벤트 및 입출력 이벤트를 포함하는 모니터링 데이터를 독출하는 것을 특징으로 하는 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 시스템. - 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법에 있어서,
(a) 프로세스 모니터 드라이버가 컴퓨터 로딩 시점에서 PsSetCreateProcessNotifyRoutine 함수 내부의 커널드라이버에 존재하는 함수를 콜백(Callback)함수로 등록하는 단계;
(b) 레지스트리 모니터 드라이버가 드라이버 로딩 시점에서 CmRegisterCallback 함수 내부에 레지스트리 모니터 드라이버 내부에 존재하는 함수를 콜백함수로 등록하는 단계;
(c) 파일 모니터 드라이버가 윈도우 시스템에서 존재하는 Filter Manager에 커널드라이버 자체를 mini filter 드라이버로 등록하는 단계; 및
(d) 행위 이벤트 컬렉터가 상기 프로세스 모니터 드라이버로부터 프로세스 이벤트를 인가받고, 상기 레지스트리 모니터 드라이버로부터 레지스트리 이벤트를 인가받으며, 상기 파일 모니터 드라이버로부터 입출력 이벤트를 인가받는 단계;를 포함하는 것을 특징으로 하는 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법. - 제 3 항에 있어서,
상기 (d) 단계 이후,
(e) 상기 행위 이벤트 컬렉터가 상기 프로세스 이벤트, 레지스트리 이벤트 및 입출력 이벤트(모니터링 데이터)들 중에 기 설정된 모니터링 대상 프로세스의 데이터만을 선별하여 기 정의된 공유 메모리 영역에 저장하는 단계;를 더 포함하는 것을 특징으로 하는 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법. - 제 4 항에 있어서,
(f) 상기 행위 이벤트 컬렉터가 기 설정된 주기마다 공유 메모리 영역에 접근하여 새롭게 저장된 데이터가 있는지 검사하되, 검사결과 새롭게 저장된 데이터가 존재하는 경우, 상기 프로세스 모니터 드라이버, 레지스트리 모니터 드라이버 및 파일 모니터 드라이버 각각으로부터 모니터링 데이터를 독출하는 상기 (d) 단계로 절차를 이행하는 단계;를 더 포함하는 것을 특징으로 하는 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100093308A KR101174751B1 (ko) | 2010-09-27 | 2010-09-27 | 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법 |
US12/942,700 US20120079594A1 (en) | 2010-09-27 | 2010-11-09 | Malware auto-analysis system and method using kernel callback mechanism |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100093308A KR101174751B1 (ko) | 2010-09-27 | 2010-09-27 | 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20120031745A true KR20120031745A (ko) | 2012-04-04 |
KR101174751B1 KR101174751B1 (ko) | 2012-08-17 |
Family
ID=45872090
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100093308A KR101174751B1 (ko) | 2010-09-27 | 2010-09-27 | 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20120079594A1 (ko) |
KR (1) | KR101174751B1 (ko) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101662162B1 (ko) * | 2016-03-18 | 2016-10-10 | 주식회사 블랙포트시큐리티 | 악성 코드의 감염 경로 역추적을 위한 사용자 행위 검출 방법 |
KR101865238B1 (ko) * | 2016-12-13 | 2018-06-07 | 주식회사 엔피코어 | 악성 코드 차단 장치 및 이의 동작 방법 |
KR20200054752A (ko) * | 2018-11-12 | 2020-05-20 | 주식회사 안랩 | 메시지 모니터링 장치 및 방법 |
Families Citing this family (41)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9087199B2 (en) | 2011-03-31 | 2015-07-21 | Mcafee, Inc. | System and method for providing a secured operating system execution environment |
US9262246B2 (en) | 2011-03-31 | 2016-02-16 | Mcafee, Inc. | System and method for securing memory and storage of an electronic device with a below-operating system security agent |
US8813227B2 (en) | 2011-03-29 | 2014-08-19 | Mcafee, Inc. | System and method for below-operating system regulation and control of self-modifying code |
US9317690B2 (en) | 2011-03-28 | 2016-04-19 | Mcafee, Inc. | System and method for firmware based anti-malware security |
US9038176B2 (en) | 2011-03-31 | 2015-05-19 | Mcafee, Inc. | System and method for below-operating system trapping and securing loading of code into memory |
US9032525B2 (en) * | 2011-03-29 | 2015-05-12 | Mcafee, Inc. | System and method for below-operating system trapping of driver filter attachment |
US9043903B2 (en) | 2012-06-08 | 2015-05-26 | Crowdstrike, Inc. | Kernel-level security agent |
WO2014015339A1 (en) * | 2012-07-20 | 2014-01-23 | Par Technology Corporation | Communications interface between two non-complimentary communication devices |
US9430646B1 (en) * | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
EP3049986B1 (en) * | 2013-09-23 | 2020-10-28 | Hewlett-Packard Development Company, L.P. | Injection of data flow control objects into application processes |
US20150113644A1 (en) * | 2013-10-21 | 2015-04-23 | Trusteer, Ltd. | Exploit Detection/Prevention |
US10289405B2 (en) | 2014-03-20 | 2019-05-14 | Crowdstrike, Inc. | Integrity assurance and rebootless updating during runtime |
US9509708B2 (en) * | 2014-12-02 | 2016-11-29 | Wontok Inc. | Security information and event management |
CN104766007B (zh) * | 2015-03-27 | 2017-07-21 | 杭州安恒信息技术有限公司 | 一种基于文件系统过滤驱动实现沙箱快速恢复的方法 |
US10474813B1 (en) * | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
CN104731684B (zh) * | 2015-04-09 | 2017-06-27 | 武汉大学 | 一种基于驱动过滤技术的动态文件监控和保护系统 |
US10339316B2 (en) | 2015-07-28 | 2019-07-02 | Crowdstrike, Inc. | Integrity assurance through early loading in the boot phase |
US20170195364A1 (en) * | 2016-01-06 | 2017-07-06 | Perception Point Ltd. | Cyber security system and method |
CN106169046A (zh) * | 2016-07-04 | 2016-11-30 | 北京金山安全软件有限公司 | 防止消息钩子注入的方法、装置和终端设备 |
US10387228B2 (en) | 2017-02-21 | 2019-08-20 | Crowdstrike, Inc. | Symmetric bridge component for communications between kernel mode and user mode |
US10574680B2 (en) | 2017-05-12 | 2020-02-25 | Teachers Insurance And Annuity Association Of America | Malware detection in distributed computer systems |
WO2018213239A1 (en) | 2017-05-15 | 2018-11-22 | Polyport, Inc. | Stacked encryption |
CN107643945A (zh) * | 2017-08-16 | 2018-01-30 | 南京南瑞集团公司 | 一种Windows xp系统下监控进程创建和销毁的方法 |
CN108076072B (zh) * | 2018-01-16 | 2020-02-18 | 杭州电子科技大学 | 一种针对Web异构冗余系统的动态切换方法 |
CN108229171B (zh) * | 2018-02-11 | 2023-05-12 | 腾讯科技(深圳)有限公司 | 驱动程序处理方法、装置及存储介质 |
TWI791929B (zh) * | 2019-11-28 | 2023-02-11 | 瑞昱半導體股份有限公司 | 通用分析裝置與方法 |
KR102298219B1 (ko) * | 2019-11-28 | 2021-09-06 | 주식회사 안랩 | 악성 커널 모듈 탐지 장치 및 악성 커널 모듈 탐지 방법 |
US11784661B2 (en) * | 2019-12-18 | 2023-10-10 | Somma, Inc. | Method for compressing behavior event in computer and computer device therefor |
WO2021187996A1 (ru) * | 2020-03-19 | 2021-09-23 | Айкьюпи Текнолоджи, Элтиди | Способ и система блокировки потенциально нежелательного программного обеспечения |
CN112597492B (zh) * | 2020-12-24 | 2023-09-19 | 浙大网新科技股份有限公司 | 一种基于Windows内核的二进制可执行文件更改监测方法 |
CN112906000B (zh) * | 2021-03-03 | 2024-02-23 | 深信服科技股份有限公司 | 一种程序访问方法、装置、设备及可读存储介质 |
CN113051550A (zh) * | 2021-03-30 | 2021-06-29 | 深信服科技股份有限公司 | 一种终端设备及其防护方法、装置和可读存储介质 |
CN113612622B (zh) * | 2021-06-28 | 2023-01-24 | 苏州浪潮智能科技有限公司 | 一种网络操作系统下各模块告警方法、装置 |
US20230367878A1 (en) * | 2022-05-13 | 2023-11-16 | Oracle International Corporation | Instruction monitoring for dynamic cloud workload reallocation based on ransomware attacks |
CN115543463B (zh) * | 2022-10-26 | 2024-06-18 | 安芯网盾(北京)科技有限公司 | 一种检测傀儡进程创建的方法及系统 |
CN115600204A (zh) * | 2022-10-26 | 2023-01-13 | 安芯网盾(北京)科技有限公司(Cn) | 一种检测shellcode恶意代码的方法和系统及计算机设备 |
CN115795462B (zh) * | 2022-12-07 | 2023-06-16 | 安芯网盾(北京)科技有限公司 | Linux内核模块执行进程的检测方法及装置 |
CN116204883B (zh) * | 2023-01-11 | 2023-08-22 | 安芯网盾(北京)科技有限公司 | 一种基于Linux内核的文件自删除的检测与阻断方法和系统 |
CN115794564A (zh) * | 2023-02-07 | 2023-03-14 | 北京江民新科技术有限公司 | 进程监视方法和计算机可读存储介质 |
CN116204336B (zh) * | 2023-02-16 | 2023-09-22 | 中国人民解放军61660部队 | 一种基于注册表回调机制的用户态核心态同步方法与系统 |
CN117931555B (zh) * | 2024-03-22 | 2024-06-07 | 新华三信息技术有限公司 | 在内核态下模拟scsi设备故障的方法及装置 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6993603B2 (en) * | 2002-12-09 | 2006-01-31 | Microsoft Corporation | Managed file system filter model and architecture |
US8006088B2 (en) * | 2005-08-18 | 2011-08-23 | Beyondtrust Corporation | Methods and systems for network-based management of application security |
US8566585B2 (en) * | 2008-07-14 | 2013-10-22 | Nyotron Information Security Ltd. | System and a method for processing system calls in a computerized system that implements a kernel |
US8307246B2 (en) * | 2008-10-29 | 2012-11-06 | Aternity Information Systems Ltd. | Real time monitoring of computer for determining speed of various processes |
US8402553B2 (en) * | 2009-10-30 | 2013-03-19 | International Business Machines Corporation | Updating an operating system of a computer system |
-
2010
- 2010-09-27 KR KR1020100093308A patent/KR101174751B1/ko not_active IP Right Cessation
- 2010-11-09 US US12/942,700 patent/US20120079594A1/en not_active Abandoned
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101662162B1 (ko) * | 2016-03-18 | 2016-10-10 | 주식회사 블랙포트시큐리티 | 악성 코드의 감염 경로 역추적을 위한 사용자 행위 검출 방법 |
KR101865238B1 (ko) * | 2016-12-13 | 2018-06-07 | 주식회사 엔피코어 | 악성 코드 차단 장치 및 이의 동작 방법 |
KR20200054752A (ko) * | 2018-11-12 | 2020-05-20 | 주식회사 안랩 | 메시지 모니터링 장치 및 방법 |
Also Published As
Publication number | Publication date |
---|---|
US20120079594A1 (en) | 2012-03-29 |
KR101174751B1 (ko) | 2012-08-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101174751B1 (ko) | 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법 | |
US10083294B2 (en) | Systems and methods for detecting return-oriented programming (ROP) exploits | |
US10055585B2 (en) | Hardware and software execution profiling | |
US10460099B2 (en) | System and method of detecting malicious code in files | |
KR102307534B1 (ko) | 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들 | |
RU2645268C2 (ru) | Сложное классифицирование для выявления вредоносных программ | |
RU2698776C2 (ru) | Способ ведения базы данных и соответствующий сервер | |
Jones et al. | VMM-based hidden process detection and identification using Lycosid | |
US8516589B2 (en) | Apparatus and method for preventing virus code execution | |
US8627478B2 (en) | Method and apparatus for inspecting non-portable executable files | |
CN106991324B (zh) | 一种基于内存保护类型监控的恶意代码跟踪识别方法 | |
Oyama | Trends of anti-analysis operations of malwares observed in API call logs | |
US7971258B1 (en) | Methods and arrangement for efficiently detecting and removing malware | |
CN109101815B (zh) | 一种恶意软件检测方法及相关设备 | |
US9424427B1 (en) | Anti-rootkit systems and methods | |
US20230096108A1 (en) | Behavior analysis based on finite-state machine for malware detection | |
Dai et al. | Behavior-based malware detection on mobile phone | |
Zaki et al. | Unveiling the kernel: Rootkit discovery using selective automated kernel memory differencing | |
Nadim et al. | Characteristic features of the kernel-level rootkit for learning-based detection model training | |
Xuan et al. | Toward revealing kernel malware behavior in virtual execution environments | |
US9613212B2 (en) | Execution profile assembly using branch records | |
CN111259392B (zh) | 一种基于内核模块的恶意软件拦截方法及装置 | |
US9342694B2 (en) | Security method and apparatus | |
Muthumanickam | COPDA: concealed process and service discovery algorithm to reveal rootkit footprints | |
EP3293660A1 (en) | System and method of detecting malicious code in files |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20150720 Year of fee payment: 4 |
|
LAPS | Lapse due to unpaid annual fee |