KR20150008033A - Method and apparatus for inspecting malicious code of a mobile terminal - Google Patents

Method and apparatus for inspecting malicious code of a mobile terminal Download PDF

Info

Publication number
KR20150008033A
KR20150008033A KR1020140193168A KR20140193168A KR20150008033A KR 20150008033 A KR20150008033 A KR 20150008033A KR 1020140193168 A KR1020140193168 A KR 1020140193168A KR 20140193168 A KR20140193168 A KR 20140193168A KR 20150008033 A KR20150008033 A KR 20150008033A
Authority
KR
South Korea
Prior art keywords
name
malicious code
application
mobile terminal
executable file
Prior art date
Application number
KR1020140193168A
Other languages
Korean (ko)
Other versions
KR101581262B1 (en
Inventor
남진하
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020140193168A priority Critical patent/KR101581262B1/en
Publication of KR20150008033A publication Critical patent/KR20150008033A/en
Application granted granted Critical
Publication of KR101581262B1 publication Critical patent/KR101581262B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Abstract

The purpose of the present invention is to minimize resources necessary for inspecting a malicious code by extracting the names of executable files based on information on applications and inspecting whether or not the executable files are infected with malicious codes by using the extracted names. For the purpose, the present invention provides an apparatus and a method for inspecting a malicious code of a mobile terminal wherein the names of executable files are extracted based on information on applications installed on a mobile platform and malicious code inspection is conducted on the executable files based on the extracted names.

Description

모바일 단말기의 악성 코드 검사 방법 및 장치{METHOD AND APPARATUS FOR INSPECTING MALICIOUS CODE OF A MOBILE TERMINAL}TECHNICAL FIELD [0001] The present invention relates to a malicious code checking method and apparatus for a mobile terminal,

본 발명은 모바일 단말기의 악성 코드 검사 장치에 관한 것으로, 더욱 상세하게는 악성 코드 검사를 위해 필요한 자원을 최소화시킬 수 있는 모바일 단말기의 악성 코드 검사 방법 및 장치에 관한 것이다.
BACKGROUND OF THE INVENTION 1. Field of the Invention [0001] The present invention relates to a malicious code checking apparatus for a mobile terminal, and more particularly, to a malicious code checking method and apparatus for a mobile terminal capable of minimizing resources required for malicious code checking.

근래에는 유무선 인터넷뿐만 아니라 이동 통신 기술의 발달로, 단순히 음성 통화 서비스뿐만 아니라 무선 인터넷 서비스 등과 같은 다양한 기능을 갖춘 휴대폰이 보급되고 있다. 특히 최근에 보급이 확산되고 있는 스마트폰은 멀티미디어 재생 등과 같은 다양한 기능의 애플리케이션의 설치가 가능하여 사용자들이 여러 용도로 스마트폰을 이용하고 있다.2. Description of the Related Art In recent years, with the development of mobile communication technology as well as wired and wireless Internet, mobile phones having various functions such as a wireless Internet service as well as a voice call service have been spreading. Especially, smartphones, which have been spreading recently, are capable of installing various functions such as multimedia playback, and users are using smart phones for various purposes.

일반적으로, 스마트폰은 휴대 전화와 개인 휴대 단말기의 장점을 합친 것으로, 휴대 전화기에 일정 관리, 팩스 송수신 및 인터넷 접속 등의 데이터 통신 기능을 통합시킨 것으로 정의된다. 통상의 스마트폰에는 와이파이(WIFI)와 같은 무선 통신 모듈이 장착되어 인터넷망을 통한 데이터 송수신도 가능하며, 인터넷 정보 검색은 물론 액정 디스플레이에 전자펜으로 문자를 입력하거나, 약도 등 그림 정보를 송수신할 수 있다.Generally, a smart phone is defined as a combination of the advantages of a mobile phone and a personal portable device, and integrates data communication functions such as calendar management, fax transmission and reception, and Internet access to a mobile phone. A typical smartphone is equipped with a wireless communication module such as WiFi, which allows data to be transmitted and received via the Internet. In addition to retrieving Internet information, a character can be input to the liquid crystal display using an electronic pen, .

이러한 스마트폰은 저마다 다른 운영체제가 존재하며, 해당 운영체제에 의해 실행 가능한 애플리케이션의 개발이 활발히 이루어지고 있다. Each of these smartphones has different operating systems, and applications that can be executed by the operating system are actively being developed.

하지만, 많은 애플리케이션들이 개발 및 제공되고 있어 실질적으로 스마트폰 사용자들에게 유용한 애플리케이션뿐만 아니라, 광고 등의 다른 목적에 의한 악의적인 행동을 수행하는 애플리케이션들도 스마트폰 사용자들에게 제공되고 있는 실정이다. 예를 들어, 스마트폰에 저장된 사용자의 개인정보를 특정 서버로 업로드하도록 하는 응용프로그램이 존재하는 경우, 해당 응용프로그램을 설치한 스마트폰 사용자는 자신의 개인정보가 노출되는 위험을 갖게 될 수 있다.However, since many applications are being developed and provided, not only applications that are practically useful to smartphone users but also applications that perform malicious actions by other purposes such as advertisements are provided to smartphone users. For example, when there is an application program for uploading personal information of a user stored in a smart phone to a specific server, a smartphone user installing the application may be exposed to the risk of exposing their personal information.

이와 같은 문제점을 해결하기 위해 모바일용 백신이 개발되어 배포되고 있다. 이러한 모바일용 백신은 애플리케이션 설치용 파일, 예컨대 APK 파일의 압축 해제를 통해 파일을 검사하여 파일 내 악성 코드가 존재하는지를 판단한다. To solve these problems, mobile vaccines have been developed and distributed. Such a mobile-use vaccine checks a file through decompression of an application installation file, for example, an APK file to determine whether malicious code exists in the file.

그러나, 최근 다수의 애플리케이션이 스마트폰에 설치되기 때문에 애플리케이션 설치용 파일 각각을 압축해제한 후 악성 코드 감염 여부를 검사하는 부분이 스마트폰 내부 자원 관리에 치명적인 영향을 줄 수 있다.
However, since a large number of applications are installed on a smartphone in recent years, a portion of decompressing each of the application installation files and checking for malicious code infection may have a serious impact on the internal resource management of the smartphone.

대한민국 공개특허 10-2011-0128632호에는 스마트폰 응용프로그램의 악성 행위 탐지 방법 및 장치에 대한 기술이 기재되어 있다.Korean Patent Publication No. 10-2011-0128632 discloses a technique and a device for detecting a malicious behavior of a smartphone application program.

본 발명은 애플리케이션의 정보를 기반으로 실행 파일의 이름을 추출하고, 추출된 이름을 이용하여 실행 파일의 악성 코드 감염 여부를 검사함으로써, 악성 코드 검사를 위해 필요한 자원을 최소화시킬 수 있는 모바일 단말기의 악성 코드 검사 방법 및 장치를 제공한다.
The present invention relates to a mobile terminal capable of minimizing resources required for malicious code checking by extracting a name of an executable file based on information of an application and checking whether the executable file is infected with malicious code by using the extracted name, A code checking method and apparatus are provided.

본 발명은, 일 관점에 따르면, 모바일 단말기에 설치된 애플리케이션의 설치 파일명과 애플리케이션의 종류에 대한 정보를 모바일 플랫폼으로부터 수집하는 단계와, 상기 설치 파일명과 상기 종류에 대한 정보를 기반으로 하여 상기 애플리케이션을 위한 실행 파일의 이름을 추출하는 단계와, 추출된 상기 이름을 이용하여 상기 실행 파일에 접근한 후에 악성 코드 감염 여부를 검사하는 단계를 포함하는 모바일 단말기의 악성 코드 검사 방법을 제공한다.According to an aspect of the present invention, there is provided an information processing method including collecting information on an installation file name and an application type of an application installed in a mobile terminal from a mobile platform, Extracting a name of an executable file; and checking whether the malicious code is infected after accessing the executable file using the extracted name.

본 발명의 실시 예에 따른 악성 코드 검사 방법에서 상기 이름을 추출하는 단계는, 상기 모바일 플랫폼 내에 설치된 상기 애플리케이션의 기본 경로, 상기 애플리케이션의 종류 및 상기 애플리케이션의 설치 파일명을 기반으로 상기 애플리케이션 각각에 대한 실행 파일의 이름을 추출할 수 있다.In the malicious code checking method according to the embodiment of the present invention, the step of extracting the name may include executing the name of the application on the basis of the basic path of the application installed in the mobile platform, the type of the application, You can extract the name of the file.

본 발명의 실시 예에 따른 악성 코드 검사 방법에서 상기 실행 파일은, ODEX(Optimized DEX) 파일일 수 있다.In the malicious code checking method according to the embodiment of the present invention, the executable file may be an ODEX (Optimized DEX) file.

본 발명의 실시 예에 따른 악성 코드 검사 방법에서 상기 모바일 플랫폼은, 안드로이드 플랫폼일 수 있다.In the malicious code checking method according to the embodiment of the present invention, the mobile platform may be an Android platform.

본 발명은, 다른 관점에 따르면, 모바일 단말기에 설치된 애플리케이션의 설치 파일명과 애플리케이션의 종류에 대한 정보를 모바일 플랫폼으로부터 수집하는 설치 목록 수집부와, 상기 설치 파일명과 상기 종류에 대한 정보를 기반으로 하여 상기 애플리케이션을 위한 실행 파일의 이름을 추출하는 실행 파일 이름 추출부와, 추출된 상기 이름을 이용하여 상기 실행 파일에 접근한 후에 악성 코드 감염 여부를 검사하는 검사부를 포함하는 모바일 단말기의 악성 코드 검사 장치를 제공한다.According to another aspect of the present invention, there is provided an information processing apparatus including an installation list collection unit for collecting information on installation file names and application types of applications installed in a mobile terminal from a mobile platform, An executable file name extracting unit for extracting a name of an executable file for an application; and an examining unit for examining whether the malicious code is infected after accessing the executable file using the extracted name, to provide.

본 발명의 실시 예에 따른 악성 코드 검사 장치에서 상기 실행 파일 이름 추출부는, 상기 모바일 플랫폼 내에 설치된 상기 애플리케이션의 기본 경로, 상기 애플리케이션의 종류 및 상기 애플리케이션의 설치 파일명을 기반으로 상기 애플리케이션 각각에 대한 실행 파일의 이름을 추출할 수 있다.
In the malicious code inspecting apparatus according to an embodiment of the present invention, the executable file name extracting unit extracts executable file names for each of the applications based on the basic path of the application installed in the mobile platform, the type of the application, Can be extracted.

본 발명은 모바일 플랫폼 내 파일의 압축 해제 없이 악성 코드를 검사할 수 있기 때문에, 성능 향상 및 압축 해제의 실패에 대한 리스크를 줄일 수 있는 효과가 있다.Since the present invention can inspect malicious code without decompressing a file in the mobile platform, it is possible to reduce the risk of performance enhancement and decompression failure.

도 1은 본 발명의 실시 예에 따른 악성 코드 검사 장치를 도시한 블록도,
도 2는 본 발명의 실시 예에 따라 실행 파일 이름을 추출하는 과정을 설명하기 위한 도면,
도 3은 본 발명의 실시 예에 따른 장치가 실행 파일에 대한 악성 코드 감염 여부를 검사하는 과정을 도시한 흐름도.1 is a block diagram illustrating a malicious code checking apparatus according to an embodiment of the present invention.
FIG. 2 is a diagram for explaining a process of extracting an executable file name according to an embodiment of the present invention; FIG.
3 is a flowchart illustrating a process of checking whether an apparatus according to an embodiment of the present invention is infected with malicious code for an executable file.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention and the manner of achieving them will become apparent with reference to the embodiments described in detail below with reference to the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the concept of the invention to those skilled in the art. Is provided to fully convey the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims.

본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The following terms are defined in consideration of the functions in the embodiments of the present invention, which may vary depending on the intention of the user, the intention or the custom of the operator. Therefore, the definition should be based on the contents throughout this specification.

이하, 첨부된 도면을 참조하여 본 발명의 실시 예에 대해 설명한다.Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings.

도 1은 본 발명의 실시 예에 따른 모바일용 악성 코드 검사 장치를 도시한 블록도이다.1 is a block diagram illustrating a mobile malicious code checking apparatus according to an embodiment of the present invention.

도 1의 악성 코드 검사 장치(100)는 모바일 플랫폼, 예컨대 안드로이드 플랫폼 상에 설치되어 있으며, 안드로이드 플랫폼의 애플리케이션 매니저로부터 애플리케이션 설치 목록 정보를 제공받아 실행 파일의 이름을 추출하며, 추출된 이름을 기반으로 검사를 수행할 수 있다. The malicious code checking apparatus 100 of FIG. 1 is installed on a mobile platform, for example, an Android platform. The malicious code checking apparatus 100 receives application installation list information from an application manager of the Android platform and extracts the name of the executable file. Inspection can be performed.

또한, 이러한 악성 코드 검사 장치(100)는 애플리케이션의 형태로 모바일 단말기 내 기록매체에 설치되어 동작할 수 있다.In addition, the malicious code checking apparatus 100 may be installed in a recording medium in a mobile terminal in the form of an application and operated.

이러한 악성 코드 검사 장치(100)는 설치 목록 수집부(110), 실행 파일 이름 추출부(120), 검사부(130) 및 메모리(140) 등을 포함하여 구성될 수 있다.The malicious code checking apparatus 100 may include an installation list collection unit 110, an execution file name extraction unit 120, an inspection unit 130, a memory 140, and the like.

설치 목록 수집부(110)은 안드로이드 플랫폼과의 연동을 통해 모바일 단말기에 설치된 애플리케이션의 목록 및 정보를 수집할 수 있다. 즉, 설치 목록 수집부(110)은 모바일 단말기에 설치된 애플리케이션의 설치 파일명과 애플리케이션 종류 등의 정보를 수집한 후 이를 실행 파일 이름 추출부(120)에게 제공할 수 있다. 여기에서, 애플리케이션의 종류는 프리로드(preload) 또는 서드 파티(3rd party)일 수 있다.The installation list collecting unit 110 can collect a list and information of applications installed in the mobile terminal by interworking with the Android platform. That is, the installation list collecting unit 110 may collect information such as installation file name and application type of an application installed in the mobile terminal, and then provide the execution file name extracting unit 120 with the information. Here, the type of the application may be a preload or a third party.

실행 파일 이름 추출부(120)는 설치 파일명과 애플리케이션의 종류에 대한 정보를 기반으로 실행 파일의 이름을 추출할 수 있다. 즉, 실행 파일 이름 추출부(120)는 기 설정된 기본 경로와 애플리케이션 종류를 기반으로 실행 파일의 1차로 이름을 추출하고, 설치 파일명을 기반으로 2차로 이름을 추출한 후에 1차로 추출된 이름과 2차로 추출된 이름을 연결하여 실행 파일의 이름을 추출할 수 있다. 예를 들어, 기본 경로가 'data/dalvik-cache'이고, 애플리케이션의 종류가 서드 파티이며, 설치 파일명이 ahnlab인 경우 실행 파일 이름 추출부(120)는 애플리케이션의 종류 및 기본 경로를 기반으로 'data/dalvik-cache/data@app'과 같은 이름을 1차로 추출하고, 1차로 추출된 이름에 설치 파일명인 'com.ahnlab.testdex-2.apk'과 'classes.dex'를 연결시켜 실행 파일의 이름, 즉 'data/dalvik-cache/data@app@com.ahnlab.testdex-2.apk@classes.dex'를 추출할 수 있다.The executable file name extracting unit 120 can extract the name of the executable file based on the name of the installed file and the type of the application. That is, the executable file name extracting unit 120 extracts the first name of the executable file based on the predetermined basic path and the application type, extracts the second name based on the installed file name, You can extract the name of the executable file by concatenating the extracted names. For example, if the default path is' data / dalvik-cache ', the type of application is third party, and the name of the installed file is ahnlab, the executable file name extracting unit 120 extracts' data / dalvik-cache / data @ app ', and connect the names of the installed files' com.ahnlab.testdex-2.apk' and 'classes.dex' to the extracted name first. You can extract the name, ie 'data / dalvik-cache / data @ app @ com.ahnlab.testdex-2.apk @ classes.dex'.

한편, ahnlab의 애플리케이션 종류가 프리로드인 경우에는 'data/dalvik-cache/system@app@설치 파일명@classes.dex'라는 실행 파일의 이름을 추출할 수 있다.On the other hand, if ahnlab's application type is preloaded, you can extract the name of the executable named 'data / dalvik-cache / system @ app @ installation file name @ classes.dex'.

이러한 방식으로 실행 파일 이름 추출부(120)는 모바일 단말기 내 설치된 각 애플리케이션에 대한 실행 파일의 이름을 추출한 후 이를 메모리(140)에 저장한다.In this manner, the executable file name extracting unit 120 extracts the name of the executable file for each application installed in the mobile terminal, and stores the extracted name in the memory 140.

또한, 실행 파일 이름 추출부(120)는 새로운 애플리케이션이 모바일 단말기에 설치되는 경우 이를 인지하여 설치 목록 수집부(110)로부터 애플리케이션 정보를 제공받으며, 제공받은 애플리케이션 정보를 기반으로 실행 파일의 이름을 추출하여 메모리(140)를 업데이트할 수 있다.In addition, when the new application is installed in the mobile terminal, the execution file name extracting unit 120 receives the application information from the installation list collecting unit 110 by recognizing the new application, and extracts the name of the execution file based on the provided application information To update the memory 140.

본 발명의 실행 파일은 애플리케이션이 모바일 단말기에 설치될 때 생성되는 파일이다. 실행 파일의 예로서는 최적화된 DEX(ODEX) 파일을 들 수 있으나, 이에 한정하지는 않는다.The executable file of the present invention is a file that is created when an application is installed in a mobile terminal. Examples of executable files include, but are not limited to, optimized DEX (ODEX) files.

ODEX 파일 이름을 추출하는 과정에 대해 도 2를 참조하여 설명한다.The process of extracting the ODEX file name will be described with reference to FIG.

도 2는 본 발명의 실시 예에 따라 ODEX 파일의 이름을 추출하는 과정을 설명하기 위한 도면이다.FIG. 2 is a diagram for explaining a process of extracting a name of an ODEX file according to an embodiment of the present invention.

도 2에 도시된 바와 같이, 모든 애플리케이션의 기본 경로는 'data/dalvik-cache'이고, 애플리케이션의 종류가 프리로드인 경우 시스템에 관련된 애플리케이션이기 때문에 'data/dalvik-cache/system@app@설치 파일명@classes.dex'라는 ODEX 파일의 이름이 추출될 수 있다. 한편, 애플리케이션의 종류가 서드 파티인 경우'data/dalvik-cache/data@app@설치 파일명@classes.dex'라는 ODEX 파일의 이름이 추출될 수 있다.As shown in FIG. 2, the basic path of all applications is 'data / dalvik-cache'. If the type of application is preload, it is an application related to the system. @ classes.dex 'can be extracted. On the other hand, if the application type is a third party, the ODEX file name 'data / dalvik-cache / data @ app @ installation file name @ classes.dex' can be extracted.

검사부(130)는 메모리(140)에 저장된 실행 파일 이름에 따라 모바일 플랫폼 내 실행 파일에 접근하며, 이를 통해 실행 파일의 악성 코드 감염 여부를 검사할 수 있다. 검사 방법의 예로는 악성 코드 패턴을 이용한 검사 방법을 들 수 있으나, 이에 한정되지는 않는다.The checking unit 130 accesses the executable file in the mobile platform according to the name of the executable file stored in the memory 140, thereby checking whether the executable file is infected with the malicious code. Examples of the inspection method include, but are not limited to, an inspection method using a malicious code pattern.

상기와 같은 구성을 갖는 악성 코드 검사 장치(100)가 악성 코드 감염 여부를 검사하는 과정에 대해 도 3을 참조하여 설명한다.A process of checking whether the malicious code inspection apparatus 100 having the above configuration has malicious code infection will be described with reference to FIG.

도 3은 본 발명의 실시 예에 따른 악성 코드 검사 과정을 도시한 흐름도이다.3 is a flowchart illustrating a malicious code checking process according to an embodiment of the present invention.

도 3에 도시된 바와 같이, 먼저 설치 목록 수집부(110)는 모바일 플랫폼, 예컨대 안드로이드 플랫폼에 설치된 애플리케이션 정보를 수집한다(단계 302). 예를 들어, 안드로이드 플랫폼 내 애플리케이션 매니저와의 연동을 통해 설치 목록 수집부(110)는 모바일 단말기에 설치된 애플리케이션의 정보를 수집할 수 있다. 여기에서, 애플리케이션의 정보는 애플리케이션 종류(타입), 애플리케이션의 설치 파일명 등이 될 수 있다.As shown in FIG. 3, first, the installation list collecting unit 110 collects application information installed on a mobile platform, for example, an Android platform (step 302). For example, the installation list collection unit 110 may collect information of an application installed in the mobile terminal by interworking with an application manager in the Android platform. Here, the information of the application may be an application type (type), an installation file name of the application, or the like.

그런 다음, 실행 파일 이름 추출부(120)는 애플리케이션이 설치된 기본 경로 및 애플리케이션의 정보를 기반으로 애플리케이션 각각의 실행 파일 이름을 추출한 후 이를 메모리(140)에 저장할 수 있다(단계 304). 여기에서, 애플리케이션의 기본 경로는, 안드로이드 플랫폼인 경우 'data/dalvik-cache'일 수 있다.Then, the executable file name extracting unit 120 extracts the executable file name of each of the applications based on the basic path and the information of the application installed in the application, and stores the extracted executable file name in the memory 140 (step 304). Here, the default path for the application may be 'data / dalvik-cache' for the Android platform.

이후, 검사부(130)는 실시간 검사를 수행하는데, 즉 메모리(140)에 저장된 실행 파일 이름을 이용하여 실행 파일에 접근한 후 실행 파일의 악성 코드 감염 여부를 검사할 수 있다(단계 306). 악성 코드 검사 방법으로는 기 저장된 악성 코드 패턴을 이용한 방법을 들 수 있으나, 이에 한정되지는 않는다.Then, the inspector 130 performs real-time inspection, that is, accesses the executable file using the executable file name stored in the memory 140, and then checks whether the executable file is infected with the malicious code (step 306). The malicious code checking method includes, but is not limited to, a method using a previously stored malicious code pattern.

악성 코드 감염 여부를 검사한 결과, 실행 파일이 악성 코드에 감염된 경우에는 악성 코드 감염된 실행 파일을 삭제하거나, 기 설정된 치료 방법에 의해 치료할 수 있다.If the executable file is infected with malicious code as a result of checking for malicious code, the malicious infected executable file can be deleted or can be treated by a predetermined treatment method.

한편, 악성 코드 검사 장치(100)의 설치 목록 수집부(110)는 모바일 플랫폼 내 새로운 애플리케이션의 설치 여부를 판단한다(단계 308). Meanwhile, the installation list collection unit 110 of the malicious code checking apparatus 100 determines whether a new application is installed in the mobile platform (step 308).

단계 308의 판단 결과, 애플리케이션이 설치되는 경우 단계 302로 피드백하여 이후 단계를 수행하는데, 즉 설치 목록 수집부(110)는 설치된 애플리케이션의 정보를 애플리케이션 매니저로부터 수신하여 실행 파일 이름 추출부(120)에게 제공하며, 실행 파일 이름 추출부(120)는 기본 경로 및 애플리케이션의 정보를 기반으로 실행 파일 이름을 추출한 후 이를 이용하여 메모리(140)의 정보를 업데이트할 수 있다.If it is determined in step 308 that the application is installed, the process returns to step 302 to perform the subsequent steps. In other words, the install list collecting unit 110 receives the information of the installed application from the application manager, And the executable file name extracting unit 120 may extract the executable file name based on the basic path and the information of the application and use the extracted name to update the information in the memory 140. [

한편, 단계 308의 판단 결과, 애플리케이션이 설치되지 않을 경우에는 종료되는 것으로 도시하였지만, 악성 코드 검사 장치(100)가 실시간으로 검사를 수행할 경우 검사부(130)는 메모리(140)에 저장된 실행 파일 이름을 기반으로 실행 파일에 대한 악성 코드 감염 여부를 실시간으로 검사할 수 있다.However, when the malicious code checking apparatus 100 performs the inspection in real time, the checking unit 130 checks the name of the executable file stored in the memory 140 It is possible to check whether an execution file is infected with malicious code in real time.

상기의 실행 파일은 ODEX 파일일 수 있으나, 이에 한정되지는 않는다. 즉, 다양한 형태의 실행 파일이 될 수 있다. The executable file may be an ODEX file, but is not limited thereto. In other words, it can be various types of executable files.

또한, 본 발명의 실시 예에서 언급한 기본 경로 또한 모바일 플랫폼의 형태에 따라 달라질 수 있다.Also, the basic route mentioned in the embodiment of the present invention may also be changed according to the form of the mobile platform.

한편 상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention. Accordingly, the scope of the invention should not be limited by the described embodiments but should be defined by the appended claims.

100 : 악성 코드 검사 장치 110 : 설치 목록 수집부
120 : 실행 파일 이름 추출부 130 : 검사부
140 : 메모리100: Malicious Code Inspection Apparatus 110: Installation List Collection Unit
120: executable file name extracting unit 130:
140: Memory

Claims (8)

모바일 단말기에 설치된 애플리케이션의 설치 파일명과 애플리케이션의 종류에 대한 정보를 모바일 플랫폼으로부터 수집하는 단계와,
상기 설치 파일명과 상기 종류에 대한 정보를 기반으로 하여 상기 애플리케이션을 위한 실행 파일의 이름을 추출하는 단계와,
추출된 상기 이름을 이용하여 상기 실행 파일에 접근한 후에 악성 코드 감염 여부를 검사하는 단계를 포함하는
모바일 단말기의 악성 코드 검사 방법.
Collecting information on an installation file name and an application type of an application installed in the mobile terminal from a mobile platform;
Extracting a name of an executable file for the application based on the installation file name and the type information;
Accessing the executable file using the extracted name, and then checking whether the malicious code is infected
A malicious code inspection method of a mobile terminal.
제 1 항에 있어서,
상기 이름을 추출하는 단계는,
상기 모바일 플랫폼 내에 설치된 상기 애플리케이션의 기본 경로, 상기 애플리케이션의 종류 및 상기 애플리케이션의 설치 파일명을 기반으로 상기 애플리케이션 각각에 대한 실행 파일의 이름을 추출하는 단계를 포함하는
모바일 단말기의 악성 코드 검사 방법.
The method according to claim 1,
The step of extracting the name includes:
Extracting a name of an executable file for each of the applications based on a basic path of the application installed in the mobile platform, a type of the application, and an installed file name of the application
A malicious code inspection method of a mobile terminal.
제 1 항에 있어서,
상기 실행 파일은, ODEX(Optimized DEX) 파일인
모바일 단말기의 악성 코드 검사 방법.
The method according to claim 1,
The executable file is an ODEX (Optimized DEX) file
A malicious code inspection method of a mobile terminal.
제 1 항에 있어서,
상기 모바일 플랫폼은, 안드로이드 플랫폼인
모바일 단말기의 악성 코드 검사 방법.
The method according to claim 1,
The mobile platform may be an Android platform
A malicious code inspection method of a mobile terminal.
모바일 단말기에 설치된 애플리케이션의 설치 파일명과 애플리케이션의 종류에 대한 정보를 모바일 플랫폼으로부터 수집하는 설치 목록 수집부와,
상기 설치 파일명과 상기 종류에 대한 정보를 기반으로 하여 상기 애플리케이션을 위한 실행 파일의 이름을 추출하는 실행 파일 이름 추출부와,
추출된 상기 이름을 이용하여 상기 실행 파일에 접근한 후에 악성 코드 감염 여부를 검사하는 검사부를 포함하는
모바일 단말기의 악성 코드 검사 장치.
An installation list collecting unit for collecting information on an installation file name and an application type of an application installed in the mobile terminal from a mobile platform;
An executable file name extracting unit for extracting a name of an executable file for the application based on the installed file name and the type information;
And an inspection unit for checking whether the malicious code is infected after accessing the executable file using the extracted name
Malicious code checking device of mobile terminal.
제 5 항에 있어서,
상기 실행 파일 이름 추출부는,
상기 모바일 플랫폼 내에 설치된 상기 애플리케이션의 기본 경로, 상기 애플리케이션의 종류 및 상기 애플리케이션의 설치 파일명을 기반으로 상기 애플리케이션 각각에 대한 실행 파일의 이름을 추출하는
모바일 단말기의 악성 코드 검사 장치.
6. The method of claim 5,
Wherein the executable file name extracting unit
Extracting a name of an executable file for each of the applications based on a basic path of the application installed in the mobile platform, a type of the application, and an installed file name of the application
Malicious code checking device of mobile terminal.
제 5 항에 있어서,
상기 실행 파일은, ODEX(Optimized DEX) 파일인
모바일 단말기의 악성 코드 검사 장치.
6. The method of claim 5,
The executable file is an ODEX (Optimized DEX) file
Malicious code checking device of mobile terminal.
제 5 항에 있어서,
상기 모바일 플랫폼은, 안드로이드 플랫폼인
모바일 단말기의 악성 코드 검사 장치.6. The method of claim 5,
The mobile platform may be an Android platform
Malicious code checking device of mobile terminal.
KR1020140193168A 2014-12-30 2014-12-30 Method and apparatus for inspecting malicious code of a mobile terminal KR101581262B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140193168A KR101581262B1 (en) 2014-12-30 2014-12-30 Method and apparatus for inspecting malicious code of a mobile terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140193168A KR101581262B1 (en) 2014-12-30 2014-12-30 Method and apparatus for inspecting malicious code of a mobile terminal

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020130035319A Division KR20140119527A (en) 2013-04-01 2013-04-01 Method and apparatus for inspecting malicious code of a mobile terminal

Publications (2)

Publication Number Publication Date
KR20150008033A true KR20150008033A (en) 2015-01-21
KR101581262B1 KR101581262B1 (en) 2016-01-04

Family

ID=52570735

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140193168A KR101581262B1 (en) 2014-12-30 2014-12-30 Method and apparatus for inspecting malicious code of a mobile terminal

Country Status (1)

Country Link
KR (1) KR101581262B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101666176B1 (en) * 2015-06-25 2016-10-14 한국전자통신연구원 Apparatus and method for of monitoring application based on android platform

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110128632A (en) 2010-05-24 2011-11-30 충남대학교산학협력단 Method and device for detecting malicious action of application program for smartphone
KR20120084184A (en) * 2011-01-19 2012-07-27 한남대학교 산학협력단 A smartphone malicious code blocking method based on white list and the recording medium thereof
KR101246623B1 (en) * 2012-09-03 2013-03-25 주식회사 안랩 Apparatus and method for detecting malicious applications

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110128632A (en) 2010-05-24 2011-11-30 충남대학교산학협력단 Method and device for detecting malicious action of application program for smartphone
KR20120084184A (en) * 2011-01-19 2012-07-27 한남대학교 산학협력단 A smartphone malicious code blocking method based on white list and the recording medium thereof
KR101246623B1 (en) * 2012-09-03 2013-03-25 주식회사 안랩 Apparatus and method for detecting malicious applications

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101666176B1 (en) * 2015-06-25 2016-10-14 한국전자통신연구원 Apparatus and method for of monitoring application based on android platform

Also Published As

Publication number Publication date
KR101581262B1 (en) 2016-01-04

Similar Documents

Publication Publication Date Title
US10033793B2 (en) Methods and apparatus for monitoring a portable device
US10481964B2 (en) Monitoring activity of software development kits using stack trace analysis
US20160205125A1 (en) System and method for analyzing mobile cyber incident
US20160378989A1 (en) Apparatus and method for monitoring android platform-based application
US9280665B2 (en) Fast and accurate identification of message-based API calls in application binaries
US10754717B2 (en) Fast and accurate identification of message-based API calls in application binaries
KR20110128632A (en) Method and device for detecting malicious action of application program for smartphone
US10691798B2 (en) Analysis device, analysis method, and analysis program
CN105515887B (en) application testing method, server and system
KR20130066901A (en) Apparatus and method for analyzing malware in data analysis system
CN103268448A (en) Method and system for dynamically detecting safety of mobile applications
US9571557B2 (en) Script caching method and information processing device utilizing the same
KR101581262B1 (en) Method and apparatus for inspecting malicious code of a mobile terminal
WO2015037850A1 (en) Device and method for detecting url call
KR20160001046A (en) Apparatus and Method for preventing malicious code in electronic device
CN110865818B (en) Detection method and device for application associated domain name and electronic equipment
CN110348226B (en) Engineering file scanning method and device, electronic equipment and storage medium
JP6018344B2 (en) Dynamic reading code analysis apparatus, dynamic reading code analysis method, and dynamic reading code analysis program
US20160277430A1 (en) System and method for detecting mobile cyber incident
KR102296897B1 (en) System and method for performing test automation of solution
KR101369254B1 (en) Apparatus and method for detecting malicious application
KR20140119527A (en) Method and apparatus for inspecting malicious code of a mobile terminal
JP5865180B2 (en) Portable communication terminal, data communication detection device, data communication detection method, and program
WO2014098387A1 (en) Apparatus and method for diagnosing malicious application
KR101748116B1 (en) Smishing blocking appatatus on cloud mobile environments

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20181224

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20191223

Year of fee payment: 5