KR20130126798A - Control method of applications - Google Patents

Control method of applications Download PDF

Info

Publication number
KR20130126798A
KR20130126798A KR1020120041730A KR20120041730A KR20130126798A KR 20130126798 A KR20130126798 A KR 20130126798A KR 1020120041730 A KR1020120041730 A KR 1020120041730A KR 20120041730 A KR20120041730 A KR 20120041730A KR 20130126798 A KR20130126798 A KR 20130126798A
Authority
KR
South Korea
Prior art keywords
application
control code
abnormal operation
computer system
specific
Prior art date
Application number
KR1020120041730A
Other languages
Korean (ko)
Other versions
KR101426059B1 (en
Inventor
윤경한
사토 타쿠마
Original Assignee
윤경한
사토 타쿠마
요시유키 스즈키
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 윤경한, 사토 타쿠마, 요시유키 스즈키 filed Critical 윤경한
Priority to KR1020120041730A priority Critical patent/KR101426059B1/en
Publication of KR20130126798A publication Critical patent/KR20130126798A/en
Application granted granted Critical
Publication of KR101426059B1 publication Critical patent/KR101426059B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3037Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a memory, e.g. virtual memory, cache
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/448Execution paradigms, e.g. implementations of programming paradigms

Abstract

The present invention relates to a method for controlling an application. The method for controlling the application capable of blocking the execution of a specific command transmitted from a specific application installed in a computer system comprises a control code attachment step (120) for adding a control code having a function of blocking the application; a monitoring step (130) for monitoring a specific hardware module in the computer system; and a control code execution step (150) for activating the function of the control code attached to the application causing a sensed abnormal operation. The present invention is provided to block a malicious application before the malicious application performs memory overflows, information transmission, etc. [Reference numerals] (110) Monitor an application installation event;(120) Attach a control code to the detected application;(130) Monitor a memory and/or I/O;(140) Abnormal operation?;(150) Execute a control code attached to an application causing the abnormal operation;(160) Stop the abnormal operation;(AA) No;(BB) Yes

Description

애플리케이션의 제어 방법 {Control Method of Applications}Control Method of Applications [

본 발명은 일반적으로 컴퓨터 시스템 내에 설치되어 동작하는 애플리케이션을 제어하는 방법에 관한 것으로, 더 상세하게는, 컴퓨터 시스템 내에 설치되는 애플리케이션에 대해 특정한 기능을 가진 제어코드를 부착시킨 후, 이상 동작이 감지되면, 이상 동작을 유발시킨 애플리케이션을 그 부착된 제어코드를 통해 동작정지시킴으로써, 시스템 파괴나 데이터 유출을 목적으로 설치되는 바이러스 등의 악의적 애플리케이션을 차단할 수 있게 한, 새로운 애플리케이션 제어 방법에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention [0001] The present invention generally relates to a method of controlling an application installed in a computer system, and more particularly, to a method of controlling an application installed in a computer system, The present invention relates to a new application control method capable of blocking a malicious application such as a virus installed for the purpose of system destruction or data leakage by stopping an application causing an abnormal operation through an attached control code.

근래에 네트워크를 통한 상호작용이 널리 일반화되어 있어, 악의적인 제3자에 의해 만들어지진 바이러스 프로그램이 일반 사용자나 기업의 컴퓨터 시스템에 부지불식간에 설치되는 위험이 크다. 바이러스 프로그램은 컴퓨터 시스템 자체의 동작을 마비시키는 치명적인 것에서부터 컴퓨터 시스템 내에 저장되어 있는 개인정보와 같은 특정 데이터 정보를 외부로 발신시킬 수도 있다. 따라서, 그동안 개인이나 기업 등의 컴퓨터 시스템에서 바이러스에 의한 피해를 막기 위한 조치들이 계속해서 제안되어 있다.In recent years, network interactions have become so common that there is a high risk that a virus program created by a malicious third party is unknowingly installed on a computer system of a general user or a company. The virus program may send out specific data information such as personal information stored in the computer system from a fatal thing that paralyzes the operation of the computer system itself. Accordingly, measures have been continuously proposed to prevent damage from viruses in computer systems such as individuals and businesses.

종래에 널리 알려진 바이러스 대응 방식은, 바이러스와 같은 악성 프로그램을 발견하고 제거하는 기능을 가지는 백신 프로그램을 이용하는 것이다. 백신 프로그램은 기존에 알려져 있는 바이러스 프로그램을 발견하여 제거할 수 있다는 장점이 있다. 이러한 방식은 알려져 있는 바이러스 패턴 또는 바이러스 코드가 특정 프로그램 내에 존재하는지 여부를 검색하여 바이러스 프로그램을 발견하는 방식이다. 그러므로, 아직 알려져 있지 않은 바이러스 프로그램에 의한 피해를 미리 예방할 수 없다는 문제가 여전히 있었다. 그리고 알려져 있는 바이러스라 하더라도, 백신 프로그램을 업데이트하여 최신의 바이러스 패턴 정보를 확보해두지 않는다면 아무런 소용이 없게 된다는 한계도 있었다.Conventionally known virus countermeasures use a vaccine program having a function of detecting and removing a malicious program such as a virus. Vaccine programs have the advantage of discovering and removing known virus programs. This method detects a virus program by searching for a known virus pattern or virus code in a specific program. Therefore, there is still a problem that the damage caused by the virus program which is not yet known can not be prevented in advance. Even if it is a known virus, there was a limitation that it would be of no use unless the latest virus pattern information was secured by updating the vaccine program.

그러므로 설사 바이러스 패턴을 통해 검색되지 않은 바이러스 프로그램이 설치되어 있다고 하더라도, 실제로 이러한 바이러스 프로그램이 특정 동작을 실행하는 것을 차단할 수 있게 함으로써, 일일히 바이러스 패턴을 업데이트하지 않고도 효과적으로 바이러스에 의한 피해를 입지 않도록 하는 기술에 대한 요구는 여전히 존재한다.Therefore, even if a virus program that is not detected through the virus pattern is installed, it is possible to prevent the virus program from actually executing a specific action, thereby effectively preventing the virus from being damaged without updating the virus pattern There is still a demand for technology.

본 발명은 상술한 종래 기술의 문제점을 해결하고 여러 가지 다른 장점들을 추가하기 위하여 안출된 것으로서, 특히 본 발명은 컴퓨터 시스템 내에 설치되는 애플리케이션에 대해 특정한 기능을 가진 제어코드를 부착시킨 후, 메모리나 입출력 디바이스의 동작을 감시하고 있다가, 버퍼 오버플로우에 의한 시스템 파괴 행위나 키보드나 마우스에 의한 입력신호없는 정보 발신 등의 이상 동작이 감지되면, 이상 동작을 유발시킨 애플리케이션을 그 부착된 제어코드를 통해 동작정지시킴으로써, 시스템 파괴나 데이터 유출을 목적으로 설치되는 바이러스 등의 악의적 애플리케이션의 작동을 차단할 수 있게 한, 새로운 애플리케이션 제어 방법을 제공하는 것을 목적으로 한다.The present invention has been made in order to solve the above-mentioned problems of the prior art and to add various other advantages. In particular, the present invention is characterized by attaching a control code having a specific function to an application installed in a computer system, If an abnormal operation such as a system breakdown due to a buffer overflow or an input signal without a keyboard or a mouse is detected after monitoring the operation of the device, the application causing the abnormal operation is checked through the attached control code And to stop a malicious application such as a virus installed for the purpose of system destruction or data leakage by stopping the operation of the application.

상기 목적은 본 발명에 따라 제공되는 애플리케이션 제어 방법에 의하여 달성된다.The above object is achieved by an application control method provided according to the present invention.

본 발명의 일 양상에 따라 제공되는 애플리케이션 제어 방법은, 컴퓨터 시스템 내에 설치된 특정 애플리케이션에서 유래하는 특정 명령의 실행을 차단시키는 애플리케이션 제어 방법으로서, 상기 컴퓨터 시스템에 설치되는 애플리케이션에, 상기 애플리케이션의 실행 동작을 중단시키는 기능을 구비하는 제어코드를 추가하는 제어코드 부착 단계; 상기 컴퓨터 시스템 내의 특정 하드웨어 모듈을 감시하는 감시 단계; 및 상기 특정 하드웨어 모듈의 상태에 기초하여 이상 동작이 감지되면, 감지된 이상 동작을 유발시킨 애플리케이션에 부착된 제어코드의 기능을 활성화시키는 제어코드 실행 단계를 포함할 수 있다.According to an aspect of the present invention, there is provided an application control method for blocking the execution of a specific command derived from a specific application installed in a computer system, the method comprising: causing an application installed in the computer system to execute an execution operation of the application A control code attaching step of adding a control code having a function of stopping the control code; A monitoring step of monitoring a specific hardware module in the computer system; And a control code execution step of activating the function of the control code attached to the application causing the detected abnormal operation if an abnormal operation is detected based on the state of the specific hardware module.

일 실시예에서, 상기 하드웨어 모듈은, 메모리 장치 또는 입출력(I/O) 디바이스를 포함할 수 있다.In one embodiment, the hardware module may comprise a memory device or an input / output (I / O) device.

다른 실시예에 있어서, 상기 이상 동작은, 버퍼 오버플로우에 의한 시스템 파괴 행위를 포함할 수 있다.In another embodiment, the abnormal operation may include a system destructive behavior due to a buffer overflow.

또 다른 실시예에 있어서, 상기 이상 동작은, 키보드 또는 마우스 클릭에 의한 입력신호없이 상기 컴퓨터 시스템 내에 저장되어 있는 데이터를 외부로 유출시키는 정보 발신 행위를 포함할 수 있다.In still another embodiment, the abnormal operation may include an information transmitting operation for allowing data stored in the computer system to be leaked to the outside without an input signal by a keyboard or a mouse click.

상술한 구성을 가지는 본 발명에 따르면, 컴퓨터 시스템 내에 설치되는 애플리케이션에 대해 특정한 기능을 가진 제어코드를 부착시킨 후, 메모리나 입출력 디바이스의 동작을 감시하고 있다가, 버퍼 오버플로우에 의한 시스템 파괴 행위나 키보드나 마우스에 의한 입력신호없는 정보 발신 등의 이상 동작이 감지되면, 이상 동작을 유발시킨 애플리케이션을 그 부착된 제어코드를 통해 동작정지시킨다. 이에 따라 시스템 파괴나 데이터 유출을 목적으로 설치되는 바이러스 등의 악의적 애플리케이션이 실제로 메모리 오버플로우나 정보 발신 등을 수행하기 직전에 그 작동을 차단할 수 있게 한다.According to the present invention having the above-described configuration, after a control code having a specific function is attached to an application installed in a computer system, the operation of the memory and the input / output device is monitored, and a system destructive action When an abnormal operation such as information transmission without input signal by a keyboard or a mouse is detected, the application causing the abnormal operation is stopped through the attached control code. As a result, a malicious application such as a virus or the like installed for the purpose of system destruction or data leakage can block the operation immediately before a memory overflow or information transmission is actually performed.

또한 본 발명에 따르면, 설사 컴퓨터 시스템 내에 악의적으로 컴퓨터 시스템의 기능을 마비시키거나 민감한 정보를 외부로 유출하는 목적의 바이러스 프로그램이 설치되어 있다고 하더라도, 실제로 이러한 바이러스 프로그램이 특정 동작을 실행하는 것을 차단할 수 있으므로, 일일히 바이러스 패턴을 업데이트하지 않고도 효과적으로 바이러스에 의한 피해를 입지 않도록 하는 기술을 제공하는 등의 현저한 효과가 있다.According to the present invention, even if a virus program intended to paralyze the function of a computer system maliciously or to leak sensitive information to the outside is installed in the computer system, it is possible to actually prevent the virus program from executing a specific operation Therefore, there is a remarkable effect of providing a technique for effectively preventing the virus from being damaged without updating the virus pattern all at once.

도 1은 본 발명의 일 실시예에 따른 애플리케이션 제어 방법을 설명하기 위한 흐름도.1 is a flowchart for explaining an application control method according to an embodiment of the present invention;

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명의 청구범위에 의해 한정된다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. To fully disclose the scope of the invention to those skilled in the art, and is defined by the claims of the present invention.

본 발명의 실시예를 설명함에 있어 이미 공지되어 있는 기능이나 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In the following description of the present invention, detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The following terms are defined in consideration of the functions in the embodiments of the present invention, which may vary depending on the intention of the user, the intention or the custom of the operator. Therefore, the definition should be based on the contents throughout this specification.

이하 도면을 참고로 하여 본 발명의 구체적인 실시예에 따른 애플리케이션 제어 방법을 설명한다.Hereinafter, an application control method according to a specific embodiment of the present invention will be described with reference to the drawings.

본 발명에 따른 애플리케이션 제어 방법은, 특히 본 발명은 컴퓨터 시스템 내에 설치되는 애플리케이션에 대해 특정한 기능을 가진 제어코드를 부착시킨 후, 메모리나 입출력 디바이스의 동작을 감시하고 있다가, 버퍼 오버플로우에 의한 시스템 파괴 행위나 키보드나 마우스에 의한 입력신호없는 정보 발신 등의 이상 동작이 감지되면, 이상 동작을 유발시킨 애플리케이션을 그 부착된 제어코드를 통해 동작정지시킴으로써, 시스템 파괴나 데이터 유출을 목적으로 설치되는 바이러스 등의 악의적 애플리케이션의 작동을 차단할 수 있게 한, 새로운 애플리케이션 제어 방법을 제공하는 것을 목적으로 한다.The application control method according to the present invention, particularly the present invention, attaches a control code having a specific function to an application installed in a computer system, then monitors the operation of the memory and the input / output device, When an abnormal operation such as destruction or transmission of information without an input signal by a keyboard or a mouse is detected, the application causing the abnormal operation is stopped through the attached control code, so that a virus installed for the purpose of system destruction or data leakage Which is capable of blocking the malicious application such as a malicious application.

이제 도면을 참조하면, 도 1에, 본 발명의 일 실시예에 따라 제공되는 애플리케이션 제어 방법(100)이 예시되어 있다. 이는 특히 컴퓨터 시스템 내에 설치된 특정 애플리케이션에서 유래하는 특정 명령의 실행을 차단시키는 방법이라고 할 수 있다.Referring now to the drawings, FIG. 1 illustrates an application control method 100 provided in accordance with an embodiment of the present invention. This is a method for blocking the execution of a specific command stemming from a specific application installed in the computer system.

여기서 컴퓨터 시스템이라 함은, CPU, 메모리(RAM, ROM, 하드디스크 등을 포함), I/O 디바이스(패럴렐 포트, 시리얼 포트, 키보드, 엔터키, 모뎀, 터치패드, 스크린, 디스플레이 등 포함)를 포함하는 전자 장치를 포함하는 광의의 시스템으로서 생각될 수 있다. 예컨대 작게는 개인용 컴퓨터 시스템으로서 스마트폰, 넷북, 노트북, 데스크탑 등의 컴퓨터 시스템을 포함할 수 있고, 크게는 네트워크용 서버 시스템을 포함할 수 있다. 이 컴퓨터 시스템은 무선 또는 유선의 데이터 통신용 네트워크에 연결되어 있을 수 있다.Here, the computer system includes a CPU, a memory (including RAM, ROM, and a hard disk), an I / O device (including a parallel port, a serial port, a keyboard, an enter key, a modem, a touch pad, The system can be thought of as a system of the broader including an electronic device including the electronic device. For example, a small personal computer system may include a computer system such as a smart phone, a netbook, a notebook, a desktop, and the like, and may largely include a server system for a network. The computer system may be connected to a wireless or wired data communication network.

도 1에서 예시된 바와 같이, 본 발명에 따른 애플리케이션 제어 방법(100)의 과정은 애플리케이션이 설치되는 것을 감시하는 단계(110), 제어코드 부착하는 단계(120), 메모리 및/또는 I/O를 감시하는 단계(130), 이상 동작이 발생하고 있는지를 체크하는 단계(140), 이상동작이 발생된 경우 이를 유발시킨 애플리케이션에 부착된 제어코드를 실행시키는 단계(150), 그 결과 발생된 이상 동작이 완료되지 못하고 중단되는 단계(160)로 구분될 수 있다.1, the process of an application control method 100 in accordance with the present invention includes monitoring 110 an application is installed, attaching a control code 120, memory and / or I / O A step 140 of checking if an abnormal operation has occurred, a step 150 of executing a control code attached to the application that caused the abnormal operation if an abnormal operation has occurred, (Step 160).

먼저 본 애플리케이션 제어 방법(100)은 애플리케이션이 설치되는 것을 감시하는 단계(110) 및 제어코드 부착하는 단계(120)를 포함한다. 이는 사용자가 알면서 설치하는 애플리케이션이건 모르면서 부지불식간에 설치되는 애플리케이션이건 간에 불문하고 모든 애플리케이션에 대해 제어코드를 부착시키는 것을 의미할 수 있다.The application control method 100 first includes a step 110 of monitoring that an application is installed and a step 120 of attaching a control code. This can mean attaching control codes to all applications, regardless of whether the application is knowingly installed by the user or an application that is installed inadvertently.

여기서, '제어코드'라 함은, 이 제어코드가 부착되어 있는 애플리케이션에 대하여, 그 애플리케이션의 실행 동작을 무조건 중단시키는 기능을 구비하는 컴퓨터 프로그램의 일종이라고 할 수 있다. 이 제어코드가 실행되면, 부착된 애플리케이션의 동작이 그 즉시 중단될 수 있다.Here, the 'control code' is a kind of computer program having a function for unconditionally stopping the execution of the application to which the control code is attached. When this control code is executed, the operation of the attached application can be immediately stopped.

본 발명의 방법에 따라 특정 애플리케이션의 악의적인 동작을 완료시키지 않고 차단하기 위해서는, 악의적인 동작여부를 판별할 필요가 있다. 예컨대 메모리 버퍼 오버플로우에 의한 시스템 마비와 같은 시스템 파괴 동작이나, 키보드 또는 마우스 클릭에 의한 입력신호없이 상기 컴퓨터 시스템 내에 저장되어 있는 데이터를 외부로 유출시키는 정보 발신 행위를 악의적인 이상 동작으로서 판별하는 것이 바람직하다.In order to block a malicious operation of a specific application without completing the malicious operation according to the method of the present invention, it is necessary to determine whether malicious operation has occurred or not. For example, a system destructive operation such as a system paralysis due to a memory buffer overflow, or an information transmission operation of causing data stored in the computer system to leak to the outside without an input signal by a keyboard or a mouse click as a malicious abnormal operation desirable.

이를 위하여, 이후 컴퓨터 시스템 내의 특정 하드웨어 모듈을 감시하는 감시 단계(130)로서 특히 메모리 및/또는 I/O를 감시하는 단계(130)가 진행될 수 있다. 특히 메모리 및/또는 I/O를 감시하기 위해서 BIOS를 이용할 수 있다.To this end, monitoring 130, in particular memory and / or I / O, may proceed as a monitoring step 130 to monitor specific hardware modules within the computer system. In particular, BIOS can be used to monitor memory and / or I / O.

이렇게 BIOS를 통해 통상적인 메모리 상태 및 I/O의 상태를 기록하여 두었다가, 평소보다 특이한 이상 동작인지 여부를 판별할 수 있다(140). 특정 이벤트가 이상동작이 아니라면(140 아니오) 감시 동작을 계속하고, 이상 동작이라면(140, 예) 감지된 이상 동작을 유발시킨 애플리케이션에 부착된 제어코드의 기능을 활성화시키는 제어코드 실행 단계(150)를 진행한다. 그 결과 발생된 이상 동작이 완료되지 못하고 중단될 수 있다(160).In this way, the normal memory state and the state of the I / O can be recorded through the BIOS, and it is possible to determine whether the abnormal operation is abnormal (140). The control code execution step 150 for activating the function of the control code attached to the application which has caused the detected abnormal operation (140, YES) if the specific event is not an abnormal operation (140 NO) . The resulting anomaly may not be complete and may be interrupted 160.

상술한 바와 같은 본 발명에 따르면, 예컨대 웜 계열 바이러스의 경우, 메모리 내에 데이터 보존 영역을 초과하여 제어 영역 내에 기록하려고 할 때, 이른바 버퍼 오버플로우를 일으켜 시스템을 파괴하려는 경우가 있다. 이 경우, 본 발명에 따른 방법에서는, 메모리의 정상적인 상태를 기록하고 있다가 바이러스가 버퍼 오버플로우를 일으키려고 하는 것을 감지하면 이를, 제어코드를 실행시킴으로써, 차단할 수 있어, 바이러스의 부정행위를 방지할 수 있게 할 수 있다.According to the present invention as described above, for example, in the case of a worm series virus, there is a case where a so-called buffer overflow is caused to destroy the system when attempting to write in the control area beyond the data storage area in the memory. In this case, in the method according to the present invention, when the normal state of the memory is recorded and the virus detects that it is about to cause a buffer overflow, it can be blocked by executing the control code to prevent the virus from being cheated I can do it.

또 다른 예로서, 부정 프로그램에 의한 정보 유출의 경우, 바이러스 프로그램은 시스템 관리자가 인식하지 못하도록 비밀스럽게 메일러 기능을 이용하여 정보를 유출하는 것이 일반적이다. 본 발명에 따르면 I/O를 감시하고 있다가 BIOS로부터 입력 및 출력 명령이 신호로서 수신되지 않은 상태에서 송신되는 데이터를 모두 정지시킬 수 있다. 예컨대 키보드의 엔터키 또는 마우스의 클릭에 의한 I/O 신호가 없는 상태에서 시스템 내의 정보가 외부로 발신되는 것을 차단함으로써 정보유출을 막을 수 있게 한다.As another example, in the case of an information leak by a malicious program, it is common that a virus program secretly leaks information using a mailer function so that a system administrator can not recognize it. According to the present invention, it is possible to stop all data to be transmitted in a state in which the I / O is monitored and the input and output commands are not received from the BIOS as a signal. For example, by preventing the information in the system from being transmitted to the outside in the state where there is no I / O signal by the enter key of the keyboard or the click of the mouse, thereby preventing information leakage.

이와 같이 본 발명은 컴퓨터 시스템 내에 설치되는 애플리케이션에 대해 특정한 기능을 가진 제어코드를 부착시킨 후, 메모리나 입출력 디바이스의 동작을 감시하고 있다가, 버퍼 오버플로우에 의한 시스템 파괴 행위나 키보드나 마우스에 의한 입력신호없는 정보 발신 등의 이상 동작이 감지되면, 이상 동작을 유발시킨 애플리케이션을 그 부착된 제어코드를 통해 동작정지시킴으로써, 시스템 파괴나 데이터 유출을 목적으로 설치되는 바이러스 등의 악의적 애플리케이션의 작동을 차단할 수 있다.As described above, the present invention attaches a control code having a specific function to an application installed in a computer system, and then monitors the operation of the memory and the input / output device. Then, the system breaks down due to buffer overflow, When an abnormal operation such as information transmission without input signal is detected, the application causing the abnormal operation is stopped through the attached control code, thereby preventing malicious application such as viruses installed for the purpose of system destruction or data leakage .

Claims (4)

컴퓨터 시스템 내에 설치된 특정 애플리케이션에서 유래하는 특정 명령의 실행을 차단시키는 애플리케이션 제어 방법으로서,
상기 컴퓨터 시스템에 설치되는 애플리케이션에, 상기 애플리케이션의 실행 동작을 중단시키는 기능을 구비하는 제어코드를 추가하는 제어코드 부착 단계(120);
상기 컴퓨터 시스템 내의 특정 하드웨어 모듈을 감시하는 감시 단계(130); 및
상기 특정 하드웨어 모듈의 상태에 기초하여 이상 동작이 감지되면, 감지된 이상 동작을 유발시킨 애플리케이션에 부착된 제어코드의 기능을 활성화시키는 제어코드 실행 단계(150)를
포함하는 것을 특징으로 하는 애플리케이션 제어 방법.An application control method for blocking execution of a specific command originating from a specific application installed in a computer system,
A control code attaching step (120) of adding, to an application installed in the computer system, a control code having a function of stopping execution of the application;
Monitoring (130) for monitoring specific hardware modules within the computer system; And
If an abnormal operation is detected based on the state of the specific hardware module, a control code execution step 150 for activating a function of a control code attached to an application causing the detected abnormal operation is performed.
The application control method comprising: 청구항 1에 있어서, 상기 하드웨어 모듈은, 메모리 장치 또는 입출력(I/O) 디바이스를 포함하는 것을 특징으로 하는 애플리케이션 제어 방법The method of claim 1, wherein the hardware module comprises a memory device or an input / output (I / O) device. 청구항 2에 있어서, 상기 이상 동작은, 버퍼 오버플로우에 의한 시스템 파괴 행위를 포함하는 것을 특징으로 하는 애플리케이션 제어 방법.The method according to claim 2, wherein the abnormal operation includes a system destruction behavior due to a buffer overflow. 청구항 2에 있어서, 상기 이상 동작은, 키보드 또는 마우스 클릭에 의한 입력신호없이 상기 컴퓨터 시스템 내에 저장되어 있는 데이터를 외부로 유출시키는 정보 발신 행위를 포함하는 것을 특징으로 하는 애플리케이션 제어 방법.The method according to claim 2, wherein the abnormal operation includes an information sending operation for causing data stored in the computer system to be leaked to the outside without an input signal by a keyboard or a mouse click.
KR1020120041730A 2012-04-20 2012-04-20 Control Method of Applications KR101426059B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120041730A KR101426059B1 (en) 2012-04-20 2012-04-20 Control Method of Applications

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120041730A KR101426059B1 (en) 2012-04-20 2012-04-20 Control Method of Applications

Publications (2)

Publication Number Publication Date
KR20130126798A true KR20130126798A (en) 2013-11-21
KR101426059B1 KR101426059B1 (en) 2014-08-04

Family

ID=49854620

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120041730A KR101426059B1 (en) 2012-04-20 2012-04-20 Control Method of Applications

Country Status (1)

Country Link
KR (1) KR101426059B1 (en)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100733387B1 (en) 2006-12-20 2007-06-29 주식회사 이세정보 A system for detecting harmful programs based on monitoring abnormal behaviors and the detection method used therefor

Also Published As

Publication number Publication date
KR101426059B1 (en) 2014-08-04

Similar Documents

Publication Publication Date Title
JP6643128B2 (en) Security event detection method, apparatus, and tangible computer readable storage medium through virtual machine introspection
US10893068B1 (en) Ransomware file modification prevention technique
US8272059B2 (en) System and method for identification and blocking of malicious code for web browser script engines
US9613209B2 (en) Augmenting system restore with malware detection
US9262628B2 (en) Operating system sandbox
US20190230098A1 (en) Indicator of compromise calculation system
CN104662517A (en) Techniques for detecting a security vulnerability
US20180247055A1 (en) Methods for protecting a host device from untrusted applications by sandboxing
EP2624163A1 (en) Method for detecting malware
KR20110083884A (en) Apparatus and method for detecting code injection attack
JP2015219682A (en) Information processing device, information processing monitoring method, program, and recording medium
CN109791588B (en) Mitigating malicious actions associated with graphical user interface elements
US20160335439A1 (en) Method and apparatus for detecting unsteady flow in program
EP3211557B1 (en) Method for dynamically controlling application function based on environment detection
CN102708330A (en) Method for preventing system from being invaded, invasion defense system and computer
KR101426059B1 (en) Control Method of Applications
KR101591503B1 (en) Method of operating package application including self-defense security module and computer readable medium
US8819828B1 (en) Systems and methods for identifying malware threat vectors
CN111753301B (en) File attack-free detection method and device, electronic equipment and medium
AU2019255300B2 (en) Anti-virus device for industrial control systems
CN110362983B (en) Method and device for ensuring consistency of dual-domain system and electronic equipment
CN111480160B (en) System, method, and medium for process verification
KR101594317B1 (en) Method of operating package application including self defense security module and storage medium storing the package application
CN117972727A (en) Anti-virus security system deployment method and device, computer equipment and storage medium
CN117272369A (en) Privacy compliance detection method and device, electronic equipment and storage medium

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180109

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190130

Year of fee payment: 5