WO2013115603A1 - User device and a method of diagnosing malicious code using same - Google Patents

User device and a method of diagnosing malicious code using same Download PDF

Info

Publication number
WO2013115603A1
WO2013115603A1 PCT/KR2013/000843 KR2013000843W WO2013115603A1 WO 2013115603 A1 WO2013115603 A1 WO 2013115603A1 KR 2013000843 W KR2013000843 W KR 2013000843W WO 2013115603 A1 WO2013115603 A1 WO 2013115603A1
Authority
WO
WIPO (PCT)
Prior art keywords
malicious code
malware
diagnosis
user
computing device
Prior art date
Application number
PCT/KR2013/000843
Other languages
French (fr)
Korean (ko)
Inventor
이창우
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Publication of WO2013115603A1 publication Critical patent/WO2013115603A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/14Digital output to display device ; Cooperation and interconnection of the display device with other functional units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/16Sound input; Sound output
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs

Definitions

  • the present invention relates to computer security technology, and in particular, a user device suitable for performing malware inspection in a computing device through a user device including a diagnosis and treatment function for malware by interworking with a user device through a USB interface. And it relates to a malicious code diagnostic method using the same.
  • computing device users installed software (eg, anti-virus programs) for diagnosing malware in the computing device, and executed them to perform manual inspection and real-time inspection.
  • software eg, anti-virus programs
  • the data and signature information about the malware can be periodically updated from the provider server of the malware diagnostic software, the downloaded signature information is stored in the computing device.
  • the user executes an antivirus program installed on a computing device periodically or in real time to perform diagnosis and inspection of malicious code, and then diagnoses and repairs the malicious code through manual inspection and real-time inspection.
  • the system process uses a certain amount or more. As a result, the resource occupancy of the CPU and memory is increased, which may degrade the performance of the operating system. Due to the slowed down.
  • an embodiment of the present invention provides a user device capable of performing real-time monitoring, diagnosis and treatment of malicious code by interworking a user device including a malicious code diagnosis and treatment function with a computing device, and a method for diagnosing malicious code using the same. can do.
  • the user device is connected to the computing device through a wired or wireless method (USB interface, Bluetooth, WLAN, etc.) through the user device including the malicious code diagnosis and treatment function to check the malware in the computing device
  • a wired or wireless method USB interface, Bluetooth, WLAN, etc.
  • an embodiment of the present invention after interlocking a user device including a malware diagnosis and treatment function with a computing device, a user device capable of performing detection and treatment of malicious code through real-time monitoring under the user control and using the same It can provide a way to diagnose malware.
  • a malicious code diagnosis user device may include a storage and control device that connects with a computing device and drives a malware diagnosis program corresponding to a pre-stored autorun file, and the malware diagnosis program. It may include a notification device for displaying the color and text, or output a voice and sound according to the operation.
  • the storage and control device may include an operation controller configured to drive the malicious code diagnostic program to perform diagnosis and treatment of malicious code in the computing device, and to store the malicious code diagnostic program data and signature file for diagnosing the malicious code.
  • an operation controller configured to drive the malicious code diagnostic program to perform diagnosis and treatment of malicious code in the computing device, and to store the malicious code diagnostic program data and signature file for diagnosing the malicious code.
  • the notification device may include a display unit that lights or flashes a different color or outputs a set character when the malware diagnosis program is driven, malware inspection, discovery and treatment are controlled by the storage and control device, and the malware inspection
  • the speaker includes a speaker for outputting a predetermined sound or voice during discovery, discovery and treatment.
  • the notification device may include a button unit for controlling the preset storage control device based on a user command input differently through one click, two clicks, or a long click.
  • the storage and control device includes a USB hub connected to an external USB storage device, and an operation control unit for performing malware diagnosis and treatment for each directory in the external USB storage device.
  • the operation controller When the diagnosis of the external USB storage device is completed, the operation controller allows access of the external USB storage device and recognizes the external USB storage device by the computing device.
  • a method for diagnosing a malicious code when the user device is connected to a computing device, driving a malware diagnosis program corresponding to an autorun file previously stored in a storage and control device, and storing and controlling the device. And displaying colors and texts or outputting voices and sounds according to a related operation of the malware diagnosis program in the notification device under the control of the control unit.
  • the driving of the malicious code diagnosis program may include driving the malicious code diagnosis program based on the malicious code diagnosis program data and signature file for diagnosing the malicious code stored in a memory to diagnose and treat the malicious code in the computing device. It includes the process of performing.
  • the process of driving the malware diagnosis program may include performing a diagnosis and treatment of malware per directory in the external USB storage device when an external USB storage device is connected to the USB hub.
  • the process of driving the malware diagnosis program may include installing a file for driving the malware diagnosis program on the computing device by executing an auto executable file when the driver installation of the computing device is completed, and the installation is completed. If it includes the process of performing a real-time monitoring for malicious code.
  • the process of performing the real-time monitoring if a malicious code is detected, the process of indicating the dangerous state to the notification device, storing the detected malicious code in the quarantine in the user device, and treating the malicious code And when the treatment of the malicious code is completed, indicating that the notification device is in a safe state.
  • the real-time monitoring of the malicious code may include: indicating that the notification device is being inspected by the notification device when a user command is input with a single click of a user button in the real-time monitoring state, and preset for the computing device. Performing manual checks on important files and processes; if malicious code is detected; storing the detected malicious elements in quarantine in the user device; treating the malicious code, and forcing a running process Ending to, and if the treatment of the malicious code is completed, including the step of indicating that the safe state to the notification device.
  • the real-time monitoring of the malicious code may include: indicating that the notification device is being scanned when an external USB device is inserted into a USB hub, and detecting malicious code by inspecting all directories of the external USB device. In response to the process of treating the malicious code, and if the treatment is completed or the malicious code is not found, indicating that the notification device is in a safe state, allowing access to the external USB storage device, And identifying the external USB storage device with a computing device.
  • the method for diagnosing malware may include booting by operating an operating system program in the user device when booting the user device in the computing device to recover a misdiagnosis of a system file; Checking the quarantine file in which the diagnosed file is stored to determine whether to recover the last stored file, and when the file is recovered, transferring the recovered file to the computing device, shutting down the user device, and rebooting the computing device. It includes the process of doing.
  • a method for diagnosing a malicious code includes: driving an operating system program in a storage and control device when a user device receives power from a power supply device; and when an external USB device is inserted from a USB hub.
  • the notification device displays colors and letters, or voices and sounds according to the related operation of the malware diagnostic program. It includes the process of outputting.
  • the process of diagnosing and treating the malicious code includes driving the malicious code diagnostic program based on the malicious code diagnostic program data and signature file for diagnosing the malicious code stored in a memory to diagnose the malicious code in the external USB device. And performing treatment.
  • the process of diagnosing and treating the malicious code includes, when a malicious code is detected, indicating that the notification device is in a dangerous state, storing the detected malicious code in a quarantine in the user device, and And a process of treating a malicious code, and displaying a safe state with the notification device when the treatment of the malicious code is completed.
  • the process of diagnosing and treating the malicious code may include: displaying that the notification device is being inspected by the notification device when a user command is input by a single click of a user button in a real-time monitoring state, and preset for the external USB device. Performing manual checks on important files and processes; if malicious code is detected; storing the detected malicious elements in quarantine in the user device; treating the malicious code, and forcing a running process Ending to, and if the treatment of the malicious code is completed, including the step of indicating that the safe state to the notification device.
  • the process of diagnosing and treating the malicious code may include: indicating that the notification device is being inspected when a user clicks twice on the user button or a long clicked user command over a preset time in the real-time monitoring state; And performing a manual test on a preset precision diagnosis area of the external USB device.
  • the system when the user device is inserted into a computing device, the system can be immediately performed after the driver installation, and thus easy to install, regardless of computer replacement. Keep your engine up to date.
  • the diagnosed file can be stored in the quarantine in the user device to recover the system file after operating by USB booting method when the system file is misdiagnosed.
  • the malicious code diagnosis of the external USB device connected to the computing device can be performed through the USB hub of the user device, it is possible to easily determine whether the external USB device is malicious without using system resources of the computer.
  • the USB device inserted into the USB hub can be diagnosed as malicious through a separate power supply without being connected to the computing device.
  • FIG. 1 is a configuration diagram briefly showing the structure of a malicious code diagnosis system according to an embodiment of the present invention
  • FIG. 2 illustrates a form of a user device according to an embodiment of the present invention
  • FIG. 3 is a block diagram illustrating a structure of a computing device according to an embodiment of the present invention.
  • FIG. 4 is a flowchart illustrating an interworking procedure between a user device and a computing device according to an embodiment of the present invention
  • FIG. 5 is a flowchart illustrating a procedure for diagnosing and treating malignant elements during real-time monitoring of a computing device according to an embodiment of the present invention
  • FIG. 6 is a flowchart illustrating a safety check and a precision diagnosis procedure of a computing device using a button of a user device according to an embodiment of the present invention
  • FIG. 7 is a flowchart illustrating a malicious component diagnosis and treatment procedure of an external USB device using a USB hub of a user device according to an embodiment of the present invention
  • FIG. 8 is a flowchart illustrating a procedure for diagnosing and treating malicious components of an external USB device using a USB hub of a user device according to an embodiment of the present invention
  • FIG. 9 is a flowchart illustrating a recovery procedure according to a system file error according to an embodiment of the present invention.
  • Combinations of each block of the accompanying block diagram and each step of the flowchart may be performed by computer program instructions.
  • These computer program instructions may be mounted on a processor of a general purpose computer, special purpose computer, or other programmable data processing equipment such that instructions executed through the processor of the computer or other programmable data processing equipment may not be included in each block or flowchart of the block diagram. It will create means for performing the functions described in each step.
  • These computer program instructions may be stored in a computer usable or computer readable memory that can be directed to a computer or other programmable data processing equipment to implement functionality in a particular manner, and thus the computer usable or computer readable memory.
  • instructions stored in may produce an article of manufacture containing instruction means for performing the functions described in each block or flowchart of each step of the block diagram.
  • Computer program instructions may also be mounted on a computer or other programmable data processing equipment, such that a series of operating steps may be performed on the computer or other programmable data processing equipment to create a computer-implemented process to create a computer or other programmable data. Instructions that perform processing equipment may also provide steps for performing the functions described in each block of the block diagram and in each step of the flowchart.
  • each block or step may represent a portion of a module, segment or code that includes one or more executable instructions for executing a specified logical function (s).
  • a specified logical function s.
  • the functions noted in the blocks or steps may occur out of order.
  • the two blocks or steps shown in succession may in fact be executed substantially concurrently or the blocks or steps may sometimes be performed in the reverse order, depending on the functionality involved.
  • the user device including the malware diagnosis and treatment function is linked with a computing device in a wired / wireless manner (USB interface, Bluetooth, WLAN, etc.) to detect and treat malicious code through real-time monitoring under user control.
  • a wired / wireless manner USB interface, Bluetooth, WLAN, etc.
  • elements, activities, and the like, which hinder normal operation of the computing device, such as viruses, spyware, and harmful programs, are collectively defined as malicious code or malicious elements.
  • FIG. 1 is a configuration diagram briefly showing the structure of a malicious code diagnosis system according to an embodiment of the present invention.
  • the malicious code diagnosis system may include a user device 100, a computing device 150, and the like interoperating with the user device 100.
  • the user device 100 may include a notification device 110 and a storage and control device 120.
  • the user device 100 may diagnose malicious code in the computing device 150, and when the external USB device is inserted through the USB hub, the user device 100 may be connected to the external USB device. Diagnosis and treatment of malicious code can be performed.
  • the notification device 110 in the user device 100 may include a display unit (hereinafter referred to as a light emitting diode (LED)) 102, a button unit 104, a speaker 106, a socket 108, and the like. .
  • the LED 102 and the speaker 106 may indicate an operating state of the user device 100 and may indicate whether the connected computing device 150 or the external USB device is safe.
  • the LED 102 lights blue when the diagnostic is waiting, and the sound of the speaker 106 is silent.
  • the LED 102 blinks blue, indicating that the speaker 106 is operating. Sound or voice can be output.
  • the red blinking, a sound or voice indicating a danger is output.
  • the green light is turned on, and the sound may be silent.
  • the orange may flash and the sound may be silenced.
  • the button unit 104 may receive a command from a user through a touch input method or a keypad type pressure sensing method, and in the case of a single click, a manual test mode for confirming the safety of the computing device 150 may be performed. Can be cured with a click when a malicious element is found. In the case of a double click or a long button click for a predetermined time or more, the precision diagnosis of the computing device 150 may be performed.
  • This notification device 110 may be coupled with the storage and control device 120 through the socket 108.
  • the storage and control device 120 is combined with the notification device 110 to perform data storage non-control for diagnosing and controlling malicious elements of the computing device 150 and the external USB device.
  • the operation control unit 122, The flash memory 124, the device controller 126, the USB hub 130, and the USB interface 140 may be included.
  • the flash memory 124 is described as an example, and may be implemented as other memories.
  • the operation controller 122 includes an antivirus engine and may include its own operating system program such as Linux, the operation control unit 122 may drive the antivirus engine when connected to the computing device 150 through the USB interface 140.
  • the USB hub 130 transmits information about the external USB device to the operation control unit 122, and the operation control unit 122 drives a vaccine engine to drive malicious elements of the external USB device. Can be diagnosed and treated.
  • Linux can be executed to perform malware diagnosis and treatment of an external USB device through an antivirus engine in Linux.
  • the operation control unit 122 performs real-time monitoring, diagnosis and treatment of malicious elements through the connection with the computing device 150, checks whether the computer is safe through manual inspection, precise diagnosis of the computing device 150, and external USB device. Operational control such as diagnosis and treatment of malicious elements, control of use to an independent device through the USB power supply 160, and recovery of a system file may be performed.
  • the flash memory 124 may store an operating system (Linux) program and an antivirus program, and may transfer the stored and requested data under the control of the operation controller 122.
  • the partition hidden by partitioning is stored in the antivirus program files and signatures, can be used as a quarantine storage space.
  • the open partition can store executable files (such as vaccine program execution, malware diagnosis, engine update data, etc.) for various types of function operations for diagnosing and treating malicious elements.
  • executable files such as vaccine program execution, malware diagnosis, engine update data, etc.
  • Each data including an operating system program and an antivirus program stored in the flash memory 124 may be encrypted and stored.
  • the device controller 126 performs the control of the CPU, the memory, the USB hub 130, the USB interface 140, and the like in the user device 100 under the control of the operation controller 122, and the computing device 150 and the external device.
  • the connection of the USB device may be detected, and whether the power is supplied through the USB power supply 160 may be transmitted to the operation controller 122.
  • the USB interface 140 is for coupling the user device 100 and the computing device 150.
  • a driver for controlling the user device 100 may be installed in the computing device 150, and the user device 100 may be installed.
  • the user device 100 and the computing device 150 are connected through the USB interface 140.
  • the connection may be performed using each Bluetooth module, or the wireless LAN method may be used. It can also be done.
  • FIG. 2 is a diagram illustrating a form of a user device according to an exemplary embodiment of the present invention.
  • the user device 100 as a malicious code controller may be connected to the computing device through a USB 128 method, and the LED 102 and the speaker may be used whenever the malware is detected, treated, or updated in the computing device. This can be informed to the user.
  • the blue state of the standby state of the LED 102 is turned on, and if the malicious code is detected, the LED 102 may blink red.
  • the speaker can output the information as a voice or alarm.
  • the LED 102 may repeat the flashing operation in blue, and when the treatment is completed, the LED 102 may return to the blue state again.
  • the LED 102 may repeat a flashing operation such as blue and perform speaker output according to each operation.
  • a manual test may be performed, or a treatment for the diagnosed malicious code may be performed.
  • different functions can be performed by short-clicking or long-clicking the button for a predetermined time.
  • the malicious code diagnosis of the external USB device may be performed through the USB hub 130 without interworking with the computing device 150. That is, since the malicious code diagnosis of the inserted external USB device can be performed while interworking with the computing device 150 or receiving a separate power supply, the user can easily check the state of malware diagnosis and treatment.
  • the control method can perform malicious code treatment on external USB devices.
  • FIG. 2 illustrates a user device 100
  • the present invention is not limited to the illustrated form, and the diagnosis and diagnosis of malicious elements may be performed without occupying system resources of the computing device 150 in conjunction with the computing device 150.
  • the device can perform the treatment, it is of course applicable to the present invention. That is, the AV engine application may be installed in the encrypted region of the smart phone, interlocked with the computing device 150 through USB interfacing, Bluetooth, WLAN, and the like, to perform diagnosis and treatment.
  • FIG. 3 is a block diagram illustrating a structure of a computing device according to an embodiment of the present invention.
  • the computing device 150 may include a scanning process 300, a hardware notification driver 310, a central processing unit (CPU) 320, a memory 330, a file filter driver 340, a hard disk, The flash memory 350, the network filter driver 360, the network module 370, and the like may be included.
  • the hardware notification driver 310 may check the corresponding hardware information and install a driver therefor.
  • the scanning process 300 may allocate system resources from the CPU 320 and the memory 330 to be used by the vaccine program of the user device 100. can do.
  • the companion file for the antivirus program executed in the user device 100 may be installed on the hard disk of the computing device 150 to about 10 MB. This represents a remarkable difference compared to the size of the antivirus program (approximately 500MB to 2GB) installed in the conventional computing device 150, so that the system resource occupancy of the antivirus program executed in the user device 100 may also be reduced. .
  • the vaccine program executed in the user device 100 may perform malware diagnosis and treatment for the hard disk and the flash memory 350 controlled by the file filter driver 340 through the scanning process 300.
  • FIG. 4 is a flowchart illustrating an interworking procedure between a user device and a computing device according to an embodiment of the present invention.
  • the user device 100 executes an auto-execution file through the operation control unit 122, and installs an initial installation file, which is a real-time monitoring file, in the computing device 150.
  • step 406 the process proceeds to step 408 to perform real-time malicious element monitoring of the computing device 150.
  • FIG. 5 is a flowchart illustrating a procedure for diagnosing and treating malignant elements during real-time monitoring of a computing device according to an embodiment of the present invention.
  • the operation controller 122 of the user device 100 performs real-time monitoring, and in step 502, it is determined whether a malicious element is detected. If no malicious element is detected during the real-time scan, the process proceeds to step 512, and the sound or voice indicates that the safety indicator (for example, the green light of the LED 102 is turned on and the speaker 106 is set to a safe state through the notification device 110). Output, etc.).
  • the safety indicator for example, the green light of the LED 102 is turned on and the speaker 106 is set to a safe state through the notification device 110). Output, etc.
  • the alarm device 110 displays a danger (for example, flashing red and a danger alert sound output) in step 504.
  • a danger for example, flashing red and a danger alert sound output
  • the malicious element detected in step 506 is stored and backed up in a quarantine within a predetermined space of the flash memory 124, and then, in step 508, the malicious element is treated and repaired. Thereafter, the treatment and recovery result information is transmitted to the computing device 150 to display the treatment and recovery contents through the display device of the computing device 150 in step 510, and the safety display through the notification device 110 in step 512. Will be performed.
  • FIG. 6 is a flowchart illustrating a safety check and a precision diagnosis procedure of a computing device using a button of a user device according to an exemplary embodiment of the present invention.
  • step 600 when the user device 100 is connected to the computing device 150 in step 600 and the user briefly presses the button unit 104 of the user device 100 in a real time monitoring state or a waiting state, As before the financial transaction, it is to check whether the computing device 150 is safe. In step 602, the notification device 110 is displayed as being checked.
  • step 604 the user device 100 performs a check on a predetermined important file, a process list, and a check on corresponding programs. If the malicious element is found in step 606, the process proceeds to step 608 to perform the treatment of the found malicious element, and if the malicious element is a process, the process is forcibly terminated.
  • the diagnosed file is stored in the quarantine in the user device 100 in step 610, and in step 612, the malicious element diagnosis and treatment for the computing device 150 is completed. do.
  • step 606 If no malicious element is found in step 606, the process proceeds to step 612 to indicate that the notification device 110 is safe.
  • step 600 when the user presses the button unit 104 of the waiting user device 100 for more than a preset time or presses twice, the process proceeds to step 614.
  • the button 104 for a long time or presses twice it is determined that the user requests to perform a detailed inspection of the computing device 150.
  • the user may perform a preset inspection for checking whether the computing device 150 is safe, for example, an installation package scan, a compressed file scan, a disk boot area scan, a scan of a running or service program, an automatic startup program scan, a host
  • a preset inspection for checking whether the computing device 150 is safe for example, an installation package scan, a compressed file scan, a disk boot area scan, a scan of a running or service program, an automatic startup program scan, a host
  • step 616 the notification device 110 is displayed as being inspected, and in step 618, the preset precision diagnosis area is inspected, and in step 606, it is determined whether a malicious element is found.
  • step 606 the process proceeds to step 608 to perform the treatment of the found malicious element, and if the malicious element is a process, the process is forcibly terminated.
  • the diagnosed file is stored in the quarantine in the user device 100 in step 610, and in step 612, the malicious element diagnosis and treatment for the computing device 150 is completed. do. However, if no malicious element is found in step 606, the process proceeds to step 612 to indicate safety to the notification device 110.
  • steps 608 to 612 the order may vary depending on the implementation manner. In other words, if a malicious element is found in step 606, first, the notification device 110 indicates a dangerous situation, the malicious element file diagnosed in step 610 is quarantined, and then the malicious element treatment in step 608 is performed. Thereafter, the process may proceed to step 612.
  • FIG. 7 is a flowchart illustrating a malicious element diagnosis and treatment procedure of an external USB device using a USB hub of a user device according to an embodiment of the present invention.
  • step 700 when the user device 100 is connected to the computing device 150 in step 700 and an external USB device is inserted into the USB hub 130 in a real-time monitoring state or waiting state, the process proceeds to step 702.
  • the notification device 110 indicates that the malicious element is being inspected.
  • step 704 all directories in the storage space of the inserted external USB device are examined.
  • step 706 if the malicious element is found and the malicious element is not detected, the controller proceeds to step 708 to indicate that the notification device 110 is safe. Information is transferred to the computing device 150.
  • the computing device 150 recognizes the external USB device as a USB memory device.
  • step 706 the process proceeds to step 714 to indicate the dangerous state to the notification device 110, and in step 716 to perform treatment for the malicious element.
  • the diagnosed file is stored in a quarantine to prevent misdiagnosis, and in step 720, the treated contents are transferred to the computing device 150 to be provided on the screen through the display unit.
  • step 722 since the treatment for the external USB device is completed, the notification device 110 is displayed in a safe state.
  • the user device 100 allows access of an external USB device to transfer information of the external USB device to the computing device 150, and the computing device 150 receives the external USB device.
  • the device will be recognized as a USB memory device.
  • FIG. 8 is a flowchart illustrating a malicious component diagnosis and treatment procedure of an external USB device using a USB hub of a user terminal according to an embodiment of the present invention.
  • the user device 100 is not connected to the computing device 150, and the user device 100 is powered by the USB power 160 connected to the USB interface 140 in step 800. You will receive a supply.
  • the operation control unit 122 of the user device 100 which is powered by the USB power supply 160 without being connected to the computing device 150, may drive its own operating system program, for example, Linux.
  • the notification device 110 indicates that the malicious element is waiting for diagnosis in step 804.
  • the control proceeds to step 808 to indicate that the notification device 110 is being inspected.
  • step 810 all directories in the storage space of the external USB device inserted through the Linux AV engine are examined.
  • step 812 through the inspection, it is determined whether a malicious element is found, and when no malicious element is found, the process proceeds to step 820 to indicate that the notification device 110 is safe.
  • step 812 the process proceeds to step 814 to indicate that the alarm device 110 is in a dangerous state, and in step 816, treatment for the malicious element is performed.
  • step 818 the treatment content information is displayed through the notification device 110.
  • step 820 after the treatment content is displayed, it indicates that the current state of safety.
  • FIG. 9 is a flowchart illustrating a recovery procedure according to a system file error according to an embodiment of the present invention.
  • an operating system program of the computing device 150 may be used. An error may occur that prevents booting.
  • the computing device 150 sets a boot to the USB device, and in step 902, the user device 100 boots to its own operating system program, Linux.
  • the operation controller 122 checks the contents of the corresponding files in the quarantine where the files previously diagnosed are stored.
  • the system file is recovered in step 906. (Eg, restoring deleted files, changing file names of system files backed up with malicious elements to original system file names, etc.).
  • step 910 the recovered file is transferred to the computing device 150 to be restored to the system folder, or the error file is replaced with the recovered file.
  • operation 912 a boot error is prevented by rebooting the computing device 150.
  • a user device and a method for diagnosing malicious code using the same may include a user device including a malicious code diagnosis and treatment function and a wired / wireless method with a computing device (USB interface, Bluetooth, WLAN, etc.). It works by detecting and treating malicious code through real-time monitoring under user control.
  • a computing device USB interface, Bluetooth, WLAN, etc.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Human Computer Interaction (AREA)
  • Social Psychology (AREA)
  • Quality & Reliability (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

The present invention relates to a user device and to a method of diagnosing malicious code using same, wherein a user device having the functions of diagnosing and curing malicious code is connected with a computing apparatus via wired or wireless means (USB interface, Bluetooth, wireless LAN, etc.), thus detecting and curing malicious code by real-time monitoring under the control of the user. According to the present invention, simple operation of the user device connected with the computing apparatus makes it possible to diagnose and cure malicious code, and enables the user to easily check the procedure of diagnosing, discovering and curing malicious code through an LED and a speaker of the user device, so that even users with poor computing capability may readily diagnose and cure malicious codes.

Description

사용자 장치 및 이를 이용한 악성 코드 진단 방법User Device and How to Diagnose Malware Using the Same
본 발명은 컴퓨터 보안 기술에 관한 것으로서, 특히 컴퓨팅 장치와 USB 인터페이스를 통해 사용자 장치가 연동하여 악성코드에 대한 진단 및 치료 기능을 포함하는 사용자 장치를 통해 컴퓨팅 장치 내 악성코드 검사를 수행하는데 적합한 사용자 장치 및 이를 이용한 악성 코드 진단 방법에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to computer security technology, and in particular, a user device suitable for performing malware inspection in a computing device through a user device including a diagnosis and treatment function for malware by interworking with a user device through a USB interface. And it relates to a malicious code diagnostic method using the same.
요즘 들어 개인용 컴퓨터, 노트북, 스마트폰 등과 같이 운영체제 프로그램을 사용하는 컴퓨팅 장치에서 운영체제 프로그램 내 시스템 파일, 각종 실행 파일의 변조를 수행하고, 컴퓨팅 장치 내 개인 정보를 유출 시키는 악성코드들이 증가하고 있다.Recently, a number of malicious codes are being used in computing devices that use operating system programs, such as personal computers, laptops, and smartphones, to modify system files and various executable files in operating system programs, and to leak personal information from computing devices.
종래에는 각 컴퓨팅 장치들에 대한 동작 불능, 실행 파일 제거 등이 주요 목적이었으나, 최근에는 인터넷을 통한 뱅킹(banking) 또는 증권 업무 등의 금융거래와, 이메일 또는 기밀사항이 포함된 데이터의 통신이 증가하면서 타인이 인터넷 통신보안의 취약점을 이용해 악의적인 목적으로 개인정보 또는 비밀정보 등을 빼내는 경우가 빈번하게 발생되고 있다.In the past, the main purpose was to disable operation files and remove executable files for each computing device. Recently, financial transactions such as banking or securities operations over the Internet, and communication of data including email or confidential information have increased. In the meantime, other people often take advantage of vulnerabilities in Internet communication security to extract personal or secret information for malicious purposes.
이에 컴퓨팅 장치 사용자들은 이러한 악성코드의 진단 및 검사를 수행하기 위해서 컴퓨팅 장치 내에 악성코드 진단을 위한 소프트웨어(예컨대, 백신 프로그램)를 설치하고, 이를 실행시켜 수동 검사, 실시간 검사 등을 수행하였다.In order to perform the diagnosis and inspection of such malicious codes, computing device users installed software (eg, anti-virus programs) for diagnosing malware in the computing device, and executed them to perform manual inspection and real-time inspection.
이때, 악성코드에 대한 데이터 및 시그니쳐 정보들은 악성 코드 진단 소프트웨어의 제공자 서버로부터 주기적으로 업데이트를 받을 수 있으며, 다운받은 시그니쳐 정보들은 컴퓨팅 장치 내에 저장하였다.At this time, the data and signature information about the malware can be periodically updated from the provider server of the malware diagnostic software, the downloaded signature information is stored in the computing device.
그러므로 사용자는 주기적 또는 실시간으로 컴퓨팅 장치에 설치되어 악성코드의 진단 및 검사를 수행하는 백신 프로그램을 실행시킨 후, 수동 검사 및 실시간 검사 등을 통해 악성 코드를 진단하고 이를 치료하였다.Therefore, the user executes an antivirus program installed on a computing device periodically or in real time to perform diagnosis and inspection of malicious code, and then diagnoses and repairs the malicious code through manual inspection and real-time inspection.
상기한 바와 같이 종래 기술에 의한 컴퓨팅 장치 내 악성 코드 진단 및 치료 방식에 있어서는, 컴퓨팅 장치 내에 백신 프로그램이 설치되어 실시간 감시 및 사용자 요청에 의한 수동검사를 수행하는 경우, 시스템 프로세스에서 일정량 이상을 사용하게 되어, CPU 및 메모리의 리소스 점유율이 증가되므로 전반적으로는 운영체제 시스템의 성능을 저하시킬 수 있고, 나아가 적어도 하나 이상의 다른 응용프로그램들과 동시에 멀티 태스킹을 수행하는 경우, 컴퓨팅 장치의 기본적인 처리 속도는 백신 프로그램으로 인해 느려질 수 밖에 없다.As described above, in the conventional method of diagnosing and treating malware in a computing device, when a vaccine program is installed in the computing device to perform real-time monitoring and manual inspection by a user request, the system process uses a certain amount or more. As a result, the resource occupancy of the CPU and memory is increased, which may degrade the performance of the operating system. Due to the slowed down.
또한, 컴퓨팅 장치로 침투한 악성코드들은 기 설치된 백신 프로그램에 대해서도 공격을 수행하므로, 백신 프로그램 자체를 무력화 시킬 수 있다는 문제점이 있었다.In addition, the malicious code penetrated into the computing device attacks against the pre-installed vaccine program, there was a problem that can disable the vaccine program itself.
이에 본 발명의 실시예는, 악성 코드 진단 및 치료 기능을 포함하는 사용자 장치를 컴퓨팅 장치와 연동 시켜 악성 코드의 실시간 감시, 진단 및 치료를 수행할 수 있는 사용자 장치 및 이를 이용한 악성 코드 진단 방법을 제공할 수 있다.Accordingly, an embodiment of the present invention provides a user device capable of performing real-time monitoring, diagnosis and treatment of malicious code by interworking a user device including a malicious code diagnosis and treatment function with a computing device, and a method for diagnosing malicious code using the same. can do.
또한 본 발명의 실시예는, 컴퓨팅 장치와 유무선 방식(USB 인터페이스, 블루투스, 무선랜 등)을 통해 사용자 장치가 연동하여 악성코드 진단 및 치료 기능을 포함하는 사용자 장치를 통해 컴퓨팅 장치 내 악성코드 검사를 수행할 수 있는 사용자 장치 및 이를 이용한 악성 코드 진단 방법을 제공할 수 있다.In addition, an embodiment of the present invention, the user device is connected to the computing device through a wired or wireless method (USB interface, Bluetooth, WLAN, etc.) through the user device including the malicious code diagnosis and treatment function to check the malware in the computing device A user device that can be performed and a malicious code diagnosis method using the same can be provided.
또한 본 발명의 실시예는, 악성코드 진단 및 치료 기능을 포함하는 사용자 장치를 컴퓨팅 장치와 연동한 후, 사용자 제어하에 실시간 감시를 통한 악성 코드의 감지 및 치료를 수행할 수 있는 사용자 장치 및 이를 이용한 악성 코드 진단 방법을 제공할 수 있다.In addition, an embodiment of the present invention, after interlocking a user device including a malware diagnosis and treatment function with a computing device, a user device capable of performing detection and treatment of malicious code through real-time monitoring under the user control and using the same It can provide a way to diagnose malware.
본 발명의 일 실시예에 따른 악성 코드 진단 사용자 장치는, 컴퓨팅 장치와 연결한 후, 기 저장된 자동 실행 파일에 대응하는 악성 코드 진단 프로그램을 구동하는 저장 및 제어 장치와, 상기 악성 코드 진단 프로그램의 관련 동작에 따라 색상 및 글자를 표시하거나, 음성 및 소리를 출력하는 알림 장치를 포함한다.According to an embodiment of the present invention, a malicious code diagnosis user device may include a storage and control device that connects with a computing device and drives a malware diagnosis program corresponding to a pre-stored autorun file, and the malware diagnosis program. It may include a notification device for displaying the color and text, or output a voice and sound according to the operation.
상기 저장 및 제어 장치는, 상기 악성 코드 진단 프로그램을 구동하여 상기 컴퓨팅 장치 내 악성 코드의 진단 및 치료를 수행하는 운영 제어부와, 상기 악성 코드 진단을 위한 상기 악성 코드 진단 프로그램 데이터 및 시그니쳐 파일을 저장하는 메모리를 포함한다.The storage and control device may include an operation controller configured to drive the malicious code diagnostic program to perform diagnosis and treatment of malicious code in the computing device, and to store the malicious code diagnostic program data and signature file for diagnosing the malicious code. Contains memory.
상기 알림 장치는, 상기 저장 및 제어 장치의 제어하에 상기 악성 코드 진단 프로그램의 구동, 악성 코드 검사, 발견, 치료 시 다른 색상을 점등 또는 점멸시키거나 설정된 글자를 출력하는 디스플레이부와, 상기 악성 코드 검사, 발견, 치료 시 기 설정된 소리 또는 음성을 출력하는 스피커를 포함한다.The notification device may include a display unit that lights or flashes a different color or outputs a set character when the malware diagnosis program is driven, malware inspection, discovery and treatment are controlled by the storage and control device, and the malware inspection The speaker includes a speaker for outputting a predetermined sound or voice during discovery, discovery and treatment.
상기 알림 장치는, 한번 클릭, 두번 클릭 또는 길게 클릭을 통해 각기 다르게 입력된 사용자 명령을 토대로 기 설정된 상기 저장 제어 장치를 제어하는 버튼부를 포함한다.The notification device may include a button unit for controlling the preset storage control device based on a user command input differently through one click, two clicks, or a long click.
상기 저장 및 제어 장치는, 외부 USB 저장 장치와 접속하는 USB 허브와, 상기 외부 USB 저장 장치 내 디렉토리 별 악성 코드 진단 및 치료를 수행하는 운영 제어부를 포함한다.The storage and control device includes a USB hub connected to an external USB storage device, and an operation control unit for performing malware diagnosis and treatment for each directory in the external USB storage device.
상기 운영 제어부는, 상기 외부 USB 저장 장치에 대한 진단이 완료된 경우, 상기 외부 USB 저장 장치의 접근을 허용하고, 상기 컴퓨팅 장치로 상기 외부 USB 저장 장치를 인식시킨다.When the diagnosis of the external USB storage device is completed, the operation controller allows access of the external USB storage device and recognizes the external USB storage device by the computing device.
본 발명의 다른 관점에 따른 악성 코드 진단 방법은, 사용자 장치가 컴퓨팅 장치와 연결된 경우, 저장 및 제어 장치에 기 저장된 자동 실행 파일에 대응하는 악성 코드 진단 프로그램을 구동하는 과정과, 상기 저장 및 제어 장치의 제어하에 알림 장치에서 상기 악성 코드 진단 프로그램의 관련 동작에 따라 색상 및 글자를 표시하거나, 음성 및 소리를 출력하는 과정을 포함한다.According to another aspect of the present invention, there is provided a method for diagnosing a malicious code, when the user device is connected to a computing device, driving a malware diagnosis program corresponding to an autorun file previously stored in a storage and control device, and storing and controlling the device. And displaying colors and texts or outputting voices and sounds according to a related operation of the malware diagnosis program in the notification device under the control of the control unit.
상기 악성 코드 진단 프로그램을 구동하는 과정은, 메모리에 저장된 상기 악성 코드 진단을 위한 상기 악성 코드 진단 프로그램 데이터 및 시그니쳐 파일을 토대로 상기 악성 코드 진단 프로그램을 구동하여 상기 컴퓨팅 장치 내 악성 코드의 진단 및 치료를 수행하는 과정을 포함한다.The driving of the malicious code diagnosis program may include driving the malicious code diagnosis program based on the malicious code diagnosis program data and signature file for diagnosing the malicious code stored in a memory to diagnose and treat the malicious code in the computing device. It includes the process of performing.
상기 악성 코드 진단 프로그램을 구동하는 과정은, USB 허브에 외부 USB 저장 장치가 접속된 경우, 상기 외부 USB 저장 장치 내 디렉토리 별 악성 코드 진단 및 치료를 수행하는 과정을 포함한다.The process of driving the malware diagnosis program may include performing a diagnosis and treatment of malware per directory in the external USB storage device when an external USB storage device is connected to the USB hub.
상기 외부 USB 저장 장치에 대한 진단이 완료된 경우, 상기 외부 USB 저장 장치의 접근을 허용하고, 상기 컴퓨팅 장치로 상기 외부 USB 저장 장치를 인식시키는 과정을 포함한다.When the diagnosis of the external USB storage device is completed, allowing the external USB storage device to access and recognizing the external USB storage device by the computing device.
상기 악성 코드 진단 프로그램을 구동하는 과정은, 상기 컴퓨팅 장치의 드라이버 설치가 완료된 경우, 자동 실행 파일을 실행하여 상기 악성 코드 진단 프로그램 구동을 위한 파일을 상기 컴퓨팅 장치에 설치하는 과정과, 상기 설치가 완료된 경우, 악성 코드에 대한 실시간 감시를 수행하는 과정을 포함한다.The process of driving the malware diagnosis program may include installing a file for driving the malware diagnosis program on the computing device by executing an auto executable file when the driver installation of the computing device is completed, and the installation is completed. If it includes the process of performing a real-time monitoring for malicious code.
상기 실시간 감시를 수행하는 과정은, 악성 코드가 감지된 경우, 상기 알림 장치로 위험 상태임을 표시하는 과정과, 감지된 상기 악성 코드를 상기 사용자 장치 내 검역소에 저장하는 과정과, 상기 악성 코드를 치료하는 과정과, 상기 악성 코드의 치료가 완료된 경우, 상기 알림 장치로 안전한 상태임을 표시하는 과정을 포함한다.The process of performing the real-time monitoring, if a malicious code is detected, the process of indicating the dangerous state to the notification device, storing the detected malicious code in the quarantine in the user device, and treating the malicious code And when the treatment of the malicious code is completed, indicating that the notification device is in a safe state.
상기 악성 코드에 대한 실시간 감시를 수행하는 과정은, 상기 실시간 감시 상태에서 사용자 버튼의 한번 클릭으로 사용자 명령을 입력받은 경우, 상기 알림 장치로 검사중임을 표시하는 과정과, 상기 컴퓨팅 장치에 대해 기 설정된 중요 파일 및 프로세스에 대한 수동 검사를 수행하는 과정과, 악성 코드가 감지된 경우, 감지된 상기 악성 요소를 상기 사용자 장치 내 검역소에 저장하는 과정과, 상기 악성 코드를 치료하고, 실행 중인 프로세스를 강제로 종료하는 과정과, 상기 악성 코드의 치료가 완료된 경우, 상기 알림 장치로 안전한 상태임을 표시하는 과정을 포함한다.The real-time monitoring of the malicious code may include: indicating that the notification device is being inspected by the notification device when a user command is input with a single click of a user button in the real-time monitoring state, and preset for the computing device. Performing manual checks on important files and processes; if malicious code is detected; storing the detected malicious elements in quarantine in the user device; treating the malicious code, and forcing a running process Ending to, and if the treatment of the malicious code is completed, including the step of indicating that the safe state to the notification device.
상기 악성 코드에 대한 실시간 감시를 수행하는 과정은, USB 허브에 외부 USB 장치가 삽입된 경우, 상기 알림 장치로 검사중임을 표시하는 과정과, 상기 외부 USB 장치의 모든 디렉토리를 검사하여 악성 코드가 발견된 경우, 상기 악성 코드를 치료하는 과정과, 상기 치료가 완료되거나 상기 악성 코드가 발견되지 않은 경우, 상기 알림 장치로 안전한 상태임을 표시하는 과정과, 상기 외부 USB 저장 장치의 접근을 허용하고, 상기 컴퓨팅 장치로 상기 외부 USB 저장 장치를 인식시키는 과정을 포함한다.The real-time monitoring of the malicious code may include: indicating that the notification device is being scanned when an external USB device is inserted into a USB hub, and detecting malicious code by inspecting all directories of the external USB device. In response to the process of treating the malicious code, and if the treatment is completed or the malicious code is not found, indicating that the notification device is in a safe state, allowing access to the external USB storage device, And identifying the external USB storage device with a computing device.
상기 악성 코드 진단 방법은, 시스템 파일의 오진 복구를 위해 상기 컴퓨팅 장치에서 상기 사용자 장치 부팅으로 설정된 경우, 상기 사용자 장치 내 운영 체제 프로그램을 구동하여 부팅을 수행하는 과정과, 상기 사용자 장치 내 악성코드로 진단된 파일이 저장되는 검역소 파일을 확인하여 마지막 저장된 파일에 대한 복구여부를 판단하여 복구된 경우, 복구된 파일을 상기 컴퓨팅 장치로 전달하는 과정과, 상기 사용자 장치를 종료하며, 상기 컴퓨팅 장치를 재부팅하는 과정을 포함한다.The method for diagnosing malware may include booting by operating an operating system program in the user device when booting the user device in the computing device to recover a misdiagnosis of a system file; Checking the quarantine file in which the diagnosed file is stored to determine whether to recover the last stored file, and when the file is recovered, transferring the recovered file to the computing device, shutting down the user device, and rebooting the computing device. It includes the process of doing.
본 발명의 또 다른 관점으로서 악성 코드 진단 방법은, 사용자 장치가 전원 공급 장치로부터 전원 공급을 받은 경우, 저장 및 제어 장치에서 운영체제 프로그램을 구동하는 과정과, USB 허브로부터 외부 USB 장치가 삽입된 경우, 악성 코드 진단 프로그램을 실행하여 악성 코드의 진단 및 치료를 수행하는 과정과, 상기 저장 및 제어 장치의 제어하에 알림 장치에서 상기 악성 코드 진단 프로그램의 관련 동작에 따라 색상 및 글자를 표시하거나, 음성 및 소리를 출력하는 과정을 포함한다.In another aspect of the present invention, a method for diagnosing a malicious code includes: driving an operating system program in a storage and control device when a user device receives power from a power supply device; and when an external USB device is inserted from a USB hub. By executing the malware diagnostic program to perform the diagnosis and treatment of the malicious code, and under the control of the storage and control device, the notification device displays colors and letters, or voices and sounds according to the related operation of the malware diagnostic program. It includes the process of outputting.
상기 악성 코드의 진단 및 치료를 수행하는 과정은, 메모리에 저장된 상기 악성 코드 진단을 위한 상기 악성 코드 진단 프로그램 데이터 및 시그니쳐 파일을 토대로 상기 악성 코드 진단 프로그램을 구동하여 상기 외부 USB 장치 내 악성 코드의 진단 및 치료를 수행하는 것을 포함한다.The process of diagnosing and treating the malicious code includes driving the malicious code diagnostic program based on the malicious code diagnostic program data and signature file for diagnosing the malicious code stored in a memory to diagnose the malicious code in the external USB device. And performing treatment.
상기 악성 코드의 진단 및 치료를 수행하는 과정은, 악성 코드가 감지된 경우, 상기 알림 장치로 위험 상태임을 표시하는 과정과, 감지된 상기 악성 코드를 상기 사용자 장치 내 검역소에 저장하는 과정과, 상기 악성 코드를 치료하는 과정과, 상기 악성 코드의 치료가 완료된 경우, 상기 알림 장치로 안전한 상태임을 표시하는 과정을 포함한다.The process of diagnosing and treating the malicious code includes, when a malicious code is detected, indicating that the notification device is in a dangerous state, storing the detected malicious code in a quarantine in the user device, and And a process of treating a malicious code, and displaying a safe state with the notification device when the treatment of the malicious code is completed.
상기 악성 코드의 진단 및 치료를 수행하는 과정은, 실시간 감시 상태에서 사용자 버튼의 한번 클릭으로 사용자 명령을 입력받은 경우, 상기 알림 장치로 검사중임을 표시하는 과정과, 상기 외부 USB 장치에 대해 기 설정된 중요 파일 및 프로세스에 대한 수동 검사를 수행하는 과정과, 악성 코드가 감지된 경우, 감지된 상기 악성 요소를 상기 사용자 장치 내 검역소에 저장하는 과정과, 상기 악성 코드를 치료하고, 실행 중인 프로세스를 강제로 종료하는 과정과, 상기 악성 코드의 치료가 완료된 경우, 상기 알림 장치로 안전한 상태임을 표시하는 과정을 포함한다.The process of diagnosing and treating the malicious code may include: displaying that the notification device is being inspected by the notification device when a user command is input by a single click of a user button in a real-time monitoring state, and preset for the external USB device. Performing manual checks on important files and processes; if malicious code is detected; storing the detected malicious elements in quarantine in the user device; treating the malicious code, and forcing a running process Ending to, and if the treatment of the malicious code is completed, including the step of indicating that the safe state to the notification device.
상기 악성 코드의 진단 및 치료를 수행하는 과정은, 상기 실시간 감시 상태에서 사용자 버튼의 두번 클릭 또는 기 설정된 시간 이상으로 길게 클릭된 사용자 명령을 입력받은 경우, 상기 알림 장치로 검사중임을 표시하는 과정과, 상기 외부 USB 장치에 대해 기 설정된 정밀 진단 영역에 대한 수동 검사를 수행하는 과정을 포함한다.The process of diagnosing and treating the malicious code may include: indicating that the notification device is being inspected when a user clicks twice on the user button or a long clicked user command over a preset time in the real-time monitoring state; And performing a manual test on a preset precision diagnosis area of the external USB device.
상기와 같은 본 발명의 실시예에 따른 사용자 장치 및 이를 이용한 악성 코드 진단 방법에 따르면 다음과 같은 효과가 하나 혹은 그 이상이 있다.According to the user device and a method for diagnosing malicious code using the same according to an embodiment of the present invention as described above, there are one or more of the following effects.
본 발명의 실시예에 따른 사용자 장치 및 이를 이용한 악성 코드 진단 방법에 의하면, 사용자 장치를 컴퓨팅 장치에 삽입하는 경우, 드라이버 설치 후 바로 시스템 검사를 수행할 수 있으므로 설치가 용이하고, 컴퓨터 교체에 상관없이 최신의 엔진 상태를 유지시킬 수 있다.According to a user device and a method for diagnosing malware using the same according to an embodiment of the present invention, when the user device is inserted into a computing device, the system can be immediately performed after the driver installation, and thus easy to install, regardless of computer replacement. Keep your engine up to date.
그리고 진단된 파일은 사용자 장치 내 검역소에서 보관하여 시스템 파일의 오진 시 USB 부팅 방식으로 동작 후 시스템 파일의 복구를 수행할 수 있다.In addition, the diagnosed file can be stored in the quarantine in the user device to recover the system file after operating by USB booting method when the system file is misdiagnosed.
또한, 컴퓨팅 장치와 연동된 사용자 장치의 간단한 조작을 통해 악성코드의 진단 및 치료를 수행할 수 있고, 진단, 악성코드 발견 및 치료 등의 동작 과정을 사용자 장치의 LED 및 스피커로부터 확인할 수 있으므로, 컴퓨팅 활용능력이 낮은 사용자들도 악성코드의 진단/검사 및 치료 상황을 시각과 청각을 통해 전달 받을 수 있으며, 외부에 노출된 버튼으로 조작을 수행함으로써 거의 모든 연령대 사용자와 신체 장애인들이 손쉽게 사용할 수 있다.In addition, it is possible to perform diagnosis and treatment of malware through simple operation of the user device linked with the computing device, and to check the operation process such as diagnosis, malware detection and treatment from the LED and speaker of the user device. Even users with low utilization can receive diagnosis / testing and treatment status of malware through visual and auditory, and can be used by users of all ages and physically disabled by performing manipulation with externally exposed buttons.
이와 더불어 컴퓨팅 장치의 내부 프로세스 사용을 최소화하고, 컴퓨팅 장치의 저장공간을 이용하지 않으므로, 악성 코드 진단 및 치료에 따른 시스템 프로세스 리소스 점유율을 감소시키고, 악성 코드로 인한 악성 코드 진단 및 치료 프로그램의 위 변조를 방지함으로써, 사용자 편의성 증대 및 다양한 부가 서비스 창출을 가능하게 할 수 있는 효과가 있다.In addition, since the internal process of the computing device is minimized and the storage space of the computing device is not used, the system process resource share due to the malicious code diagnosis and treatment is reduced, and the malicious code diagnosis and repair program can be tampered with. By preventing the, there is an effect that can increase the user convenience and create a variety of additional services.
한편, 컴퓨팅 장치와 연결되는 외부 USB 장치의 악성 코드 진단을 사용자 장치의 USB 허브를 통해 수행할 수 있으므로, 컴퓨터의 시스템 리소스를 사용하지 않으며, 외부 USB 장치의 악성 여부를 손쉽게 판단할 수 있다.Meanwhile, since the malicious code diagnosis of the external USB device connected to the computing device can be performed through the USB hub of the user device, it is possible to easily determine whether the external USB device is malicious without using system resources of the computer.
또한, 사용자 장치 자체적으로 운영체제 프로그램을 포함하고 있으므로, 컴퓨팅 장치와의 연결 없이 별도 전원 공급을 통해 USB 허브에 삽입된 USB 장치의 악성 여부를 진단할 수 있다.In addition, since the user device itself includes an operating system program, the USB device inserted into the USB hub can be diagnosed as malicious through a separate power supply without being connected to the computing device.
도 1은 본 발명의 실시예에 따른 악성 코드 진단 시스템의 구조를 간략히 도시한 구성도,1 is a configuration diagram briefly showing the structure of a malicious code diagnosis system according to an embodiment of the present invention;
도 2는 본 발명의 실시예에 따른 사용자 장치의 형태를 도시한 도면,2 illustrates a form of a user device according to an embodiment of the present invention;
도 3은 본 발명의 실시예에 따른 컴퓨팅 장치의 구조를 도시한 블록도,3 is a block diagram illustrating a structure of a computing device according to an embodiment of the present invention;
도 4는 본 발명의 실시예에 따라 사용자 장치와 컴퓨팅 장치의 연동 절차를 도시한 흐름도,4 is a flowchart illustrating an interworking procedure between a user device and a computing device according to an embodiment of the present invention;
도 5는 본 발명의 실시예에 따라 컴퓨팅 장치의 실시간 감시 중 악성 요소 진단 및 치료 절차를 도시한 흐름도,5 is a flowchart illustrating a procedure for diagnosing and treating malignant elements during real-time monitoring of a computing device according to an embodiment of the present invention;
도 6은 본 발명의 실시예에 따라 사용자 장치의 버튼을 이용한 컴퓨팅 장치의 안전 여부 확인 및 정밀 진단 절차를 도시한 흐름도,6 is a flowchart illustrating a safety check and a precision diagnosis procedure of a computing device using a button of a user device according to an embodiment of the present invention;
도 7은 본 발명의 실시예에 따라 사용자 장치의 USB 허브를 이용한 외부 USB 장치의 악성 요소 진단 및 치료 절차를 도시한 흐름도,7 is a flowchart illustrating a malicious component diagnosis and treatment procedure of an external USB device using a USB hub of a user device according to an embodiment of the present invention;
도 8은 본 발명의 실시예에 따라 사용자 장치의 USB 허브를 이용한 외부 USB 장치의 악성 요소 진단 및 치료 절차를 도시한 흐름도,8 is a flowchart illustrating a procedure for diagnosing and treating malicious components of an external USB device using a USB hub of a user device according to an embodiment of the present invention;
도 9는 본 발명의 실시예에 따른 시스템 파일 오진에 따른 복구 절차를 도시한 흐름도.9 is a flowchart illustrating a recovery procedure according to a system file error according to an embodiment of the present invention.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but can be implemented in various forms, and only the embodiments are to make the disclosure of the present invention complete, and common knowledge in the art to which the present invention pertains. It is provided to fully inform the person having the scope of the invention, which is defined only by the scope of the claims. Like reference numerals refer to like elements throughout.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. In describing the embodiments of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. In addition, terms to be described below are terms defined in consideration of functions in the embodiments of the present invention, which may vary according to intentions or customs of users and operators. Therefore, the definition should be made based on the contents throughout the specification.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다. Combinations of each block of the accompanying block diagram and each step of the flowchart may be performed by computer program instructions. These computer program instructions may be mounted on a processor of a general purpose computer, special purpose computer, or other programmable data processing equipment such that instructions executed through the processor of the computer or other programmable data processing equipment may not be included in each block or flowchart of the block diagram. It will create means for performing the functions described in each step. These computer program instructions may be stored in a computer usable or computer readable memory that can be directed to a computer or other programmable data processing equipment to implement functionality in a particular manner, and thus the computer usable or computer readable memory. It is also possible for the instructions stored in to produce an article of manufacture containing instruction means for performing the functions described in each block or flowchart of each step of the block diagram. Computer program instructions may also be mounted on a computer or other programmable data processing equipment, such that a series of operating steps may be performed on the computer or other programmable data processing equipment to create a computer-implemented process to create a computer or other programmable data. Instructions that perform processing equipment may also provide steps for performing the functions described in each block of the block diagram and in each step of the flowchart.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.In addition, each block or step may represent a portion of a module, segment or code that includes one or more executable instructions for executing a specified logical function (s). It should also be noted that in some alternative embodiments, the functions noted in the blocks or steps may occur out of order. For example, the two blocks or steps shown in succession may in fact be executed substantially concurrently or the blocks or steps may sometimes be performed in the reverse order, depending on the functionality involved.
본 발명의 실시예는, 악성코드 진단 및 치료 기능을 포함하는 사용자 장치를 컴퓨팅 장치와 유무선 방식(USB 인터페이스, 블루투스, 무선랜 등)으로 연동하여 사용자 제어하에 실시간 감시를 통한 악성 코드의 감지 및 치료를 수행하는 것이다.In an embodiment of the present invention, the user device including the malware diagnosis and treatment function is linked with a computing device in a wired / wireless manner (USB interface, Bluetooth, WLAN, etc.) to detect and treat malicious code through real-time monitoring under user control. To do.
한편, 본 발명의 실시예에서는 바이러스, 스파이웨어 및 유해 프로그램 등과 같이 컴퓨팅 장치의 정상적인 동작을 저해시키는 요소, 활동 등을 통칭하여 악성 코드 또는 악성 요소로 정의하도록 한다.Meanwhile, in the exemplary embodiment of the present invention, elements, activities, and the like, which hinder normal operation of the computing device, such as viruses, spyware, and harmful programs, are collectively defined as malicious code or malicious elements.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 실시예에 따른 악성 코드 진단 시스템의 구조를 간략히 도시한 구성도이다.1 is a configuration diagram briefly showing the structure of a malicious code diagnosis system according to an embodiment of the present invention.
도 1을 참조하면, 악성 코드 진단 시스템은 사용자 장치(100)와, 상기 사용자 장치(100)와 연동되는 컴퓨팅 장치(150) 등을 포함할 수 있다. 여기서 사용자 장치(100)는 알림 장치(110)와 저장 및 제어 장치(120) 등을 포함할 수 있다.Referring to FIG. 1, the malicious code diagnosis system may include a user device 100, a computing device 150, and the like interoperating with the user device 100. In this case, the user device 100 may include a notification device 110 and a storage and control device 120.
구체적으로 사용자 장치(100)는 컴퓨팅 장치(150)에 연결되어 연동한 후, 컴퓨팅 장치(150) 내 악성 코드를 진단할 수 있으며, USB 허브를 통해 외부 USB 장치가 삽입된 경우에는 외부 USB 장치에 대한 악성 코드의 진단 및 치료를 수행할 수 있다.In more detail, after the user device 100 is connected to the computing device 150 and interlocked with each other, the user device 100 may diagnose malicious code in the computing device 150, and when the external USB device is inserted through the USB hub, the user device 100 may be connected to the external USB device. Diagnosis and treatment of malicious code can be performed.
사용자 장치(100) 내 알림 장치(110)는 디스플레이부(이하 LED(Light Emitting Diode)라 한다)(102), 버튼부(104), 스피커(106) 및 소켓(108) 등을 포함할 수 있다. LED(102)와 스피커(106)는 사용자 장치(100)의 동작 상태를 나타낼 수 있으며, 접속된 컴퓨팅 장치(150) 또는 외부 USB 장치의 안전 여부를 표시할 수 있다.The notification device 110 in the user device 100 may include a display unit (hereinafter referred to as a light emitting diode (LED)) 102, a button unit 104, a speaker 106, a socket 108, and the like. . The LED 102 and the speaker 106 may indicate an operating state of the user device 100 and may indicate whether the connected computing device 150 or the external USB device is safe.
예를 들어, 진단 대기중인 경우에는 LED(102)에서 파란색을 점등하고 스피커(106) 소리는 무음이며, 동작 중인 경우에는 LED(102)에서 파란색을 점멸하고, 스피커(106)는 동작 중임을 나타내는 소리 또는 음성을 출력할 수 있다. 그리고 악성 코드 감지와 같은 위험 상황인 경우에는 빨간색을 점멸하고, 위험함을 알리는 소리 또는 음성을 출력하며, 현재 상태가 안전한 상태인 경우에는 녹색을 점등하고, 소리는 무음이 될 수 있다. 또한, 오류 및 백신 프로그램 사용 기한 등을 나타내는 경우에는 주황색을 점멸하고, 소리를 무음이 될 수 있다.For example, the LED 102 lights blue when the diagnostic is waiting, and the sound of the speaker 106 is silent. When operating, the LED 102 blinks blue, indicating that the speaker 106 is operating. Sound or voice can be output. In the case of a dangerous situation such as malware detection, the red blinking, a sound or voice indicating a danger is output. When the current state is a safe state, the green light is turned on, and the sound may be silent. In addition, when the error and the expiration date of the vaccine program, etc. are displayed, the orange may flash and the sound may be silenced.
버튼부(104)의 경우에는 터치 입력 방식 또는 키패드형 압력 감지 방식 등을 통해 사용자로부터 명령을 입력 받을 수 있으며, 한번 클릭의 경우에는 컴퓨팅 장치(150)의 안전 여부를 확인할 수 있는 수동 검사모드를 수행하고, 악성 요소 발견 시 클릭을 통해 이를 치료할 수 있다. 그리고 두번 클릭 또는 기 설정된 시간 이상의 긴 버튼 클릭의 경우에는 컴퓨팅 장치(150)의 정밀 진단을 수행할 수도 있다.The button unit 104 may receive a command from a user through a touch input method or a keypad type pressure sensing method, and in the case of a single click, a manual test mode for confirming the safety of the computing device 150 may be performed. Can be cured with a click when a malicious element is found. In the case of a double click or a long button click for a predetermined time or more, the precision diagnosis of the computing device 150 may be performed.
이러한 알림 장치(110)는 소켓(108)을 통해 저장 및 제어 장치(120)와 결합할 수 있다. 저장 및 제어 장치(120)는 알림 장치(110)와 결합되어 컴퓨팅 장치(150) 및 외부 USB 장치에 대한 악성 요소의 진단 및 제어를 위한 데이터 저장 미 제어를 수행하는 것으로서, 운영 제어부(122), 플래쉬 메모리(124), 장치 제어부(126), USB 허브(130), USB 인터페이스(140) 등을 포함할 수 있다. 여기서, 플래쉬 메모리(124)는 일예로 기재한 것이며, 다른 메모리로도 구현할 수 있다.This notification device 110 may be coupled with the storage and control device 120 through the socket 108. The storage and control device 120 is combined with the notification device 110 to perform data storage non-control for diagnosing and controlling malicious elements of the computing device 150 and the external USB device. The operation control unit 122, The flash memory 124, the device controller 126, the USB hub 130, and the USB interface 140 may be included. Here, the flash memory 124 is described as an example, and may be implemented as other memories.
운영 제어부(122)는 백신 엔진을 포함하고, 리눅스 등과 같은 자체 운영체제 프로그램을 포함할 수 있으므로, USB 인터페이스(140)를 통해 컴퓨팅 장치(150)와 연결된 경우에는 백신 엔진을 구동할 수 있다. 그리고 USB 허브(130)는 외부 USB 장치가 삽입된 경우, 외부 USB 장치에 대한 정보를 운영 제어부(122)로 전달함으로써, 운영 제어부(122)에서는 백신 엔진을 구동하여 해당 외부 USB 장치에 대한 악성 요소를 진단 및 치료할 수 있다.Since the operation controller 122 includes an antivirus engine and may include its own operating system program such as Linux, the operation control unit 122 may drive the antivirus engine when connected to the computing device 150 through the USB interface 140. In addition, when the external USB device is inserted, the USB hub 130 transmits information about the external USB device to the operation control unit 122, and the operation control unit 122 drives a vaccine engine to drive malicious elements of the external USB device. Can be diagnosed and treated.
한편, 사용자 장치(100)가 USB 전원(160)을 통해 전원을 공급받는 경우에는 리눅스를 실행시켜, 리눅스 내 백신 엔진을 통하여 외부 USB 장치의 악성 코드 진단 및 치료를 수행할 수 있다.On the other hand, when the user device 100 is supplied with power through the USB power source 160, Linux can be executed to perform malware diagnosis and treatment of an external USB device through an antivirus engine in Linux.
이에 운영 제어부(122)는 컴퓨팅 장치(150)와의 연결을 통해 실시간 감시 수행, 악성 요소 진단 및 치료 수행, 수동 검사를 통한 컴퓨터 안전 여부 확인 수행, 컴퓨팅 장치(150)의 정밀 진단, 외부 USB 장치의 악성 요소 진단 및 치료, USB 전원(160)을 통한 독립 장치로의 이용 제어 및 시스템 파일의 오진 복구 등의 운영 제어를 수행할 수 있다.Accordingly, the operation control unit 122 performs real-time monitoring, diagnosis and treatment of malicious elements through the connection with the computing device 150, checks whether the computer is safe through manual inspection, precise diagnosis of the computing device 150, and external USB device. Operational control such as diagnosis and treatment of malicious elements, control of use to an independent device through the USB power supply 160, and recovery of a system file may be performed.
플래쉬 메모리(124)는 운영체제(리눅스) 프로그램 및 백신 프로그램을 저장할 수 있으며, 운영 제어부(122)의 제어하에 저장 및 요청된 데이터의 전달을 수행할 수 있다. 또한, 파티션 분할을 통해 숨긴 파티션에는 백신 프로그램 파일 및 시그니처가 저장되고, 검역소 저장 공간으로 사용될 수 있다.The flash memory 124 may store an operating system (Linux) program and an antivirus program, and may transfer the stored and requested data under the control of the operation controller 122. In addition, the partition hidden by partitioning is stored in the antivirus program files and signatures, can be used as a quarantine storage space.
그리고 열린 파티션에는 악성 요소 진단 및 치료를 위해 다양한 방식의 기능 동작을 위한 실행 파일(백신 프로그램 실행, 악성코드 진단, 엔진 업데이트 데이터 등)을 저장할 수 있다.In addition, the open partition can store executable files (such as vaccine program execution, malware diagnosis, engine update data, etc.) for various types of function operations for diagnosing and treating malicious elements.
이러한 플래쉬 메모리(124) 내 저장되는 운영체제 프로그램 및 백신 프로그램을 포함하는 각 데이터들을 암호화되어 저장될 수 있으며, USB 프로토콜을 통해 컴퓨팅 장치(150)와의 데이터 송수신을 수행하는 경우, 암호화하여 송수신을 수행함으로써, 악성코드의 침투를 방지할 수 있다.Each data including an operating system program and an antivirus program stored in the flash memory 124 may be encrypted and stored. When performing data transmission / reception with the computing device 150 through a USB protocol, by encrypting and transmitting It can prevent the penetration of malicious code.
장치 제어부(126)는 운영 제어부(122)의 제어하에 사용자 장치(100) 내의 CPU, 메모리, USB 허브(130) 및 USB 인터페이스(140) 등의 제어를 수행하는 것으로서, 컴퓨팅 장치(150) 및 외부 USB 장치의 연결 여부를 감지할 수 있으며, USB 전원(160) 연결을 통한 전원 공급 여부를 운영 제어부(122)로 전달할 수 있다.The device controller 126 performs the control of the CPU, the memory, the USB hub 130, the USB interface 140, and the like in the user device 100 under the control of the operation controller 122, and the computing device 150 and the external device. The connection of the USB device may be detected, and whether the power is supplied through the USB power supply 160 may be transmitted to the operation controller 122.
USB 인터페이스(140)는 사용자 장치(100)와 컴퓨팅 장치(150)를 결합 시키기 위한 것으로서, 결합 시 컴퓨팅 장치(150)에서는 사용자 장치(100)의 제어를 위한 드라이버를 설치할 수 있으며, 사용자 장치(100)에서는 자동 실행을 통해 구동을 위한 최초 설치 파일을 컴퓨팅 장치(150)에 설치한 후, 실시간 감시 모드를 구동시키게 된다.The USB interface 140 is for coupling the user device 100 and the computing device 150. When the USB interface 140 is coupled, a driver for controlling the user device 100 may be installed in the computing device 150, and the user device 100 may be installed. ) Installs the first installation file for driving through the automatic execution in the computing device 150, and drives the real-time monitoring mode.
한편, 도 1에서는 사용자 장치(100)와 컴퓨팅 장치(150) 간에 USB 인터페이스(140)를 통한 연결을 수행하고 있으나, 구현 방식에 따라 각각의 블루투스 모듈을 이용하여 연결하거나, 무선랜 방식으로 연결을 수행할 수도 있다.Meanwhile, in FIG. 1, the user device 100 and the computing device 150 are connected through the USB interface 140. However, depending on the implementation method, the connection may be performed using each Bluetooth module, or the wireless LAN method may be used. It can also be done.
도 2는 본 발명의 실시예에 따른 사용자 장치의 형태를 도시한 도면이다.2 is a diagram illustrating a form of a user device according to an exemplary embodiment of the present invention.
도 2를 참조하면, 악성 코드 콘트롤러로서 사용자 장치(100)는 USB(128) 방식으로 컴퓨팅 장치에 연결될 수 있으며, 컴퓨팅 장치 내의 악성 코드 감지, 치료, 업데이트 시 마다 LED(102)와, 스피커 등을 통해 사용자에게 이를 알릴 수 있다.Referring to FIG. 2, the user device 100 as a malicious code controller may be connected to the computing device through a USB 128 method, and the LED 102 and the speaker may be used whenever the malware is detected, treated, or updated in the computing device. This can be informed to the user.
예를 들어, 기본적으로 컴퓨팅 장치(150)에 연동된 상태에서는 LED(102)에 대기 상태인 파란색이 점등된 상태이고, 악성 코드가 감지된 경우에는 LED(102)가 빨간색을 점멸시킬 수 있으며, 스피커를 통해 해당 정보를 음성 또는 알람으로 출력할 수 있다. 이와 같은 방식으로 악성 코드를 치료하는 경우에는 LED(102)가 파란색으로 점멸 동작을 반복한 후, 치료를 완료한 경우에는 다시 파란색이 점등된 상태로 복귀할 수 있다.For example, in the state interlocked with the computing device 150, the blue state of the standby state of the LED 102 is turned on, and if the malicious code is detected, the LED 102 may blink red. The speaker can output the information as a voice or alarm. When the malicious code is treated in this manner, the LED 102 may repeat the flashing operation in blue, and when the treatment is completed, the LED 102 may return to the blue state again.
그리고 악성 코드 진단 프로그램 또는 악성 코드 DB의 자동 업데이트를 수행하는 경우에는 LED(102)가 파란색 등의 점멸 동작을 반복하고, 각 동작에 따른 스피커 출력을 수행할 수 있다.When the malicious code diagnosis program or the malicious code DB is automatically updated, the LED 102 may repeat a flashing operation such as blue and perform speaker output according to each operation.
이때, 사용자가 버튼부(104)의 버튼을 누르는 경우에는 수동 검사를 수행하거나, 진단된 악성 코드에 대한 치료를 수행할 수 있다. 이때 버튼을 짧게 또는 기 설정된 시간 동안 길게 버튼을 클릭함에 따라 각기 다른 기능을 수행할 수 있다.In this case, when the user presses the button of the button unit 104, a manual test may be performed, or a treatment for the diagnosed malicious code may be performed. In this case, different functions can be performed by short-clicking or long-clicking the button for a predetermined time.
또한, USB 허브(130)를 통해 외부 USB 장치에 대한 악성 코드 진단을 컴퓨팅 장치(150)와의 연동 없이 수행할 수 있다. 즉, 컴퓨팅 장치(150)와 연동된 상태 또는 별도의 전원 공급을 받는 상태에서 삽입된 외부 USB 장치의 악성 코드 진단을 수행할 수 있으므로, 사용자는 손쉽게 악성 코드 진단 및 치료 상태를 확인할 수 있으며, 간단한 제어 방식으로 외부 USB 장치에 대한 악성 코드의 치료를 수행할 수 있다.In addition, the malicious code diagnosis of the external USB device may be performed through the USB hub 130 without interworking with the computing device 150. That is, since the malicious code diagnosis of the inserted external USB device can be performed while interworking with the computing device 150 or receiving a separate power supply, the user can easily check the state of malware diagnosis and treatment. The control method can perform malicious code treatment on external USB devices.
한편, 도 2에서는 사용자 장치(100)를 도시하고 있으나, 도시된 모양에 한정되는 것은 아니며, 컴퓨팅 장치(150)와 연동하여 컴퓨팅 장치(150)의 시스템 리소스를 점유시키지 않으면서도 악성 요소의 진단 및 치료를 수행할 수 있는 장치이면, 본 발명에 적용 가능함은 물론이다. 즉, 스마트폰에 암호화된 영역에 AV 엔진 어플을 설치하여 USB 인터페이싱, 블루투스, 무선랜 등으로 컴퓨팅 장치(150)와 연동시킨 후, 진단 및 치료를 수행할 수도 있다.Meanwhile, although FIG. 2 illustrates a user device 100, the present invention is not limited to the illustrated form, and the diagnosis and diagnosis of malicious elements may be performed without occupying system resources of the computing device 150 in conjunction with the computing device 150. As long as the device can perform the treatment, it is of course applicable to the present invention. That is, the AV engine application may be installed in the encrypted region of the smart phone, interlocked with the computing device 150 through USB interfacing, Bluetooth, WLAN, and the like, to perform diagnosis and treatment.
도 3은 본 발명의 실시예에 따른 컴퓨팅 장치의 구조를 도시한 블록도이다.3 is a block diagram illustrating a structure of a computing device according to an embodiment of the present invention.
도 3을 참조하면, 컴퓨팅 장치(150)는 검사 프로세스(300), 하드웨어 알림 드라이버(310), 중앙처리장치(CPU)(320), 메모리(330), 파일 필터 드라이버(340), 하드디스크, 플래쉬 메모리(350), 네트워크 필터 드라이버(360) 및 네트워크 모듈(370) 등을 포함할 수 있다.Referring to FIG. 3, the computing device 150 may include a scanning process 300, a hardware notification driver 310, a central processing unit (CPU) 320, a memory 330, a file filter driver 340, a hard disk, The flash memory 350, the network filter driver 360, the network module 370, and the like may be included.
구체적으로 하드웨어 알림 드라이버(310)는 사용자 장치(100)가 USB(128) 인터페이스를 통해 컴퓨팅 장치(150)에 삽입되는 경우, 해당 하드웨어 정보를 확인한 후 이에 대한 드라이버를 설치할 수 있다. 그리고 사용자 장치(100) 내 백신 프로그램이 자동실행 방식으로 실행됨에 따라 검사 프로세스(300)는 CPU(320)와 메모리(330)로부터 시스템 리소스를 할당 받아 사용자 장치(100)의 백신 프로그램이 사용하도록 관리할 수 있다.In more detail, when the user device 100 is inserted into the computing device 150 through the USB 128 interface, the hardware notification driver 310 may check the corresponding hardware information and install a driver therefor. As the vaccine program in the user device 100 is automatically executed, the scanning process 300 may allocate system resources from the CPU 320 and the memory 330 to be used by the vaccine program of the user device 100. can do.
즉, 사용자 장치(100)에서 실행되는 백신 프로그램에 대한 연동 파일은 컴퓨팅 장치(150)의 하드디스크 상에 대략 10MB 내외로 설치될 수 있다. 이는 종래 컴퓨팅 장치(150)에 설치되었던 백신 프로그램의 크기(대략 500MB~2GB)와 비교하여 현저한 차이를 나타내므로, 사용자 장치(100)에서 실행되는 백신 프로그램의 시스템 리소스 점유율 또한 종래보다 감소시킬 수 있다.That is, the companion file for the antivirus program executed in the user device 100 may be installed on the hard disk of the computing device 150 to about 10 MB. This represents a remarkable difference compared to the size of the antivirus program (approximately 500MB to 2GB) installed in the conventional computing device 150, so that the system resource occupancy of the antivirus program executed in the user device 100 may also be reduced. .
이에 사용자 장치(100)에서 실행된 백신 프로그램은 검사 프로세스(300)를 통해 파일 필터 드라이버(340)로 제어하는 하드디스크, 플래쉬 메모리(350)에 대한 악성코드 진단 및 치료를 수행할 수 있다.Accordingly, the vaccine program executed in the user device 100 may perform malware diagnosis and treatment for the hard disk and the flash memory 350 controlled by the file filter driver 340 through the scanning process 300.
도 4는 본 발명의 실시예에 따라 사용자 장치와 컴퓨팅 장치의 연동 절차를 도시한 흐름도이다.4 is a flowchart illustrating an interworking procedure between a user device and a computing device according to an embodiment of the present invention.
도 4를 참조하면, 400단계에서 사용자 장치(100)의 USB 인터페이스(140)를 통해 컴퓨팅 장치(150)와 연결된 경우에는 402단계에서 컴퓨팅 장치(150)가 사용자 장치(100)를 제어하기 위한 드라이버를 설치하게 된다.Referring to FIG. 4, when it is connected to the computing device 150 through the USB interface 140 of the user device 100 in step 400, the driver for the computing device 150 to control the user device 100 in step 402. Will install
이후, 사용자 장치(100)에서는 운영 제어부(122)를 통해 자동 실행 파일을 실행시켜, 404단계에서 실시간 감시 파일인 최초 설치 파일을 컴퓨팅 장치(150)에 설치하게 된다.In operation 404, the user device 100 executes an auto-execution file through the operation control unit 122, and installs an initial installation file, which is a real-time monitoring file, in the computing device 150.
이에 406단계에서 컴퓨팅 장치(150)에 파일 설치가 완료된 경우에는 408단계로 진행하여 컴퓨팅 장치(150)에 대한 실시간 악성 요소 감시를 수행하게 된다.When the file installation is completed in the computing device 150 in step 406, the process proceeds to step 408 to perform real-time malicious element monitoring of the computing device 150.
도 5는 본 발명의 실시예에 따라 컴퓨팅 장치의 실시간 감시 중 악성 요소 진단 및 치료 절차를 도시한 흐름도이다.5 is a flowchart illustrating a procedure for diagnosing and treating malignant elements during real-time monitoring of a computing device according to an embodiment of the present invention.
도 5를 참조하면, 500단계에서 사용자 장치(100)의 운영 제어부(122)에서는 실시간 감시를 수행하며, 이때, 502단계에서 악성 요소의 감지 여부를 판단하게 된다. 실시간 검사 시 악성 요소가 감지되지 않은 경우에는 512단계로 진행하여 알림 장치(110)를 통해 안전 표시(예컨대, LED(102) 녹색등 점등 및 스피커(106)로 기 설정된 안전한 상태임을 나타내는 소리 또는 음성 출력 등)를 수행하게 된다.Referring to FIG. 5, in operation 500, the operation controller 122 of the user device 100 performs real-time monitoring, and in step 502, it is determined whether a malicious element is detected. If no malicious element is detected during the real-time scan, the process proceeds to step 512, and the sound or voice indicates that the safety indicator (for example, the green light of the LED 102 is turned on and the speaker 106 is set to a safe state through the notification device 110). Output, etc.).
그러나 502단계에서 실시간 검사 시 악성 요소가 감지된 경우에는 504단계에서 알림 장치(110)로 위험을 표시(예컨대, 빨간색 점멸 및 위험 알림 소리 출력 등)를 수행하게 된다.However, when a malicious element is detected during the real-time scan in step 502, the alarm device 110 displays a danger (for example, flashing red and a danger alert sound output) in step 504.
이후, 506단계에서 감지된 악성 요소는 플래쉬 메모리(124)의 기 설정된 공간 내 검역소에 저장하여 백업한 후, 508단계에서 악성 요소에 대한 치료 및 복구를 수행하게 된다. 이후, 치료 및 복구 결과 정보를 컴퓨팅 장치(150)로 전달하여 510단계에서 컴퓨팅 장치(150)의 디스플레이 장치를 통해 치료 및 복구 내용을 표시하게 되며, 512단계에서는 알림 장치(110)를 통해 안전 표시를 수행하게 된다.Thereafter, the malicious element detected in step 506 is stored and backed up in a quarantine within a predetermined space of the flash memory 124, and then, in step 508, the malicious element is treated and repaired. Thereafter, the treatment and recovery result information is transmitted to the computing device 150 to display the treatment and recovery contents through the display device of the computing device 150 in step 510, and the safety display through the notification device 110 in step 512. Will be performed.
도 6은 본 발명의 실시예에 따라 사용자 장치의 버튼을 이용한 컴퓨팅 장치의 안전 여부 확인 및 정밀 진단 절차를 도시한 흐름도이다.6 is a flowchart illustrating a safety check and a precision diagnosis procedure of a computing device using a button of a user device according to an exemplary embodiment of the present invention.
도 6을 참조하면, 600단계에서 사용자 장치(100)가 컴퓨팅 장치(150)와 연결되어 실시간 감시 상태 또는 대기 중인 상태에서 사용자가 사용자 장치 (100)의 버튼부(104)를 짧게 누른 경우에는, 금융거래 전과 같이 컴퓨팅 장치(150)의 안전 여부를 확인하기 위한 것으로서, 602단계로 진행하여 알림 장치(110)를 검사중으로 표시하게 된다.Referring to FIG. 6, when the user device 100 is connected to the computing device 150 in step 600 and the user briefly presses the button unit 104 of the user device 100 in a real time monitoring state or a waiting state, As before the financial transaction, it is to check whether the computing device 150 is safe. In step 602, the notification device 110 is displayed as being checked.
이에 604단계에서 사용자 장치(100)는 기 설정된 중요 파일들에 대한 검사, 프로세스 목록 및 해당 프로그램들에 대한 검사를 수행하게 된다. 이를 통해 606단계에서 악성 요소가 발견된 경우에는 608단계로 진행하여 발견된 악성 요소의 치료를 수행하고, 해당 악성 요소가 프로세스인 경우에는 해당 프로세스를 강제로 종료 시키게 된다.In step 604, the user device 100 performs a check on a predetermined important file, a process list, and a check on corresponding programs. If the malicious element is found in step 606, the process proceeds to step 608 to perform the treatment of the found malicious element, and if the malicious element is a process, the process is forcibly terminated.
이후, 진단된 파일에 대해서는 610단계에서 사용자 장치(100) 내 검역소에 저장시키고, 612단계에서는 컴퓨팅 장치(150)에 대한 악성 요소 진단 및 치료를 완료하였으므로, 알림 장치(110)로 안전함을 표시하게 된다.Thereafter, the diagnosed file is stored in the quarantine in the user device 100 in step 610, and in step 612, the malicious element diagnosis and treatment for the computing device 150 is completed. do.
그리고 606단계에서 악성 요소가 발견되지 않은 경우에는 612단계로 진행하여 알림 장치(110)로 안전함을 표시하게 된다.If no malicious element is found in step 606, the process proceeds to step 612 to indicate that the notification device 110 is safe.
한편, 600단계에서 사용자가 대기중인 사용자 장치(100)의 버튼부(104)를 기 설정된 시간 이상으로 길게 누르거나, 두번 누른 경우에는 614단계로 진행하게 된다. 사용자가 버튼부(104)를 길게 누르거나, 두번 누른 경우에는 컴퓨팅 장치(150)에 대한 정밀 검사 수행을 요청하는 것으로 판단하게 된다.In operation 600, when the user presses the button unit 104 of the waiting user device 100 for more than a preset time or presses twice, the process proceeds to step 614. When the user presses the button 104 for a long time or presses twice, it is determined that the user requests to perform a detailed inspection of the computing device 150.
즉, 사용자는 컴퓨팅 장치(150)의 안전 여부 확인을 위해 기 설정된 정밀 검사, 예컨대, 설치 패키지 검사, 압축 파일 검사, 디스크 부트 영역 검사, 실행중이거나 서비스중인 프로그램의 검사, 자동 시작 프로그램 검사, Host 파일 검사 등을 수행함으로써, 보다 확실하게 컴퓨팅 장치(150)의 안전을 보장 받게 된다.In other words, the user may perform a preset inspection for checking whether the computing device 150 is safe, for example, an installation package scan, a compressed file scan, a disk boot area scan, a scan of a running or service program, an automatic startup program scan, a host By performing a file check or the like, the safety of the computing device 150 can be guaranteed more reliably.
이에 616단계에서는 알림 장치(110)를 검사중으로 표시하고, 618단계에서는 기 설정된 정밀 진단 영역에 대한 검사를 수행하고, 이후 606단계로 진행하여 악성 요소의 발견 여부를 판단하게 된다.In step 616, the notification device 110 is displayed as being inspected, and in step 618, the preset precision diagnosis area is inspected, and in step 606, it is determined whether a malicious element is found.
이를 통해 606단계에서 악성 요소가 발견된 경우에는 608단계로 진행하여 발견된 악성 요소의 치료를 수행하고, 해당 악성 요소가 프로세스인 경우에는 해당 프로세스를 강제로 종료 시키게 된다.If the malicious element is found in step 606, the process proceeds to step 608 to perform the treatment of the found malicious element, and if the malicious element is a process, the process is forcibly terminated.
이후, 진단된 파일에 대해서는 610단계에서 사용자 장치(100) 내 검역소에 저장시키고, 612단계에서는 컴퓨팅 장치(150)에 대한 악성 요소 진단 및 치료를 완료하였으므로, 알림 장치(110)로 안전함을 표시하게 된다. 그러나 606단계에서 악성 요소가 발견되지 않은 경우에는 612단계로 진행하여 알림 장치(110)로 안전함을 표시하게 된다.Thereafter, the diagnosed file is stored in the quarantine in the user device 100 in step 610, and in step 612, the malicious element diagnosis and treatment for the computing device 150 is completed. do. However, if no malicious element is found in step 606, the process proceeds to step 612 to indicate safety to the notification device 110.
한편, 608단계 내지 612단계는 구현 방식에 따라 순서는 변동될 수 있다. 즉, 606단계에서 악성 요소가 발견된 경우, 먼저 알림 장치(110)를 통해 위험 상황임을 표시하고, 610단계에서 진단된 악성 요소 파일을 검역소에 저장시킨 후, 608단계의 악성 요소 치료를 수행한 후, 612단계로 진행할 수도 있다.Meanwhile, in steps 608 to 612, the order may vary depending on the implementation manner. In other words, if a malicious element is found in step 606, first, the notification device 110 indicates a dangerous situation, the malicious element file diagnosed in step 610 is quarantined, and then the malicious element treatment in step 608 is performed. Thereafter, the process may proceed to step 612.
도 7은 본 발명의 실시예에 따라 사용자 장치의 USB 허브를 이용한 외부 USB 장치의 악성 요소 진단 및 치료 절차를 도시한 흐름도이다.7 is a flowchart illustrating a malicious element diagnosis and treatment procedure of an external USB device using a USB hub of a user device according to an embodiment of the present invention.
도 7을 참조하면, 700단계에서 사용자 장치(100)가 컴퓨팅 장치(150)와 연결되어 실시간 감시 상태 또는 대기 중인 상태에서 USB 허브(130)에 외부 USB 장치가 삽입된 경우에는 702단계로 진행하여 알림 장치(110)로 악성요소 검사중임을 표시하게 된다.Referring to FIG. 7, when the user device 100 is connected to the computing device 150 in step 700 and an external USB device is inserted into the USB hub 130 in a real-time monitoring state or waiting state, the process proceeds to step 702. The notification device 110 indicates that the malicious element is being inspected.
그리고 704단계에서는 삽입된 외부 USB 장치의 저장 공간 내 모든 디렉토리를 검사하게 된다. 이에 706단계에서는 악성 요소의 발견 여부를 판단하여 악성 요소가 발견되지 않은 경우에는 708단계로 진행하여 알림 장치(110)로 안전함을 표시하고, 710단계에서는 외부 USB 장치의 접근을 허용하여 외부 USB 장치의 정보를 컴퓨팅 장치(150)로 전달하게 된다.In operation 704, all directories in the storage space of the inserted external USB device are examined. In step 706, if the malicious element is found and the malicious element is not detected, the controller proceeds to step 708 to indicate that the notification device 110 is safe. Information is transferred to the computing device 150.
이를 통해 712단계에서는 컴퓨팅 장치(150)에서 외부 USB 장치를 USB 메모리 장치로 인식하게 된다.Through this, in step 712, the computing device 150 recognizes the external USB device as a USB memory device.
한편, 706단계에서 검사 결과 악성 요소가 발견된 경우에는 714단계로 진행하여 알림 장치(110)로 위험 상태임을 표시하고, 716단계에서는 악성 요소에 대한 치료를 수행하게 된다. 그리고 진단된 파일에 대해서는 오진 방지를 위해 검역소에 저장시키고, 720단계에서는 치료된 내용을 컴퓨팅 장치(150)로 전달하여 디스플레이부를 통해 화면 상에 제공되도록 한다.On the other hand, if the malicious element is found as a result of the test in step 706, the process proceeds to step 714 to indicate the dangerous state to the notification device 110, and in step 716 to perform treatment for the malicious element. The diagnosed file is stored in a quarantine to prevent misdiagnosis, and in step 720, the treated contents are transferred to the computing device 150 to be provided on the screen through the display unit.
이에 722단계에서는 외부 USB 장치에 대한 치료가 완료된 상태이므로, 알림 장치(110)를 안전한 상태로 표시하게 된다. 또한, 722단계 이후에도 710단계 및 712단계에서와 같이 사용자 장치(100)에서는 외부 USB 장치의 접근을 허용하여 외부 USB 장치의 정보를 컴퓨팅 장치(150)로 전달하고, 컴퓨팅 장치(150)에서 외부 USB 장치를 USB 메모리 장치로 인식하게 된다.In step 722, since the treatment for the external USB device is completed, the notification device 110 is displayed in a safe state. In addition, after step 722, as in steps 710 and 712, the user device 100 allows access of an external USB device to transfer information of the external USB device to the computing device 150, and the computing device 150 receives the external USB device. The device will be recognized as a USB memory device.
도 8은 본 발명의 실시예에 따라 사용자 단말기의 USB 허브를 이용한 외부 USB 장치의 악성 요소 진단 및 치료 절차를 도시한 흐름도이다.8 is a flowchart illustrating a malicious component diagnosis and treatment procedure of an external USB device using a USB hub of a user terminal according to an embodiment of the present invention.
도 8을 참조하면, 도 7과 달리 사용자 장치(100)를 컴퓨팅 장치(150)와 연결하지 않은 상태로서 800단계에서 사용자 장치(100)를 USB 인터페이스(140)와 연결된 USB 전원(160)으로 전원 공급을 받게 된다.Referring to FIG. 8, unlike FIG. 7, the user device 100 is not connected to the computing device 150, and the user device 100 is powered by the USB power 160 connected to the USB interface 140 in step 800. You will receive a supply.
이에 컴퓨팅 장치(150)와 연결 없이 USB 전원(160)으로 전원 공급을 받는 사용자 장치(100)의 운영 제어부(122)에서는 802단계에서 기 설정된 자체 운영체제 프로그램, 예컨대, 리눅스를 구동시키게 된다.In operation 802, the operation control unit 122 of the user device 100, which is powered by the USB power supply 160 without being connected to the computing device 150, may drive its own operating system program, for example, Linux.
그리고 리눅스 구동이 완료된 경우에는 804단계에서 알림 장치(110)로 악성요소 진단 대기중임을 표시하게 된다. 이후, 806단계에서 USB 허브(130)에 외부 USB 장치가 삽입된 경우에는 808단계로 진행하여 알림 장치(110)로 검사중임을 표시하게 된다.In addition, when Linux is completed, the notification device 110 indicates that the malicious element is waiting for diagnosis in step 804. In step 806, when the external USB device is inserted into the USB hub 130, the control proceeds to step 808 to indicate that the notification device 110 is being inspected.
그리고 810단계에서는 리눅스 AV 엔진을 통해 삽입된 외부 USB 장치의 저장 공간 내 모든 디렉토리를 검사하게 된다. 이러한 검사를 통해 812단계에서는 악성 요소의 발견 여부를 판단하여 악성 요소가 발견되지 않은 경우에는 820단계로 진행하여 알림 장치(110)로 안전함을 표시하게 된다.In step 810, all directories in the storage space of the external USB device inserted through the Linux AV engine are examined. In step 812, through the inspection, it is determined whether a malicious element is found, and when no malicious element is found, the process proceeds to step 820 to indicate that the notification device 110 is safe.
그러나, 812단계에서 검사 결과 악성 요소가 발견된 경우에는 814단계로 진행하여 알림 장치(110)로 위험 상태임을 표시하고, 816단계에서는 악성 요소에 대한 치료를 수행하게 된다. 그리고 818단계에서는 치료 내용 정보를 알림 장치(110)를 통해 표시하게 된다. 820단계에서는 치료 내용 표시 이후, 현재 안전한 상태임을 표시하게 된다.However, if a malicious element is found as a result of the test in step 812, the process proceeds to step 814 to indicate that the alarm device 110 is in a dangerous state, and in step 816, treatment for the malicious element is performed. In operation 818, the treatment content information is displayed through the notification device 110. In step 820, after the treatment content is displayed, it indicates that the current state of safety.
도 9는 본 발명의 실시예에 따른 시스템 파일 오진에 따른 복구 절차를 도시한 흐름도이다.9 is a flowchart illustrating a recovery procedure according to a system file error according to an embodiment of the present invention.
도 9를 참조하면, 사용자 장치(100)가 컴퓨팅 장치(150)와 연결되어 악성 요소의 치료를 수행한 경우로서, 시스템 파일에 대한 오진으로 삭제를 수행한 경우에는 컴퓨팅 장치(150)의 운영체제 프로그램에 에러가 발생하여 부팅이 안될 수 있다.Referring to FIG. 9, when the user device 100 is connected to the computing device 150 to perform a treatment for a malicious element, and when deleting is performed as a misdiagnosis of a system file, an operating system program of the computing device 150 may be used. An error may occur that prevents booting.
이에 컴퓨팅 장치(150)에서는 900단계에서 USB 장치로의 부팅을 설정하고, 902단계에서 사용자 장치(100)는 자체 운영체제 프로그램인 리눅스로 부팅을 수행하게 된다. 이후, 운영 제어부(122)에서는 904단계에서 기 진단된 파일들이 저장된 검역소에서 해당 파일들의 내용을 확인하게 된다.In operation 900, the computing device 150 sets a boot to the USB device, and in step 902, the user device 100 boots to its own operating system program, Linux. In operation 904, the operation controller 122 checks the contents of the corresponding files in the quarantine where the files previously diagnosed are stored.
즉, 악성 요소의 진단 및 치료 이후, 재부팅 시 오류가 발생한 경우에는 해당 진단 및 치료가 시스템 파일에 대한 오진으로 잘못 치료된 경우이므로, 검역소에 저장된 파일들을 확인한 후, 906 단계에서 시스템 파일에 대한 복구(예컨대, 삭제된 파일의 복원, 악성요소로 백업된 시스템 파일의 파일명을 원본 시스템 파일명으로 변경 등)를 수행하게 된다. In other words, if an error occurs during reboot after diagnosis and treatment of malicious elements, the diagnosis and treatment is incorrectly treated as a misdiagnosis of the system file. Therefore, after checking the files stored in the quarantine, the system file is recovered in step 906. (Eg, restoring deleted files, changing file names of system files backed up with malicious elements to original system file names, etc.).
이에 908단계에서 복구가 완료된 경우에는 910단계로 진행하여 복구된 파일을 컴퓨팅 장치(150)로 전달하여 시스템 폴더에 복원시키거나, 오류 파일을 복구된 파일로 교체를 수행하게 된다. 이후, 912단계에서는 컴퓨팅 장치(150)의 재부팅을 수행하여 부팅 오류를 방지하게 된다.When the recovery is completed in step 908, the process proceeds to step 910, the recovered file is transferred to the computing device 150 to be restored to the system folder, or the error file is replaced with the recovered file. In operation 912, a boot error is prevented by rebooting the computing device 150.
이상 설명한 바와 같이, 본 발명의 실시예에 따른 사용자 장치 및 이를 이용한 악성 코드 진단 방법은, 악성코드 진단 및 치료 기능을 포함하는 사용자 장치를 컴퓨팅 장치와 유무선 방식(USB 인터페이스, 블루투스, 무선랜 등)으로 연동하여 사용자 제어하에 실시간 감시를 통한 악성 코드의 감지 및 치료를 수행한다.As described above, a user device and a method for diagnosing malicious code using the same according to an embodiment of the present invention may include a user device including a malicious code diagnosis and treatment function and a wired / wireless method with a computing device (USB interface, Bluetooth, WLAN, etc.). It works by detecting and treating malicious code through real-time monitoring under user control.
한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술되는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.Meanwhile, in the detailed description of the present invention, specific embodiments have been described, but various modifications are possible without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be defined not only by the claims below, but also by those equivalent to the claims.

Claims (20)

  1. 컴퓨팅 장치와 연결한 후, 기 저장된 자동 실행 파일에 대응하는 악성 코드 진단 프로그램을 구동하는 저장 및 제어 장치와,A storage and control device that connects to the computing device and drives a malware diagnostic program corresponding to a pre-stored autorun file;
    상기 악성 코드 진단 프로그램의 관련 동작에 따라 색상 및 글자를 표시하거나, 음성 및 소리를 출력하는 알림 장치Notification device for displaying color and text or outputting voice and sound according to the related operation of the malware diagnosis program
    를 포함하는 악성 코드 진단 사용자 장치.Malware diagnostic user device comprising a.
  2. 제 1항에 있어서,The method of claim 1,
    상기 저장 및 제어 장치는,The storage and control device,
    상기 악성 코드 진단 프로그램을 구동하여 상기 컴퓨팅 장치 내 악성 코드의 진단 및 치료를 수행하는 운영 제어부와,An operation controller configured to run the malicious code diagnosis program to perform diagnosis and treatment of malicious code in the computing device;
    상기 악성 코드 진단을 위한 상기 악성 코드 진단 프로그램 데이터 및 시그니쳐 파일을 저장하는 메모리Memory for storing the malicious code diagnostic program data and signature file for diagnosing the malicious code
    를 포함하는 악성 코드 진단 사용자 장치.Malware diagnostic user device comprising a.
  3. 제 1항에 있어서,The method of claim 1,
    상기 알림 장치는,The notification device,
    상기 저장 및 제어 장치의 제어하에 상기 악성 코드 진단 프로그램의 구동, 악성 코드 검사, 발견, 치료 시 다른 색상을 점등 또는 점멸시키거나 설정된 글자를 출력하는 디스플레이부와,A display unit which lights or flashes a different color or outputs a set character when the malware diagnosis program is driven, malware inspection, discovery and treatment under the control of the storage and control device;
    상기 악성 코드 검사, 발견, 치료 시 기 설정된 소리 또는 음성을 출력하는 스피커Speaker that outputs a preset sound or voice when the malicious code is scanned, found, or cured
    를 포함하는 악성 코드 진단 사용자 장치.Malware diagnostic user device comprising a.
  4. 제 1항에 있어서,The method of claim 1,
    상기 알림 장치는,The notification device,
    한번 클릭, 두번 클릭 또는 길게 클릭을 통해 각기 다르게 입력된 사용자 명령을 토대로 기 설정된 상기 저장 제어 장치를 제어하는 버튼부Button unit for controlling the preset storage control device based on user commands input differently through single click, double click or long click
    를 포함하는 악성 코드 진단 사용자 장치.Malware diagnostic user device comprising a.
  5. 제 2항에 있어서,The method of claim 2,
    상기 저장 및 제어 장치는,The storage and control device,
    외부 USB 저장 장치와 접속하는 USB 허브와,USB hub to connect with external USB storage device,
    상기 외부 USB 저장 장치 내 디렉토리 별 악성 코드 진단 및 치료를 수행하는 운영 제어부Operation control unit for performing the diagnosis and treatment of malware per directory in the external USB storage device
    를 포함하는 악성 코드 진단 사용자 장치.Malware diagnostic user device comprising a.
  6. 제 5항에 있어서,The method of claim 5,
    상기 운영 제어부는,The operation control unit,
    상기 외부 USB 저장 장치에 대한 진단이 완료된 경우, 상기 외부 USB 저장 장치의 접근을 허용하고, 상기 컴퓨팅 장치로 상기 외부 USB 저장 장치를 인식시키는 악성 코드 진단 사용자 장치.And, when the diagnosis of the external USB storage device is completed, permits access of the external USB storage device and recognizes the external USB storage device by the computing device.
  7. 사용자 장치가 컴퓨팅 장치와 연결된 경우, 저장 및 제어 장치에 기 저장된 자동 실행 파일에 대응하는 악성 코드 진단 프로그램을 구동하는 과정과,When the user device is connected to the computing device, running a malware diagnosis program corresponding to an auto-executed file previously stored in the storage and control device;
    상기 저장 및 제어 장치의 제어하에 알림 장치에서 상기 악성 코드 진단 프로그램의 관련 동작에 따라 색상 및 글자를 표시하거나, 음성 및 소리를 출력하는 과정Displaying color and text or outputting voice and sound according to a related operation of the malware diagnosis program in a notification device under the control of the storage and control device;
    을 포함하는 악성 코드 진단 방법.Malware diagnostic method comprising a.
  8. 제 7항에 있어서,The method of claim 7, wherein
    상기 악성 코드 진단 프로그램을 구동하는 과정은,The process of driving the malware diagnostic program,
    메모리에 저장된 상기 악성 코드 진단을 위한 상기 악성 코드 진단 프로그램 데이터 및 시그니쳐 파일을 토대로 상기 악성 코드 진단 프로그램을 구동하여 상기 컴퓨팅 장치 내 악성 코드의 진단 및 치료를 수행하는 과정A process of performing the diagnosis and treatment of malicious code in the computing device by running the malicious code diagnostic program based on the malicious code diagnostic program data and signature file for diagnosing the malicious code stored in a memory.
    을 포함하는 악성 코드 진단 방법.Malware diagnostic method comprising a.
  9. 제 7항에 있어서,The method of claim 7, wherein
    상기 악성 코드 진단 프로그램을 구동하는 과정은,The process of driving the malware diagnostic program,
    USB 허브에 외부 USB 저장 장치가 접속된 경우, 상기 외부 USB 저장 장치 내 디렉토리 별 악성 코드 진단 및 치료를 수행하는 과정When an external USB storage device is connected to a USB hub, a process of diagnosing and treating malware for each directory in the external USB storage device
    을 포함하는 악성 코드 진단 방법.Malware diagnostic method comprising a.
  10. 제 9항에 있어서,The method of claim 9,
    상기 외부 USB 저장 장치에 대한 진단이 완료된 경우, 상기 외부 USB 저장 장치의 접근을 허용하고, 상기 컴퓨팅 장치로 상기 외부 USB 저장 장치를 인식시키는 과정When the diagnosis of the external USB storage device is completed, allowing access of the external USB storage device and recognizing the external USB storage device by the computing device.
    을 포함하는 악성 코드 진단 방법.Malware diagnostic method comprising a.
  11. 제 7항에 있어서,The method of claim 7, wherein
    상기 악성 코드 진단 프로그램을 구동하는 과정은,The process of driving the malware diagnostic program,
    상기 컴퓨팅 장치의 드라이버 설치가 완료된 경우, 자동 실행 파일을 실행하여 상기 악성 코드 진단 프로그램 구동을 위한 파일을 상기 컴퓨팅 장치에 설치하는 과정과,When the driver installation of the computing device is completed, executing an auto executable file and installing a file for driving the malware diagnosis program on the computing device;
    상기 설치가 완료된 경우, 악성 코드에 대한 실시간 감시를 수행하는 과정When the installation is completed, the process of performing a real-time monitoring for malicious code
    을 포함하는 악성 코드 진단 방법.Malware diagnostic method comprising a.
  12. 제 11항에 있어서,The method of claim 11,
    상기 실시간 감시를 수행하는 과정은,The process of performing the real-time monitoring,
    악성 코드가 감지된 경우, 상기 알림 장치로 위험 상태임을 표시하는 과정과,If a malicious code is detected, the process of indicating that the notification device dangerous state, and
    감지된 상기 악성 코드를 상기 사용자 장치 내 검역소에 저장하는 과정과,Storing the detected malicious code in a quarantine in the user device;
    상기 악성 코드를 치료하는 과정과,The process of treating the malicious code,
    상기 악성 코드의 치료가 완료된 경우, 상기 알림 장치로 안전한 상태임을 표시하는 과정When the treatment of the malicious code is completed, the process of indicating that the safe state to the notification device
    을 포함하는 악성 코드 진단 방법.Malware diagnostic method comprising a.
  13. 제 11항에 있어서,The method of claim 11,
    상기 악성 코드에 대한 실시간 감시를 수행하는 과정은,The process of performing a real-time monitoring for the malicious code,
    상기 실시간 감시 상태에서 사용자 버튼의 한번 클릭으로 사용자 명령을 입력받은 경우, 상기 알림 장치로 검사중임을 표시하는 과정과,In the real-time monitoring state, if a user command is input by one click of the user button, indicating that the inspection device is in the inspection;
    상기 컴퓨팅 장치에 대해 기 설정된 중요 파일 및 프로세스에 대한 수동 검사를 수행하는 과정과,Performing a manual check on a predetermined important file and process for the computing device;
    악성 코드가 감지된 경우, 감지된 상기 악성 요소를 상기 사용자 장치 내 검역소에 저장하는 과정과,If a malicious code is detected, storing the detected malicious element in a quarantine in the user device;
    상기 악성 코드를 치료하고, 실행 중인 프로세스를 강제로 종료하는 과정과,Cleaning the malicious code and forcibly terminating a running process;
    상기 악성 코드의 치료가 완료된 경우, 상기 알림 장치로 안전한 상태임을 표시하는 과정When the treatment of the malicious code is completed, the process of indicating that the safe state to the notification device
    을 포함하는 악성 코드 진단 방법.Malware diagnostic method comprising a.
  14. 제 11항에 있어서,The method of claim 11,
    상기 악성 코드에 대한 실시간 감시를 수행하는 과정은,The process of performing a real-time monitoring for the malicious code,
    USB 허브에 외부 USB 장치가 삽입된 경우, 상기 알림 장치로 검사중임을 표시하는 과정과,When an external USB device is inserted into a USB hub, indicating that the notification device is being inspected;
    상기 외부 USB 장치의 모든 디렉토리를 검사하여 악성 코드가 발견된 경우, 상기 악성 코드를 치료하는 과정과,If the malicious code is found by scanning all directories of the external USB device, the process of treating the malicious code,
    상기 치료가 완료되거나 상기 악성 코드가 발견되지 않은 경우, 상기 알림 장치로 안전한 상태임을 표시하는 과정과,When the treatment is completed or the malicious code is not found, indicating that the notification device is in a safe state;
    상기 외부 USB 저장 장치의 접근을 허용하고, 상기 컴퓨팅 장치로 상기 외부 USB 저장 장치를 인식시키는 과정Allowing access of the external USB storage device and recognizing the external USB storage device with the computing device;
    을 포함하는 악성 코드 진단 방법.Malware diagnostic method comprising a.
  15. 제 7항에 있어서,The method of claim 7, wherein
    상기 악성 코드 진단 방법은,The malware diagnosis method,
    시스템 파일의 오진 복구를 위해 상기 컴퓨팅 장치에서 상기 사용자 장치 부팅으로 설정된 경우, 상기 사용자 장치 내 운영 체제 프로그램을 구동하여 부팅을 수행하는 과정과,When booting the user device in the computing device to recover a system file from the computing device, booting by operating an operating system program in the user device;
    상기 사용자 장치 내 악성코드로 진단된 파일이 저장되는 검역소 파일을 확인하여 마지막 저장된 파일에 대한 복구여부를 판단하여 복구된 경우, 복구된 파일을 상기 컴퓨팅 장치로 전달하는 과정과,Checking a quarantine file in which a file diagnosed as a malicious code in the user device is stored to determine whether to recover the last stored file, and when the file is recovered, transferring the recovered file to the computing device;
    상기 사용자 장치를 종료하며, 상기 컴퓨팅 장치를 재부팅하는 과정Shutting down the user device and rebooting the computing device;
    을 포함하는 악성 코드 진단 방법.Malware diagnostic method comprising a.
  16. 사용자 장치가 전원 공급 장치로부터 전원 공급을 받은 경우, 저장 및 제어 장치에서 운영체제 프로그램을 구동하는 과정과,If the user device is powered from the power supply device, the process of running the operating system program in the storage and control device,
    USB 허브로부터 외부 USB 장치가 삽입된 경우, 악성 코드 진단 프로그램을 실행하여 악성 코드의 진단 및 치료를 수행하는 과정과,When an external USB device is inserted from the USB hub, the malware diagnostic program is executed to diagnose and repair the malicious code.
    상기 저장 및 제어 장치의 제어하에 알림 장치에서 상기 악성 코드 진단 프로그램의 관련 동작에 따라 색상 및 글자를 표시하거나, 음성 및 소리를 출력하는 과정Displaying color and text or outputting voice and sound according to a related operation of the malware diagnosis program in a notification device under the control of the storage and control device;
    을 포함하는 악성 코드 진단 방법.Malware diagnostic method comprising a.
  17. 제 16항에 있어서,The method of claim 16,
    상기 악성 코드의 진단 및 치료를 수행하는 과정은,The process of performing the diagnosis and treatment of the malicious code,
    메모리에 저장된 상기 악성 코드 진단을 위한 상기 악성 코드 진단 프로그램 데이터 및 시그니쳐 파일을 토대로 상기 악성 코드 진단 프로그램을 구동하여 상기 외부 USB 장치 내 악성 코드의 진단 및 치료를 수행하는 것을 포함하는 악성 코드 진단 방법.And diagnosing and treating malicious code in the external USB device by running the malicious code diagnostic program based on the malicious code diagnostic program data and signature file for diagnosing the malicious code stored in a memory.
  18. 제 16항에 있어서,The method of claim 16,
    상기 악성 코드의 진단 및 치료를 수행하는 과정은,The process of performing the diagnosis and treatment of the malicious code,
    악성 코드가 감지된 경우, 상기 알림 장치로 위험 상태임을 표시하는 과정과,If a malicious code is detected, the process of indicating that the notification device dangerous state, and
    감지된 상기 악성 코드를 상기 사용자 장치 내 검역소에 저장하는 과정과,Storing the detected malicious code in a quarantine in the user device;
    상기 악성 코드를 치료하는 과정과,The process of treating the malicious code,
    상기 악성 코드의 치료가 완료된 경우, 상기 알림 장치로 안전한 상태임을 표시하는 과정When the treatment of the malicious code is completed, the process of indicating that the safe state to the notification device
    을 포함하는 악성 코드 진단 방법.Malware diagnostic method comprising a.
  19. 제 16항에 있어서,The method of claim 16,
    상기 악성 코드의 진단 및 치료를 수행하는 과정은,The process of performing the diagnosis and treatment of the malicious code,
    실시간 감시 상태에서 사용자 버튼의 한번 클릭으로 사용자 명령을 입력받은 경우, 상기 알림 장치로 검사중임을 표시하는 과정과,In the case of receiving a user command with a single click of a user button in a real-time monitoring state, indicating that the inspection device is inspecting;
    상기 외부 USB 장치에 대해 기 설정된 중요 파일 및 프로세스에 대한 수동 검사를 수행하는 과정과,Performing a manual check on a predetermined important file and process for the external USB device;
    악성 코드가 감지된 경우, 감지된 상기 악성 요소를 상기 사용자 장치 내 검역소에 저장하는 과정과,If a malicious code is detected, storing the detected malicious element in a quarantine in the user device;
    상기 악성 코드를 치료하고, 실행 중인 프로세스를 강제로 종료하는 과정과,Cleaning the malicious code and forcibly terminating a running process;
    상기 악성 코드의 치료가 완료된 경우, 상기 알림 장치로 안전한 상태임을 표시하는 과정When the treatment of the malicious code is completed, the process of indicating that the safe state to the notification device
    을 포함하는 악성 코드 진단 방법.Malware diagnostic method comprising a.
  20. 제 16항에 있어서,The method of claim 16,
    상기 악성 코드의 진단 및 치료를 수행하는 과정은,The process of performing the diagnosis and treatment of the malicious code,
    상기 실시간 감시 상태에서 사용자 버튼의 두번 클릭 또는 기 설정된 시간 이상으로 길게 클릭된 사용자 명령을 입력받은 경우, 상기 알림 장치로 검사중임을 표시하는 과정과,In the real-time monitoring state, if the user's command is clicked twice or long clicked for a predetermined time or longer, a process of indicating that the notification device is being inspected;
    상기 외부 USB 장치에 대해 기 설정된 정밀 진단 영역에 대한 수동 검사를 수행하는 과정A process of performing a manual test on a preset precision diagnosis area of the external USB device.
    을 포함하는 악성 코드 진단 방법.Malware diagnostic method comprising a.
PCT/KR2013/000843 2012-02-01 2013-02-01 User device and a method of diagnosing malicious code using same WO2013115603A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020120010363A KR101291127B1 (en) 2012-02-01 2012-02-01 User equipment and checking virus program method using the same
KR10-2012-0010363 2012-02-01

Publications (1)

Publication Number Publication Date
WO2013115603A1 true WO2013115603A1 (en) 2013-08-08

Family

ID=48905564

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2013/000843 WO2013115603A1 (en) 2012-02-01 2013-02-01 User device and a method of diagnosing malicious code using same

Country Status (2)

Country Link
KR (1) KR101291127B1 (en)
WO (1) WO2013115603A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113591086A (en) * 2021-07-28 2021-11-02 西安中诺通讯有限公司 Terminal safety management method, device, terminal and storage medium

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101787470B1 (en) 2016-02-15 2017-11-16 한국전자통신연구원 Apparatus for analyzing malicious code based on external device connected usb and method using the same
WO2018212370A1 (en) * 2017-05-17 2018-11-22 (주)아이테오솔루션즈 Usb port security device for selectively allowing access by usb device and method for restricting access to bios using same

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050009281A (en) * 2004-09-13 2005-01-24 (주)우인엔터프라이즈 Apparatus for protecting computer using functional character
KR20060067815A (en) * 2004-12-15 2006-06-20 마이크로소프트 코포레이션 Portable application
KR20070049514A (en) * 2005-11-08 2007-05-11 한국정보보호진흥원 Malignant code monitor system and monitoring method using thereof
KR100830434B1 (en) * 2005-11-08 2008-05-20 한국정보보호진흥원 System for malignant code collection and method thereof

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050009281A (en) * 2004-09-13 2005-01-24 (주)우인엔터프라이즈 Apparatus for protecting computer using functional character
KR20060067815A (en) * 2004-12-15 2006-06-20 마이크로소프트 코포레이션 Portable application
KR20070049514A (en) * 2005-11-08 2007-05-11 한국정보보호진흥원 Malignant code monitor system and monitoring method using thereof
KR100830434B1 (en) * 2005-11-08 2008-05-20 한국정보보호진흥원 System for malignant code collection and method thereof

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113591086A (en) * 2021-07-28 2021-11-02 西安中诺通讯有限公司 Terminal safety management method, device, terminal and storage medium

Also Published As

Publication number Publication date
KR101291127B1 (en) 2013-08-23

Similar Documents

Publication Publication Date Title
EP2667314B1 (en) System and method for detection and treatment of malware on data storage devices
ES2870926T3 (en) Annotation information generation device and recording medium, and annotation information extraction device and recording medium
TWI402691B (en) Network security module and method for protecting a computing device or a network device from an inentified security threat on the network
WO2012015171A2 (en) Hacker virus security-integrated control device
WO2011122845A2 (en) Mobile communication terminal having a behavior-based malicious code detection function and detection method thereof
US8484735B2 (en) Status display control apparatus
WO2014035043A1 (en) Apparatus and method for diagnosing malicious applications
WO2013077538A1 (en) Device and method for analyzing api-based application
WO2016148491A1 (en) Method and apparatus for protecting application
WO2016111525A1 (en) Source code transfer control method, computer program therefor, and recording medium therefor
KR101954976B1 (en) System for managing data backup and method thereof
WO2018124775A1 (en) Method for connecting external device and electronic device supporting same
WO2024071451A1 (en) Method for detecting malicious macro in non-executable file by using ocr technology, and apparatus therefor
WO2013115603A1 (en) User device and a method of diagnosing malicious code using same
WO2021080123A1 (en) Electronic device and control method for same
WO2014200201A1 (en) File security management apparatus and management method for system protection
WO2014185627A1 (en) Data processing system security device and security method
US10491760B1 (en) Image transmission device, image transmission method, and image transmission system
WO2014168406A1 (en) Apparatus and method for diagnosing attack which bypasses memory protection mechanisms
WO2016064040A1 (en) User terminal using signature information to detect whether application program has been tampered and method for tamper detection using the user terminal
WO2021243574A1 (en) Detection method for user information acquisition in violation of regulations and related device
EP3519931A1 (en) Electronic device and method for creating shortcut to web page in electronic device
CN113190337A (en) Portable primary and secondary computer system and implementation method thereof
US20120174206A1 (en) Secure computing environment
WO2016190485A1 (en) Method for blocking unauthorized access to data and computing device having same function

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 13743977

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 13743977

Country of ref document: EP

Kind code of ref document: A1