KR20140119527A - Method and apparatus for inspecting malicious code of a mobile terminal - Google Patents

Method and apparatus for inspecting malicious code of a mobile terminal Download PDF

Info

Publication number
KR20140119527A
KR20140119527A KR1020130035319A KR20130035319A KR20140119527A KR 20140119527 A KR20140119527 A KR 20140119527A KR 1020130035319 A KR1020130035319 A KR 1020130035319A KR 20130035319 A KR20130035319 A KR 20130035319A KR 20140119527 A KR20140119527 A KR 20140119527A
Authority
KR
South Korea
Prior art keywords
path
malicious code
application
executable file
mobile terminal
Prior art date
Application number
KR1020130035319A
Other languages
Korean (ko)
Inventor
남진하
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020130035319A priority Critical patent/KR20140119527A/en
Publication of KR20140119527A publication Critical patent/KR20140119527A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Abstract

The purpose of the present invention is to minimize resources required for malicious code inspection by extracting a path of an execution file based on application information and checking malicious code infection of the execution file using the extracted path. The present invention provides a method and an apparatus for inspecting malicious code of a mobile terminal, wherein the apparatus generates a path of an execution file based on information of an application installed in a mobile platform and performs the malicious code inspection for the execution file based on the extracted path.

Description

모바일 단말기의 악성 코드 검사 방법 및 장치{METHOD AND APPARATUS FOR INSPECTING MALICIOUS CODE OF A MOBILE TERMINAL}TECHNICAL FIELD [0001] The present invention relates to a malicious code checking method and apparatus for a mobile terminal,

본 발명은 모바일 단말기의 악성 코드 검사 장치에 관한 것으로, 더욱 상세하게는 악성 코드 검사를 위해 필요한 자원을 최소화시킬 수 있는 모바일 단말기의 악성 코드 검사 방법 및 장치에 관한 것이다.
BACKGROUND OF THE INVENTION 1. Field of the Invention [0001] The present invention relates to a malicious code checking apparatus for a mobile terminal, and more particularly, to a malicious code checking method and apparatus for a mobile terminal capable of minimizing resources required for malicious code checking.

근래에는 유무선 인터넷뿐만 아니라 이동 통신 기술의 발달로, 단순히 음성 통화 서비스뿐만 아니라 무선 인터넷 서비스 등과 같은 다양한 기능을 갖춘 휴대폰이 보급되고 있다. 특히 최근에 보급이 확산되고 있는 스마트폰은 멀티미디어 재생 등과 같은 다양한 기능의 애플리케이션의 설치가 가능하여 사용자들이 여러 용도로 스마트폰을 이용하고 있다.2. Description of the Related Art In recent years, with the development of mobile communication technology as well as wired and wireless Internet, mobile phones having various functions such as a wireless Internet service as well as a voice call service have been spreading. Especially, smartphones, which have been spreading recently, are capable of installing various functions such as multimedia playback, and users are using smart phones for various purposes.

일반적으로, 스마트폰은 휴대 전화와 개인 휴대 단말기의 장점을 합친 것으로, 휴대 전화기에 일정 관리, 팩스 송수신 및 인터넷 접속 등의 데이터 통신 기능을 통합시킨 것으로 정의된다. 통상의 스마트폰에는 와이파이(WIFI)와 같은 무선 통신 모듈이 장착되어 인터넷망을 통한 데이터 송수신도 가능하며, 인터넷 정보 검색은 물론 액정 디스플레이에 전자펜으로 문자를 입력하거나, 약도 등 그림 정보를 송수신할 수 있다.Generally, a smart phone is defined as a combination of the advantages of a mobile phone and a personal portable device, and integrates data communication functions such as calendar management, fax transmission and reception, and Internet access to a mobile phone. A typical smartphone is equipped with a wireless communication module such as WiFi, which allows data to be transmitted and received via the Internet. In addition to retrieving Internet information, a character can be input to the liquid crystal display using an electronic pen, .

이러한 스마트폰은 저마다 다른 운영체제가 존재하며, 해당 운영체제에 의해 실행 가능한 애플리케이션의 개발이 활발히 이루어지고 있다. Each of these smartphones has different operating systems, and applications that can be executed by the operating system are actively being developed.

하지만, 많은 애플리케이션들이 개발 및 제공되고 있어 실질적으로 스마트폰 사용자들에게 유용한 애플리케이션뿐만 아니라, 광고 등의 다른 목적에 의한 악의적인 행동을 수행하는 애플리케이션들도 스마트폰 사용자들에게 제공되고 있는 실정이다. 예를 들어, 스마트폰에 저장된 사용자의 개인정보를 특정 서버로 업로드하도록 하는 응용프로그램이 존재하는 경우, 해당 응용프로그램을 설치한 스마트폰 사용자는 자신의 개인정보가 노출되는 위험을 갖게 될 수 있다.However, since many applications are being developed and provided, not only applications that are practically useful to smartphone users but also applications that perform malicious actions by other purposes such as advertisements are provided to smartphone users. For example, when there is an application program for uploading personal information of a user stored in a smart phone to a specific server, a smartphone user installing the application may be exposed to the risk of exposing their personal information.

이와 같은 문제점을 해결하기 위해 모바일용 백신이 개발되어 배포되고 있다. 이러한 모바일용 백신은 애플리케이션 설치용 파일, 예컨대 APK 파일의 압축 해제를 통해 파일을 검사하여 파일 내 악성 코드가 존재하는지를 판단한다. To solve these problems, mobile vaccines have been developed and distributed. Such a mobile-use vaccine checks a file through decompression of an application installation file, for example, an APK file to determine whether malicious code exists in the file.

그러나, 최근 다수의 애플리케이션이 스마트폰에 설치되기 때문에 애플리케이션 설치용 파일 각각을 압축해제한 후 악성 코드 감염 여부를 검사하는 부분이 스마트폰 내부 자원 관리에 치명적인 영향을 줄 수 있다.
However, since a large number of applications are installed on a smartphone in recent years, a portion of decompressing each of the application installation files and checking for malicious code infection may have a serious impact on the internal resource management of the smartphone.

대한민국 공개특허 10-2011-0128632호에는 스마트폰 응용프로그램의 악성 행위 탐지 방법 및 장치에 대한 기술이 기재되어 있다.Korean Patent Publication No. 10-2011-0128632 discloses a technique and a device for detecting a malicious behavior of a smartphone application program.

본 발명은 애플리케이션의 정보를 기반으로 실행 파일의 경로를 추출하고, 추출된 경로를 이용하여 실행 파일의 악성 코드 감염 여부를 검사함으로써, 악성 코드 검사를 위해 필요한 자원을 최소화시킬 수 있는 모바일 단말기의 악성 코드 검사 방법 및 장치를 제공한다.
The present invention relates to a mobile terminal capable of minimizing resources required for malicious code checking by extracting a path of an executable file based on information of an application and checking whether an executable file is infected with malicious code by using the extracted path, A code checking method and apparatus are provided.

본 발명은, 일 관점에 따르면, 모바일 플랫폼에 설치된 애플리케이션의 정보를 기반으로 실행 파일의 경로를 생성하는 단계와, 상기 추출된 경로를 기반으로 상기 실행 파일에 대한 악성 코드 검사를 수행하는 단계를 포함하는 모바일 단말기의 악성 코드 검사 방법을 제공한다.According to an aspect of the present invention, there is provided a method for managing an executable file, the method comprising: generating a path of an executable file based on information of an application installed on the mobile platform; and performing malicious code checking on the executable file based on the extracted path A malicious code checking method of a mobile terminal.

본 발명의 실시 예에 따른 악성 코드 검사 방법에서 상기 경로를 생성하는 단계는, 상기 모바일 플랫폼 내 애플리케이션이 설치된 기본 경로를 설정하는 단계와, 상기 기본 경로, 상기 애플리케이션의 종류 및 상기 애플리케이션의 설치 파일명을 기반으로 상기 애플리케이션 각각에 대한 실행 파일의 경로를 생성하는 단계를 포함할 수 있다.In the malicious code checking method according to the embodiment of the present invention, the step of generating the path may include: setting a basic path in which the application in the mobile platform is installed; And creating a path of an executable file for each of the applications.

본 발명의 실시 예에 따른 악성 코드 검사 방법에서 상기 실행 파일은, ODEX(Optimized DEX) 파일일 수 있다.In the malicious code checking method according to the embodiment of the present invention, the executable file may be an ODEX (Optimized DEX) file.

본 발명의 실시 예에 따른 악성 코드 검사 방법에서 상기 모바일 플랫폼은, 안드로이드 플랫폼일 수 있다.In the malicious code checking method according to the embodiment of the present invention, the mobile platform may be an Android platform.

본 발명은, 다른 관점에 따르면, 모바일 플랫폼에 설치된 애플리케이션의 정보를 수집하는 설치 목록 수집부와, 상기 애플리케이션의 정보를 기반으로 상기 애플리케이션 각각에 대한 실행 파일의 경로를 생성하여 메모리에 저장하는 실행 파일 경로 생성부와, 악성 코드 검사 요청이 있는 경우 상기 메모리에서 실행 파일의 경로를 추출한 후 상기 추출된 경로를 기반으로 상기 실행 파일에 대한 악성 코드 감염 여부를 검사하는 검사부를 포함하는 모바일 단말기의 악성 코드 검사 장치를 제공한다.According to another aspect of the present invention, there is provided an information processing apparatus including an installation list collection unit for collecting information of an application installed in a mobile platform, an executable file for generating a path of an executable file for each of the applications based on the information of the application, And an inspection unit for extracting a path of the executable file from the memory when the malicious code inspection request is received and for checking whether the malicious code is infected with the executable file based on the extracted path, Thereby providing an inspection apparatus.

본 발명의 실시 예에 따른 악성 코드 검사 장치에서 상기 설치 목록 수집부는, 상기 애플리케이션의 설치 파일명 및 상기 애플리케이션의 종류를 상기 애플리케이션의 정보로 수집할 수 있다.In the malicious code checking apparatus according to the embodiment of the present invention, the installation list collecting unit may collect the installation file name of the application and the type of the application as the information of the application.

본 발명의 실시 예에 따른 악성 코드 검사 장치에서 상기 실행 파일 경로 생성부는, 기 설정된 기본 경로, 상기 애플리케이션의 종류 및 상기 애플리케이션의 설치 파일명을 기반으로 상기 애플리케이션 각각에 대한 실행 파일의 경로를 생성할 수 있다.
In the malicious code checking apparatus according to the embodiment of the present invention, the executable file path generating unit may generate a path of an executable file for each of the applications based on a preset default path, a type of the application, have.

본 발명은 모바일 플랫폼 내 파일의 압축 해제 없이 악성 코드를 검사할 수 있기 때문에, 성능 향상 및 압축 해제의 실패에 대한 리스크를 줄일 수 있는 효과가 있다.Since the present invention can inspect malicious code without decompressing a file in the mobile platform, it is possible to reduce the risk of performance enhancement and decompression failure.

도 1은 본 발명의 실시 예에 따른 악성 코드 검사 장치를 도시한 블록도,
도 2는 본 발명의 실시 예에 따라 실행 파일 경로를 생성하는 과정을 설명하기 위한 도면,
도 3은 본 발명의 실시 예에 따른 장치가 실행 파일에 대한 악성 코드 감염 여부를 검사하는 과정을 도시한 흐름도.1 is a block diagram illustrating a malicious code checking apparatus according to an embodiment of the present invention.
2 is a diagram illustrating a process of generating an executable file path according to an embodiment of the present invention;
3 is a flowchart illustrating a process of checking whether an apparatus according to an embodiment of the present invention is infected with malicious code for an executable file.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention and the manner of achieving them will become apparent with reference to the embodiments described in detail below with reference to the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the concept of the invention to those skilled in the art. Is provided to fully convey the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims.

본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The following terms are defined in consideration of the functions in the embodiments of the present invention, which may vary depending on the intention of the user, the intention or the custom of the operator. Therefore, the definition should be based on the contents throughout this specification.

이하, 첨부된 도면을 참조하여 본 발명의 실시 예에 대해 설명한다.Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings.

도 1은 본 발명의 실시 예에 따른 모바일용 악성 코드 검사 장치를 도시한 블록도이다.1 is a block diagram illustrating a mobile malicious code checking apparatus according to an embodiment of the present invention.

도 1의 악성 코드 검사 장치(100)는 모바일 플랫폼, 예컨대 안드로이드 플랫폼 상에 설치되어 있으며, 안드로이드 플랫폼의 애플리케이션 매니저로부터 애플리케이션 설치 목록 정보를 제공받아 실행 파일의 경로를 추출하며, 추출된 경로를 기반으로 검사를 수행할 수 있다. The malicious code checking apparatus 100 of FIG. 1 is installed on a mobile platform, for example, an Android platform. The malicious code checking apparatus 100 receives application installation list information from an application manager of the Android platform and extracts an execution file path. Inspection can be performed.

또한, 이러한 악성 코드 검사 장치(100)는 애플리케이션의 형태로 모바일 단말기 내 기록매체에 설치되어 동작할 수 있다.In addition, the malicious code checking apparatus 100 may be installed in a recording medium in a mobile terminal in the form of an application and operated.

이러한 악성 코드 검사 장치(100)는 설치 목록 수집부(110), 실행 파일 경로 생성부(120), 검사부(130) 및 메모리(140) 등을 포함하여 구성될 수 있다.The malicious code checking apparatus 100 may include an installation list collection unit 110, an execution file path generation unit 120, an inspection unit 130, a memory 140, and the like.

설치 목록 수집부(110)은 안드로이드 플랫폼과의 연동을 통해 모바일 단말기에 설치된 애플리케이션의 목록 및 정보를 수집할 수 있다. 즉, 설치 목록 수집부(110)은 모바일 단말기에 설치된 애플리케이션의 설치 파일 명과 애플리케이션 종류 등의 정보를 수집한 후 이를 실행 파일 경로 생성부(120)에 제공할 수 있다. 여기에서, 애플리케이션의 종류는 프리로드(preload) 또는 서드 파티(3rd party)일 수 있다.The installation list collecting unit 110 can collect a list and information of applications installed in the mobile terminal by interworking with the Android platform. That is, the installation list collecting unit 110 may collect information such as an installation file name and an application type of an application installed in the mobile terminal, and provide the information to the execution file path generation unit 120. Here, the type of the application may be a preload or a third party.

실행 파일 경로 생성부(120)은 실행 파일명과 애플리케이션의 종류에 대한 정보를 기반으로 실행 파일이 존재하는 경로를 생성할 수 있다. 즉, 실행 파일 경로 생성부(120)은 기본 경로와 애플리케이션 종류를 기반으로 실행 파일이 존재하는 1차 경로를 생성하고, 설치 파일명을 기반으로 1차 경로와 연결되는 2차 경로를 생성하여 실행 파일의 경로를 생성할 수 있다. 예를 들어, 기본 경로가 'data/dalvik-cache'이고, 애플리케이션의 종류가 서드 파티이며, 설치 파일명이 ahnlab인 경우 실행 파일 경로 생성부(120)은 애플리케이션의 종류 및 기본 경로를 기반으로 'data/dalvik-cache/data@app'과 같은 1차 경로를 생성하고, 1차 경로에 설치 파일명과 'classes.dex'를 연결시켜 실행 파일의 경로, 즉 'data/dalvik-cache/'라는 경로를 생성할 수 있다.The executable file path generation unit 120 can generate a path in which the executable file exists based on the information about the executable file name and the type of the application. That is, the executable file path generation unit 120 generates a primary path in which an executable file exists based on the primary path and the application type, generates a secondary path connected to the primary path based on the installed file name, Can be generated. For example, if the default path is' data / dalvik-cache ', the type of application is third party, and the name of the installed file is ahnlab, the executable file path generation unit 120 generates' / dalvik-cache / data @ app ', connect the name of the installation file to' classes.dex 'in the primary path and set the path of the executable file, ie,' data / dalvik-cache / Can be generated.

한편, ahnlab의 애플리케이션 종류가 프리로드인 경우에는 'data/dalvik-cache/'라는 실행 파일의 경로를 생성할 수 있다.On the other hand, if ahnlab's application type is preloaded, you can create a path to an executable file called 'data / dalvik-cache /'.

이러한 방식으로 실행 파일 경로 생성부(120)은 모바일 단말기 내 설치된 각 애플리케이션에 대한 실행 파일의 경로를 생성한 후 이를 메모리(140)에 저장한다.In this manner, the executable file path generation unit 120 generates a path of an executable file for each application installed in the mobile terminal, and stores it in the memory 140. [

또한, 실행 파일 경로 생성부(120)은 새로운 애플리케이션이 모바일 단말기에 설치되는 경우 이를 인지하여 설치 목록 수집부(110)로부터 애플리케이션 정보를 제공받으며, 제공받은 애플리케이션 정보를 기반으로 실행 파일의 경로를 생성하여 메모리(140)을 업데이트할 수 있다.When a new application is installed in the mobile terminal, the execution file path generation unit 120 receives the application information from the installation list collection unit 110 by recognizing the new application, and creates a path of the execution file based on the provided application information To update the memory 140.

본 발명의 실행 파일은 애플리케이션이 모바일 단말기에 설치될 때 생성되는 파일이다. 실행 파일의 예로서는 최적화된 DEX(ODEX) 파일을 들 수 있으나, 이에 한정하지는 않는다.The executable file of the present invention is a file that is created when an application is installed in a mobile terminal. Examples of executable files include, but are not limited to, optimized DEX (ODEX) files.

ODEX 파일 경로를 생성하는 과정에 대해 도 2를 참조하여 설명한다.The process of generating an ODEX file path will be described with reference to FIG.

도 2는 본 발명의 실시 예에 따라 ODEX 파일의 경로를 생성하는 과정을 설명하기 위한 도면이다.2 is a diagram for explaining a process of generating a path of an ODEX file according to an embodiment of the present invention.

도 2에 도시된 바와 같이, 모든 애플리케이션의 기본 경로는 'data/dalvik-cache'이고, 애플리케이션의 종류가 프리로드인 경우 시스템에 관련된 애플리케이션이기 때문에 'data/dalvik-cache/system@app@설치 파일명@classes.dex'라는 ODEX 파일의 경로가 생성될 수 있다. 한편, 애플리케이션의 종류가 서드 파티인 경우'data/dalvik-cache/data@app@설치 '라는 ODEX 파일의 경로가 생성될 수 있다.As shown in FIG. 2, the basic path of all applications is 'data / dalvik-cache'. If the type of application is preload, it is an application related to the system. @ classes.dex 'can be created. On the other hand, if the type of application is a third party, a path of ODEX file called 'data / dalvik-cache / data @ app @ installation' can be created.

검사부(130)은 메모리(140)에 저장된 설치 경로에 따라 모바일 플랫폼 내 실행 파일에 접근하며, 이를 통해 실행 파일의 악성 코드 감염 여부를 검사할 수 있다. 검사 방법의 예로는 악성 코드 패턴을 이용한 검사 방법을 들 수 있으나, 이에 한정되지는 않는다.The inspection unit 130 accesses the executable file in the mobile platform according to the installation path stored in the memory 140, and can check whether the executable file is infected with the malicious code. Examples of the inspection method include, but are not limited to, an inspection method using a malicious code pattern.

상기와 같은 구성을 갖는 악성 코드 검사 장치(100)가 악성 코드 감염 여부를 검사하는 과정에 대해 도 3을 참조하여 설명한다.A process of checking whether the malicious code inspection apparatus 100 having the above configuration has malicious code infection will be described with reference to FIG.

도 3은 본 발명의 실시 예에 따른 악성 코드 검사 과정을 도시한 흐름도이다.3 is a flowchart illustrating a malicious code checking process according to an embodiment of the present invention.

도 3에 도시된 바와 같이, 먼저 설치 목록 수집부(110)는 모바일 플랫폼, 예컨대 안드로이드 플랫폼에 설치된 애플리케이션 정보를 수집한다(단계 302). 예를 들어, 안드로이드 플랫폼 내 애플리케이션 매니져와의 연동을 통해 설치 목록 수집부(110)는 모바일 단말기에 설치된 애플리케이션의 정보를 수집할 수 있다. 여기에서, 애플리케이션의 정보는 애플리케이션 종류(타입), 애플리케이션의 설치 파일명 등이 될 수 있다.As shown in FIG. 3, first, the installation list collecting unit 110 collects application information installed on a mobile platform, for example, an Android platform (step 302). For example, the installation list collecting unit 110 may collect information of an application installed in the mobile terminal by interworking with an application manager in the Android platform. Here, the information of the application may be an application type (type), an installation file name of the application, or the like.

그런 다음, 실행 파일 경로 수집부(120)는 애플리케이션이 설치된 기본 경로 및 애플리케이션의 정보를 기반으로 애플리케이션 각각의 실행 파일 경로를 생성한 후 이를 메모리(140)에 저장할 수 있다(단계 304). 여기에서, 애플리케이션의 기본 경로는, 안드로이드 플랫폼인 경우 'data/dalvik-cache'일 수 있다.The executable file path collection unit 120 may then create an executable path for each application based on the application's installed base path and application information, and store it in the memory 140 (step 304). Here, the default path for the application may be 'data / dalvik-cache' for the Android platform.

이후, 검사부(130)는 실시간 검사를 수행하는데, 즉 메모리(140)에 저장된 실행 파일 경로를 이용하여 실행 파일에 접근한 후 실행 파일의 악성 코드 감염 여부를 검사할 수 있다(단계 306). 악성 코드 검사 방법으로는 기 저장된 악성 코드 패턴을 이용한 방법을 들 수 있으나, 이에 한정되지는 않는다.After that, the inspector 130 performs a real-time inspection, that is, accesses the executable file using the executable file path stored in the memory 140, and then checks whether the executable file is infected with the malicious code (step 306). The malicious code checking method includes, but is not limited to, a method using a previously stored malicious code pattern.

악성 코드 감염 여부를 검사한 결과, 실행 파일이 악성 코드에 감염된 경우에는 악성 코드 감염된 실행 파일을 삭제하거나, 기 설정된 치료 방법에 의해 치료할 수 있다.If the executable file is infected with malicious code as a result of checking for malicious code, the malicious infected executable file can be deleted or can be treated by a predetermined treatment method.

한편, 악성 코드 검사 장치(100)의 설치 목록 수집부(110)는 모바일 플랫폼 내 새로운 애플리케이션의 설치 여부를 판단한다(단계 308). Meanwhile, the installation list collection unit 110 of the malicious code checking apparatus 100 determines whether a new application is installed in the mobile platform (step 308).

단계 308의 판단 결과, 애플리케이션이 설치되는 경우 단계 302로 피드백하여 이후 단계를 수행하는데, 즉 설치 목록 수집부(110)는 설치된 애플리케이션의 정보를 애플리케이션 매니저로부터 수신하여 실행 파일 경로 수집부(120)에 제공하며, 실행 파일 경로 수집부(120)는 기본 경로 및 애플리케이션의 정보를 기반으로 실행 파일 경로를 생성한 후 이를 이용하여 메모리(140)의 정보를 업데이트할 수 있다.If it is determined in step 308 that the application is installed, the process returns to step 302 to perform a subsequent step, that is, the installation list collecting unit 110 receives the information of the installed application from the application manager, The executable file path collecting unit 120 may generate an executable path based on the basic path and the information of the application, and may use the information to update the information in the memory 140. [

한편, 단계 308의 판단 결과, 애플리케이션이 설치되지 않을 경우에는 종료되는 것으로 도시하였지만, 악성 코드 검사 장치(100)가 실시간으로 검사를 수행할 경우 검사부(130)는 메모리(140)에 저장된 실행 파일 경로를 기반으로 실행 파일에 대한 악성 코드 감염 여부를 실시간으로 검사할 수 있다.However, if the malicious code checking apparatus 100 performs the inspection in real time, the checking unit 130 checks whether the execution file path is stored in the memory 140 It is possible to check whether an execution file is infected with malicious code in real time.

상기의 실행 파일은 ODEX 파일일 수 있으나, 이에 한정되지는 않는다. 즉, 다양한 형태의 실행 파일이 될 수 있다. The executable file may be an ODEX file, but is not limited thereto. In other words, it can be various types of executable files.

또한, 본 발명의 실시 예에서 언급한 기본 경로 또한 모바일 플랫폼의 형태에 따라 달라질 수 있다.Also, the basic route mentioned in the embodiment of the present invention may also be changed according to the form of the mobile platform.

한편 상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention. Accordingly, the scope of the invention should not be limited by the described embodiments but should be defined by the appended claims.

100 : 악성 코드 검사 장치 110 : 설치 목록 수집부
120 : 실행 파일 경로 수집부 130 : 검사부
140 : 메모리100: Malicious Code Inspection Apparatus 110: Installation List Collection Unit
120: executable file path collecting unit 130:
140: Memory

Claims (9)

모바일 플랫폼에 설치된 애플리케이션의 정보를 기반으로 실행 파일의 경로를 생성하는 단계와,
상기 추출된 경로를 기반으로 상기 실행 파일에 대한 악성 코드 검사를 수행하는 단계를 포함하는
모바일 단말기의 악성 코드 검사 방법.
Generating a path of an executable file based on information of an application installed in the mobile platform;
And performing malicious code checking on the executable file based on the extracted path
A malicious code inspection method of a mobile terminal.
제 1 항에 있어서,
상기 경로를 생성하는 단계는,
상기 모바일 플랫폼 내 애플리케이션이 설치된 기본 경로를 설정하는 단계와,
상기 기본 경로, 상기 애플리케이션의 종류 및 상기 애플리케이션의 설치 파일명을 기반으로 상기 애플리케이션 각각에 대한 실행 파일의 경로를 생성하는 단계를 포함하는
모바일 단말기의 악성 코드 검사 방법.
The method according to claim 1,
Wherein the generating the path comprises:
Setting a basic path in which an application in the mobile platform is installed,
Generating a path of an executable file for each of the applications based on the basic path, the type of the application, and the installation file name of the application
A malicious code inspection method of a mobile terminal.
제 1 항에 있어서,
상기 실행 파일은, ODEX(Optimized DEX) 파일인
모바일 단말기의 악성 코드 검사 방법.
The method according to claim 1,
The executable file is an ODEX (Optimized DEX) file
A malicious code inspection method of a mobile terminal.
제 1 항에 있어서,
상기 모바일 플랫폼은, 안드로이드 플랫폼인
모바일 단말기의 악성 코드 검사 방법.
The method according to claim 1,
The mobile platform may be an Android platform
A malicious code inspection method of a mobile terminal.
모바일 플랫폼에 설치된 애플리케이션의 정보를 수집하는 설치 목록 수집부와,
상기 애플리케이션의 정보를 기반으로 상기 애플리케이션 각각에 대한 실행 파일의 경로를 생성하여 메모리에 저장하는 실행 파일 경로 생성부와,
상기 메모리에서 실행 파일의 경로를 추출한 후 상기 추출된 경로를 기반으로 상기 실행 파일에 대한 악성 코드 감염 여부를 검사하는 검사부를 포함하는
모바일 단말기의 악성 코드 검사 장치.
An installation list collection unit for collecting information of an application installed in the mobile platform,
An executable file path generation unit for generating a path of an executable file for each of the applications based on the information of the application and storing the path of the executable file in a memory;
And an inspection unit for extracting a path of the executable file from the memory and checking whether the malicious code is infected with the executable file based on the extracted path
Malicious code checking device of mobile terminal.
제 5 항에 있어서,
상기 설치 목록 수집부는,
상기 애플리케이션의 설치 파일명 및 상기 애플리케이션의 종류를 상기 애플리케이션의 정보로 수집하는
모바일 단말기의 악성 코드 검사 장치.
6. The method of claim 5,
The installation list collecting unit,
The installation file name of the application and the type of the application are collected as the information of the application
Malicious code checking device of mobile terminal.
제 6 항에 있어서,
상기 실행 파일 경로 생성부는,
기 설정된 기본 경로, 상기 애플리케이션의 종류 및 상기 애플리케이션의 설치 파일명을 기반으로 상기 애플리케이션 각각에 대한 실행 파일의 경로를 생성하는
모바일 단말기의 악성 코드 검사 장치.
The method according to claim 6,
Wherein the executable file path generation unit comprises:
Generates a path of an executable file for each of the applications based on the predetermined basic path, the type of the application, and the installation file name of the application
Malicious code checking device of mobile terminal.
제 5 항에 있어서,
상기 실행 파일은, ODEX(Optimized DEX) 파일인
모바일 단말기의 악성 코드 검사 장치.
6. The method of claim 5,
The executable file is an ODEX (Optimized DEX) file
Malicious code checking device of mobile terminal.
제 5 항에 있어서,
상기 모바일 플랫폼은, 안드로이드 플랫폼인
모바일 단말기의 악성 코드 검사 장치.6. The method of claim 5,
The mobile platform may be an Android platform
Malicious code checking device of mobile terminal.
KR1020130035319A 2013-04-01 2013-04-01 Method and apparatus for inspecting malicious code of a mobile terminal KR20140119527A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130035319A KR20140119527A (en) 2013-04-01 2013-04-01 Method and apparatus for inspecting malicious code of a mobile terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130035319A KR20140119527A (en) 2013-04-01 2013-04-01 Method and apparatus for inspecting malicious code of a mobile terminal

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020140193168A Division KR101581262B1 (en) 2014-12-30 2014-12-30 Method and apparatus for inspecting malicious code of a mobile terminal

Publications (1)

Publication Number Publication Date
KR20140119527A true KR20140119527A (en) 2014-10-10

Family

ID=51991813

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130035319A KR20140119527A (en) 2013-04-01 2013-04-01 Method and apparatus for inspecting malicious code of a mobile terminal

Country Status (1)

Country Link
KR (1) KR20140119527A (en)

Similar Documents

Publication Publication Date Title
US10481964B2 (en) Monitoring activity of software development kits using stack trace analysis
US9280665B2 (en) Fast and accurate identification of message-based API calls in application binaries
US20160378989A1 (en) Apparatus and method for monitoring android platform-based application
US20160205125A1 (en) System and method for analyzing mobile cyber incident
US10754717B2 (en) Fast and accurate identification of message-based API calls in application binaries
JP2015534691A (en) Secure identification and secure identification method for computing devices
CN109873735B (en) Performance test method and device for H5 page and computer equipment
KR20110128632A (en) Method and device for detecting malicious action of application program for smartphone
US10705858B2 (en) Automatic import of third party analytics
CN105515887B (en) application testing method, server and system
US10691798B2 (en) Analysis device, analysis method, and analysis program
KR20130066901A (en) Apparatus and method for analyzing malware in data analysis system
CN103268448A (en) Method and system for dynamically detecting safety of mobile applications
CN110348226B (en) Engineering file scanning method and device, electronic equipment and storage medium
CN110865818B (en) Detection method and device for application associated domain name and electronic equipment
JP6018344B2 (en) Dynamic reading code analysis apparatus, dynamic reading code analysis method, and dynamic reading code analysis program
KR101581262B1 (en) Method and apparatus for inspecting malicious code of a mobile terminal
EP3594823B1 (en) Information display method, terminal and server
US8615744B2 (en) Methods and system for managing assets in programming code translation
KR20140119527A (en) Method and apparatus for inspecting malicious code of a mobile terminal
CN109933990B (en) Multi-mode matching-based security vulnerability discovery method and device and electronic equipment
JP5865180B2 (en) Portable communication terminal, data communication detection device, data communication detection method, and program
KR101748116B1 (en) Smishing blocking appatatus on cloud mobile environments
JP6342717B2 (en) Privacy policy generation device, privacy policy generation method, and program
KR20140069404A (en) Method for Analysing User Behavior in Smartphone and Apparatus thereof

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
E801 Decision on dismissal of amendment
A107 Divisional application of patent