WO2014014200A1

WO2014014200A1 - 컴퓨터 시스템과, 컴퓨터 시스템의 주소 이동 방법 및 컴퓨터 시스템의 시스템함수 모니터링 방법

Info

Publication number: WO2014014200A1
Application number: PCT/KR2013/005206
Authority: WO
Inventors: 서동필
Original assignee: 주식회사 안랩
Priority date: 2012-07-20
Filing date: 2013-06-12
Publication date: 2014-01-23
Also published as: KR20140012479A; KR101412200B1

Abstract

본 발명은, 컴퓨터 시스템과, 컴퓨터 시스템의 주소 이동 방법 및 컴퓨터 시스템의 시스템함수 모니터링 방법이 개시되어 있다. 본 발명의 실시예들은 메모리장치의 전체 주소범위에 대응하는 비트 수 즉 OS 환경 보다 작은 비트 수의 메모리영역 접근 방식을 지원하는 메모리접근모듈을 갖는 경우, 메모리장치의 전체 주소범위 중 접근(지정) 가능한 일부 주소범위 내에 접근(지정) 불가능한 나머지 주소범위로 이동시키기 위한 주소이동함수를 저장함으로써 메모리장치의 전체 주소범위를 효과적으로 이용할 수 있고, 이를 기반으로 시스템함수 모니터링을 실현하여 64bit OS 환경에서도 32bit OS와 같이 커널모드에서 후킹이 가능해져 32bit OS와 동일한 수준의 보안 기능을 제공할 수 있는 기술에 대한 것이다.

Description

컴퓨터 시스템과, 컴퓨터 시스템의 주소 이동 방법 및 컴퓨터 시스템의 시스템함수 모니터링 방법

본 발명은 실시예들은 주소범위 지정(접근) 한계로 접근이 불가능한 주소범위로 이동(redirection)하여 전체 주소범위를 효과적으로 이용할 수 있는 기술로서, 메모리장치의 전체 주소범위에 대응하는 비트 수 즉 OS 환경 보다 작은 비트 수의 메모리영역 접근 방식을 지원하는 메모리접근모듈을 갖는 경우, 메모리장치의 전체 주소범위 중 접근(지정) 가능한 일부 주소범위 내에 접근(지정) 불가능한 나머지 주소범위로 이동시키기 위한 주소이동함수를 저장함으로써 메모리장치의 전체 주소범위를 효과적으로 이용할 수 있고, 이를 기반으로 시스템함수 모니터링을 실현하여 64bit OS 환경에서도 32bit OS와 같이 커널모드에서 후킹이 가능해져 32bit OS와 동일한 수준의 보안 기능을 제공할 수 있는 기술들과 관련된다.

최근 컴퓨터 시스템의 기능이 다양화되면서 운영체제(OS) 환경이 32bit 환경에서 64bit 환경으로 발전하는 추세이며, 64bit OS 환경에서는 시스템함수테이블의 구조가 절대주소 지정방식에서 상대주소 지정방식으로 변경되었다.

하지만, OS 환경이 32bit에서 64bit로 발전하는 과도기인 현재의 컴퓨터 시스템에서는, 64bit OS 환경에서 구조적 이유로 32bit 메모리영역 접근(어드레싱) 방식만을 지원하는 경우가 있다. 이처럼, 64bit OS 환경에서 구조적 이유로 32bit 어드레싱 방식만을 지원하는 경우, 64bit 환경의 메모리에서 제공하는 전체 주소 범위 중 일부 주소범위에 대해서만 접근할 수 없는 한계를 갖는다.

예를 들면, 도 1에 도시된 바와 같이 x bit의 메모리영역 접근 방식을 지원하는 메모리접근모듈에 의한 시스템함수테이블을 기초로 메모리에서 상대주소 지정방식에 따라 접근 가능한 주소범위는

이다. 따라서, 32bit 메모리영역 접근 방식을 지원하는 메모리접근모듈에 의한 시스템함수테이블을 기초로 64bit OS 환경의 메모리에서 상대주소 지정방식에 따라 접근 가능한 주소범위는

이며, 전체 주소범위

중 나머지 주소범위에는 접근할 수 있는 한계를 갖는다.

이에, 본 발명에서는, 주소범위 지정의 한계로 접근이 불가능한 주소범위로 이동(redirection)하여 전체 주소범위를 효과적으로 이용할 수 있는 방안을 제안하고자 한다.

본 발명의 실시예들은 주소범위 지정의 한계로 접근이 불가능한 주소범위로 이동(redirection)하여 전체 주소범위를 효과적으로 이용할 수 있는 기술로서, 메모리장치의 전체 주소범위에 대응하는 비트 수 즉 OS 환경 보다 작은 비트 수의 메모리영역 접근 방식을 지원하는 메모리접근모듈을 갖는 경우, 메모리장치의 전체 주소범위 중 접근(지정) 가능한 일부 주소범위 내에 접근(지정) 불가능한 나머지 주소범위로 이동시키기 위한 주소이동함수를 저장함으로써 메모리장치의 전체 주소범위를 효과적으로 이용할 수 있고, 이를 기반으로 시스템함수 모니터링을 실현하여 64bit OS 환경에서도 32bit OS와 같이 커널모드에서 후킹이 가능해져 32bit OS와 동일한 수준의 보안 기능을 제공할 수 있는 방안을 제안하고자 한다.

상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 컴퓨터 시스템은, 메모리장치; 및 상기 메모리장치의 전체 메모리영역 중 일부 메모리영역에 접근 가능한 메모리접근모듈을 포함하고; 상기 메모리장치에는, 상기 일부 메모리영역 내 적어도 하나의 제1메모리영역에, 상기 전체 메모리영역 중 상기 일부 메모리영역을 제외한 나머지 메모리영역 내 적어도 하나의 제2메모리영역으로 접근시키는 주소이동함수가 저장되어, 상기 메모리접근모듈에서 상기 적어도 하나의 제1메모리영역에 어드레싱된 주소정보를 기초로 상기 적어도 하나의 제1메모리영역에 접근하여 상기 주소이동함수를 호출하면, 상기 주소이동함수에 의해 상기 적어도 하나의 제2메모리영역으로 접근되도록 한다.

상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 컴퓨터 시스템의 주소 이동 방법은, 메모리장치의 전체 메모리영역 중 메모리접근모듈에 의해 접근 가능한 일부 메모리영역 내 적어도 하나의 제1메모리영역에, 상기 전체 메모리영역 중 상기 일부 메모리영역을 제외한 나머지 메모리영역 내 적어도 하나의 제2메모리영역으로 접근시키는 주소이동함수가 저장되는 단계; 및 상기 메모리접근모듈에서 상기 적어도 하나의 제1메모리영역에 어드레싱된 주소정보를 기초로 상기 적어도 하나의 제1메모리영역에 접근하여 상기 주소이동함수를 호출하면, 상기 주소이동함수에 의해 상기 적어도 하나의 제2메모리영역으로 접근되도록 하는 단계를 포함한다.

상기 목적을 달성하기 위한 본 발명의 제 3 관점에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 메모리장치의 전체 메모리영역 중 메모리접근모듈에 의해 접근 가능한 일부 메모리영역을 제외한 나머지 메모리영역 내 적어도 하나의 제2메모리영역에, 특정 모니터링을 수행하는 모니터링함수를 저장하는 단계; 상기 메모리장치의 상기 일부 메모리영역 내 적어도 하나의 제1메모리영역에, 상기 적어도 하나의 제2메모리영역으로 접근시키는 주소이동함수를 저장하는 단계; 각 시스템함수 별로 상기 메모리장치에서 저장된 메모리영역에 어드레싱된 주소정보를 포함하는 시스템함수테이블에서, 상기 특정 모니터링의 수행 대상으로 확인되는 특정 시스템함수의 주소정보를 상기 주소이동함수가 저장된 상기 적어도 하나의 제1메모리영역에 어드레싱된 주소정보로 변경하는 단계; 상기 메모리접근모듈에서 상기 특정 시스템함수의 호출이 요청되는 경우, 상기 시스템함수테이블에서 확인되는 상기 특정 시스템함수의 변경된 주소정보를 기초로 상기 적어도 하나의 제1메모리영역에 접근하여 상기 주소이동함수를 호출하는 단계; 및 상기 메모리접근모듈에서 상기 주소이동함수에 의해 상기 적어도 하나의 제2메모리영역에 접근되어 상기 모니터링함수를 호출하는 단계를 포함한다.

상기 목적을 달성하기 위한 본 발명의 제 4 관점에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 메모리장치의 전체 메모리영역 중 메모리접근모듈에 의해 접근 가능한 일부 메모리영역을 제외한 나머지 메모리영역 내 다수의 제2메모리영역에, 각 시스템함수식별정보 별로 매핑된 각 모니터링함수를 저장하는 단계; 상기 메모리장치의 상기 일부 메모리영역 내 하나의 제1메모리영역에, 상기 각 시스템함수식별정보에 따라 상기 다수의 제2메모리영역에 대하여 접근을 중계하는 핸들러게이트웨이함수가 저장된 특정 메모리영역으로 접근시키는 주소이동함수를 저장하는 단계; 각 시스템함수 별로 상기 메모리장치 내에서 저장된 주소를 나타내는 주소정보를 포함하는 시스템함수테이블에서, 상기 각 모니터링함수에 따른 모니터링의 수행 대상으로 확인되는 상기 각 시스템함수식별정보에 대응되는 각 시스템함수의 주소정보를 상기 주소이동함수가 저장된 상기 하나의 제1메모리영역에 어드레싱된 주소정보로 변경하는 단계; 상기 메모리접근모듈에서 상기 각 시스템함수 중 특정 시스템함수의 호출이 요청되는 경우, 상기 시스템함수테이블에서 확인되는 상기 특정 시스템함수의 변경된 주소정보를 기초로 상기 하나의 제1메모리영역에 접근하여 상기 주소이동함수를 호출하는 단계; 상기 메모리접근모듈에서 상기 주소이동함수에 의해 상기 특정 주소정보를 기초로 상기 특정 메모리영역에 접근되어 상기 핸들러게이트웨이함수를 호출하는 단계; 및 상기 메모리접근모듈에서 상기 핸들러게이트웨이함수에 의해 상기 다수의 제2메모리영역 중 상기 특정 시스템함수의 시스템함수식별정보에 매핑된 특정 모니터링함수가 저장된 제2메모리영역에 접근되어 상기 특정 모니터링함수를 호출하는 단계를 포함한다.

본 발명의 실시예들은 메모리장치의 전체 주소범위에 대응하는 비트 수 즉 OS 환경 보다 작은 비트 수의 메모리영역 접근 방식을 지원하는 메모리접근모듈을 갖는 경우, 메모리장치의 전체 주소범위 중 접근(지정) 가능한 일부 주소범위 내에 접근(지정) 불가능한 나머지 주소범위의 원하는 주소로 이동시키기 위한 주소이동함수(예 : jumper 코드)를 저장함으로써 메모리장치의 전체 주소범위를 효과적으로 이용할 수 있고, 더 나아가 이를 기반으로 시스템함수 모니터링을 실현하여 64bit OS 환경에서도 32bit OS와 같이 커널모드에서 후킹이 가능해져 32bit OS와 동일한 수준의 보안 기능을 제공할 수 있다.

도 1은 x bit에서 상대주소 지정방식에 따라 접근 가능한 주소범위를 보여주는 예시도이다.

도 2는 본 발명의 바람직한 실시예에 따른 컴퓨터 시스템의 구성을 나타내는 블록도이다.

도 3은 본 발명의 바람직한 제1실시예에 따른 컴퓨터 시스템에서 주소 이동을 시스템함수 모니터링 방법에 적용하여 보여주는 블록도이다.

도 4는 본 발명의 바람직한 제2실시예에 따른 컴퓨터 시스템에서 주소 이동을 시스템함수 모니터링 방법에 적용하여 보여주는 블록도이다.

도 5는 본 발명의 바람직한 실시예에 따른 컴퓨터 시스템의 주소 이동 방법을 나타내는 동작 흐름도이다.

도 6은 본 발명의 바람직한 제1실시예에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법을 나타내는 동작 흐름도이다.

도 7은 본 발명의 바람직한 제2실시예에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법을 나타내는 동작 흐름도이다.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.

도 2는 본 발명의 바람직한 실시예에 따른 컴퓨터 시스템을 도시한 도면이다.

도 1에 도시된 바와 같이, 본 발명에 따른 컴퓨터 시스템은, 메모리장치(120)와, 메모리장치(120)의 전체 메모리영역 중 일부 메모리영역에 접근 가능한 메모리접근모듈(110)을 포함한다.

여기서, 본 발명에 따른 컴퓨터 시스템에서 메모리장치(120)에는, 메모리접근모듈(110)에서 접근 가능한 상기 일부 메모리영역 내 적어도 하나의 제1메모리영역에, 상기 전체 메모리영역 중 상기 일부 메모리영역을 제외한 나머지 메모리영역 내 적어도 하나의 제2메모리영역으로 접근시키는 주소이동함수가 저장되어, 메모리접근모듈(110)에서 상기 적어도 하나의 제1메모리영역에 어드레싱된 주소정보를 기초로 상기 적어도 하나의 제1메모리영역에 접근하여 상기 주소이동함수를 호출하면, 상기 주소이동함수에 의해 상기 적어도 하나의 제2메모리영역으로 접근되도록 할 수 있다.

이하에서는 메모리장치(120)의 메모리영역에 주소정보가 어드레싱되는 것이 일반적이므로, 설명의 편의를 위해 함수가 저장된 메모리영역 및 함수가 저장된 주소를 혼용하고, 메모리영역의 범위 및 주소범위를 혼용하여 설명할 수도 있다.

예를 들어, OS 환경이 32bit 환경에서 64bit 환경으로 발전하면서 여전히 32bit 메모리영역 접근(어드레싱) 방식을 지원하는 메모리접근모듈을 채택하고 있는 경우의 컴퓨터 시스템은, 64bit 환경의 메모리장치(120)에서 제공하는 전체 메모리영역에 어드레싱되는 전체 주소범위

중 일부 메모리영역에 어드레싱되는 일부 주소범위

에 대해서만 접근할 수 밖에 없다.

이처럼, 본 발명은 메모리장치(120)의 전체 주소범위에 대응하는 비트 수 즉 OS 환경 보다 작은 비트 수의 메모리영역 접근 방식을 지원하는 메모리접근모듈(110)을 갖는 컴퓨터 시스템에 적용하기 위한 것이다.

여기서, 메모리접근모듈(110)은, 메모리장치(120)의 전제 메모리영역 중 특정 메모리영역에 접근하기 위한 모듈로서, 예를 들면 메모리장치(120)에 저장된 시스템함수를 호출하기 위한 함수호출핸들러모듈(예 : KiSystemService() 함수), CPU, 프로그램 등 다양한 형태를 포함할 수 있다.

이하에서는 설명의 편의를 위해, 64bit 환경의 메모리장치(120) 및 32bit 메모리영역 접근 방식의 메모리접근모듈(110)을 언급하여 설명하도록 한다.

전술한 바와 같이, 본 발명의 컴퓨터 시스템에 따른 메모리장치(120)에는, 메모리접근모듈(110)에서 접근 가능한 일부 메모리영역 내 적어도 하나의 제1메모리영역에, 상기 전체 메모리영역 중 상기 일부 메모리영역을 제외한 나머지 메모리영역 내 적어도 하나의 제2메모리영역으로 접근시키는 주소이동함수가 저장된다.

다시 말해, 메모리장치(120)에는, 메모리접근모듈(110)에서 접근 가능한 일부 메모리영역에 어드레싱되는 일부 주소범위

내의 적어도 하나의 제1주소에, 메모리장치(120)의 전체 메모리영역에 어드레싱되는 전체 주소범위

중 나머지 메모리영역에 어드레싱되는 나머지 주소범위 내 적어도 하나의 제2주소로 접근시키는 주소이동함수가 저장될 수 있다.

이때, 주소이동함수는, 특정 제2주소의 주소정보를 포함하여, 주소이동함수가 호출되는 경우 포함된 특정 제2주소의 주소정보를 기초로 특정 제2주소로 접근시키는 함수로써, 예컨대 jumper코드를 포함할 수 있다.

그리고, 메모리접근모듈(110)은, 메모리장치(120)의 전체 메모리영역에 대응되는 bit(bit) 수 보다 작은bit 수를 기초로 하며 상기 일부 메모리영역 내 각 메모리영역에 접근하기 위한 주소정보를 저장하는 것이 바람직하다.

이때, 전술한 바와 같이 메모리접근모듈(110)이 32bit 메모리영역 접근 방식을 지원한다면, 메모리접근모듈(110)에 저장된 주소정보들은,

개의 주소에 접근하기 위해 32bit를 기초로 하는 구조를 가질 것이다.

이러한 메모리접근모듈(110)은, 저장된 주소정보를 기초로 상대주소 접근방식에 따라 메모리장치(120)의 일부 메모리영역 내 각 메모리영역에 접근하는 것이 바람직하다. 이에, 메모리접근모듈(110)은, 메모리장치(120)의 전체 주소범위

중 상대주소 지정방식에 따라 일부 주소범위

내의 주소에만 접근(지정)이 가능하였다.

하지만, 본 발명에 따르면, 메모리장치(120)의 전체 메모리영역 중 메모리접근모듈(110)이 접근 가능한 제1메모리영역에 접근 불가능한 제2메모리영역으로 이동시키기 위한 주소이동함수를 저장함으로써, 메모리접근모듈(110)은, 접근 가능한 제1메모리영역에 어드레싱된 주소정보를 기초로 제1메모리영역에 접근하여 주소이동함수를 호출하게 되면, 주소이동함수가 제2메모리영역으로 이동(redirection)시켜, 주소이동함수에 의해 접근 불가능한 제2메모리영역에 접근하는 결과를 얻을 수 있다.

다시 말해, 즉, 본 발명에 따르면, 접근(지정) 가능한 일부 주소범위

내에 접근(지정) 불가능한 나머지 주소범위로 이동시키기 위한 주소이동함수를 저장함으로써, 메모리접근모듈(110)은, 메모리장치(120)의 전체 주소범위

중 접근(지정) 가능한 일부 주소범위

내의 제1주소에 접근함으로써 주소이동함수를 호출하게 되면, 주소이동함수가 특정 제2주소로 이동(redirection)시켜, 주소이동함수에 의해 접근(지정) 불가능한 나머지 주소범위 내의 제2주소로 접근하는 결과를 얻을 수 있다.

따라서, 본 발명의 컴퓨터 시스템에 따르면, 메모리장치(120)의 전체 주소범위에 대응하는 비트 수 즉 OS 환경 보다 작은 비트 수의 메모리영역 접근 방식을 지원하는 메모리접근모듈(110)을 갖는 경우, 메모리장치(120)의 전체 주소범위

중 접근(지정) 가능한 일부 주소범위

내에 접근(지정) 불가능한 나머지 주소범위로 이동시키기 위한 주소이동함수를 저장함으로써 메모리장치(120)의 전체 주소범위를 효과적으로 이용할 수 있다.

이하에서는 도 3을 참조하여 본 발명의 컴퓨터 시스템에서 전술한 바와 같이 접근(지정) 불가능한 주소로의 이동(redirection)을 시스템함수 모니터링 방법에 적용하는 제1실시예를 설명하도록 한다.

먼저, 시스템함수 모니터링 방법을 간략하게 설명하도록 한다.

시스템함수들은, 운영체제가 하드웨어 자원을 효율적으로 관리하고 응용 프로그램들이 쉽고 안전하게 하드웨어 자원을 사용할 수 있도록 하기 위한 목적을 갖는 함수이다. 그러나 악의 있는 프로그램은 이러한 시스템함수를 악용할 수 있는 문제점을 갖는다.

운영체제 위에서 실행되는 모든 프로세스들을 완전히 신뢰할 수 없는 상황에서는, 운영체제가 제공하는 시스템함수를 감시(monitoring)하는 것이 필수적이다. 예를 들어 메모리 읽기 관련 함수를 불법적인 방법을 통해 임의의 프로세스 A가 사용한다면 다른 프로세스의 메모리 영역을 읽을 수 있다. 따라서 불법적으로 시스템함수를 호출하는 경우에 이 호출을 막는 기능이 필요하며 이를 위해서는 우선 어떤 프로세스가 어떤 시스템함수를 호출하고자 하는 지, 어떤 시스템함수가 호출되는 횟수 등을 모니터링하는 것이 선행되어야 한다.

이에, 시스템함수 모니터링 방법은, 시스템함수테이블에 저장된 시스템함수의 주소를 모니터링함수의 주소로 교체하고, 시스템함수는 모니터링함수에서 호출하도록 하는 후킹 방식을 이용하고 있다.

이러한 시스템함수 모니터링 방법을 본 발명의 컴퓨터 시스템에서 적용하는 구체적인 구성을 설명하면 다음과 같다.

메모리접근모듈(110)은, 시스템함수테이블(115)를 포함하며, 특정 시스템함수의 호출이 요청되는 경우 시스템함수테이블(115)에서 확인되는 상기 특정 시스템함수의 주소정보를 기초로 상기 특정 시스템함수가 저장된 메모리영역에 접근하여 상기 특정 시스템함수를 호출할 수 있다.

여기서, 시스템함수테이블(115)은, 각 시스템함수 별로 메모리장치(120) 에서 저장된 메모리영역에 어드레싱된 주소정보를 포함한다. 보다 구체적으로, 시스템함수테이블(115)은, 메모리장치(120) 내에서 저장된 각 시스템함수에 대응하여, 시스템함수식별정보(예 : 함수인덱스) 및 메모리장치(120) 내에서 저장된 주소정보를 저장하고 있는 것이 바람직하다.

이에, 메모리접근모듈(110)은, 예를 들어 시스템함수(func1)의 호출이 요청되는 경우, 시스템함수테이블(115)을 기초로 시스템함수(func1)의 주소정보를 기초로 시스템함수1이 저장된 메모리영역에 접근하여 시스템함수1을 호출할 수 있다. 이러한 메모리접근모듈(110)은, 함수호출핸들러모듈인 것이 바람직하다.

그리고 본 발명에 따른 컴퓨터 시스템(100)은, 시스템함수 모니터링 수행을 제어하는 모니터링제어모듈(130)을 더 포함할 수 있다.

모니터링제어모듈(130)은, 메모리장치(120)의 상기 적어도 하나의 제1메모리영역에, 특정 모니터링을 수행하는 모니터링함수가 저장된 상기 적어도 하나의 제2메모리영역에 어드레싱된 주소정보를 포함하는 상기 주소이동함수를 저장한다.

예컨대, 모니터링제어모듈(130)은, 메모리장치(120)의 전체 메모리영역 중 메모리접근모듈(110)에서 접근 불가능한 제2메모리영역에 모니터링함수1을 저장한다.

그리고, 모니터링제어모듈(130)은, 메모리장치(120)의 전체 메모리영역 중 메모리접근모듈(110)에서 접근 가능한 제1메모리영역에, 모니터링함수1이 저장된 제2메모리영역에 어드레싱된 주소정보를 포함하는 주소이동함수(jumper)를 저장할 수 있다.

즉, 메모리장치(120)에는, 메모리접근모듈(110)에서 접근 가능한 일부 주소범위 내의 제1주소에, 특정 모니터링을 수행하는 모니터링함수1이 저장된 제2주소로 접근시키는 주소이동함수가 저장되는 것이다.

그리고, 모니터링제어모듈(130)은, 시스템함수테이블(115)에서, 상기 특정 모니터링의 수행 대상으로 확인되는 상기 특정 시스템함수의 주소정보를 상기 주소이동함수가 저장된 상기 적어도 하나의 제1메모리영역에 어드레싱된 주소정보로 변경한다.

예컨대, 모니터링제어모듈(130)은, 모니터링함수1에 의한 모니터링 수행 대상이 시스템함수(func1)라고 하면, 시스템함수테이블(115)에서, 시스템함수(func1)의 주소정보를 주소이동함수(jumper)이 어드레싱된 주소정보로 변경할 수 있다. 예를 들면, 모니터링제어모듈(130)은, 시스템함수테이블(115)에서 시스템함수(func1)의 시스템함수식별정보(예 : 함수인덱스) 및 주소정보 위에, 시스템함수(func1)의 시스템함수식별정보(예 : 함수인덱스) 및 제1주소의 주소정보를 포함한 Myfunc1함수를 덮어씌워, 주소정보를 변경할 수 있을 것이다.

이에, 메모리접근모듈(110)은, 시스템함수(func1) 호출이 요청되는 경우, 시스템함수테이블(115)을 기초로 시스템함수(func1)의 변경된 주소정보를 기초로 제1메모리영역에 접근하여 주소이동함수(jumper)를 호출하고, 주소이동함수(jumper)에 의해 제2메모리영역에 어드레싱된 주소정보를 기초로 제2메모리영역에 접근되어 저장된 모니터링함수1을 호출할 수 있다.

즉, 메모리접근모듈(110)은, 모니터링함수1의 모니터링 대상인 시스템함수(func1) 호출이 요청되는 경우, 시스템함수테이블(115)을 기초로 시스템함수(func1)의 변경된 주소정보에 따른 제1주소에 접근하여 주소이동함수를 호출하게 되고, 주소이동함수가 모니터링함수1이 저장된 제2주소로 이동(redirection)시켜, 주소이동함수에 의해 접근(지정) 불가능한 나머지 주소범위 내의 제2주소로 접근하는 결과를 얻게 되어 모니터링함수1을 호출할 수 있다.

이에, 모니터링함수1은, 자신에 설정된 모니터링 기능(예 : 시스템함수(func1)을 호출 요청한 프로세스 정보 기록, 시스템함수(func1)이 호출된 횟수 기록 등)을 기존과 같이 수행하게 되고, 이후 원래의 시스템함수1을 호출하도록 한다.

따라서, 본 발명의 컴퓨터 시스템은, 메모리장치(120)의 전체 주소범위

중 메모리접근모듈(110)이 접근(지정) 불가능한 주소범위에 모니터링함수들을 저장하고 접근(지정) 가능한 일부 주소범위

내에 모니터링함수가 저장된 주소로 이동시키기 위한 주소이동함수를 저장함으로써, 메모리장치(120)의 전체 주소범위를 효과적으로 이용하여 후킹 방식을 통한 시스템함수 모니터링을 실현할 수 있도록 한다.

헌데, 전술과 같이 도 3을 참조하여 설명한 본 발명의 컴퓨터 시스템에서 적용하는 시스템함수 모니터링은, 모니터링함수 각각에 대한 주소이동함수가 요구되어, 모니터링함수의 개수가 100개이면 주소이동함수가 100개의 주소에 각각 저장되어야 하기 때문에 메모리자원의 비효율적 운영이 우려된다.

이에, 이하에서는 도 4를 참조하여 주소이동함수의 저장 주소 증가로 인한 메모리자원의 비효율적 운영 우려를 개선할 수 있는 제2실시예를 설명하도록 한다.

모니터링제어모듈(130)은, 메모리장치(120)의 전체 메모리영역 중 메모리접근모듈(110)에서 접근 가능한 하나의 제1메모리영역에, 각 시스템함수식별정보에 매핑된 각 모니터링함수가 저장된 다수의 제2메모리영역에 대하여 접근을 중계하는 핸들러게이트웨이함수가 저장된 특정 메모리영역에 어드레싱된 특정 주소정보를 포함하는 상기 주소이동함수를 저장한다.

이때, 핸들러게이트웨이함수가 저장된 특정 메모리영역의 특정 주소는, 전술의 제2주소와 동일한 의미의 주소로서, 메모리장치(120)의 전체 메모리영역 중 메모리접근모듈(110)에서 접근 불가능한 나머지 메모리영역에 어드레싱되는 주소, 즉 메모리장치(120)의 전체 주소범위

중 메모리접근모듈(110)에서 접근 불가능한 나머지 주소범위 내의 주소인 것이 바람직하다.

예컨대, 모니터링제어모듈(130)은, 메모리장치(120)의 전체 메모리영역 중 메모리접근모듈(110)에서 접근 불가능한 다수의 제2메모리영역에 각 모니터링함수1 및 모니터링함수2를 저장한다.

그리고, 모니터링제어모듈(130)은, 메모리장치(120)의 전체 메모리영역 중 메모리접근모듈(110)에서 접근 불가능한 특정 메모리영역(제2메모리영역과 동일한 의미의 영역)에, 핸들러게이트웨이함수를 저장할 수 있다.

그리고, 모니터링제어모듈(130)은, 메모리장치(120)의 전체 메모리영역 중 메모리접근모듈(110)에서 접근 가능한 하나의 제1메모리영역에, 핸들러게이트웨이함수가 저장된 특정 메모리영역에 어드레싱된 특정 주소정보를 포함하는 주소이동함수(jumper)를 저장할 수 있다.

이 후 모니터링제어모듈(130)은, 시스템함수테이블(115)에서, 상기 각 모니터링함수에 따른 모니터링의 수행 대상으로 확인되는 상기 각 시스템함수식별정보에 대응되는 각 시스템함수의 주소정보를 상기 주소이동함수가 저장된 상기 하나의 제1메모리영역에 어드레싱된 주소정보로 변경한다.

예컨대, 모니터링제어모듈(130)은, 모니터링함수1에 의한 모니터링 수행 대상이 시스템함수(func1), 모니터링함수2에 의한 모니터링 수행 대상이 시스템함수(func2)라고 하면, 시스템함수테이블(115)에서, 시스템함수(func1)의 주소정보 및 시스템함수(func2)의 주소정보를 주소이동함수(jumper)이 어드레싱된 주소정보로 변경할 수 있다.

이에, 메모리접근모듈(110)은, 시스템함수(func1) 호출이 요청되는 경우, 시스템함수테이블(115)에서 확인되는 시스템함수(func1)의 변경된 주소정보를 기초로 하나의 제1메모리영역에 접근하여 주소이동함수(jumper)를 호출하고, 주소이동함수(jumper)에 의해 상기 특정 주소정보를 기초로 상기 특정 메모리영역에 접근되어 핸들러게이트웨이함수를 호출하고, 핸들러게이트웨이함수에 의해 다수의 제2메모리영역 중 시스템함수(func1)의 시스템함수식별정보에 매핑된 모니터링함수1가 저장된 제2메모리영역에 접근되어 모니터링함수1를 호출할 수 있다.

물론, 메모리접근모듈(110)은, 시스템함수(func2) 호출이 요청되는 경우, 시스템함수테이블(115)에서 확인되는 시스템함수(func1)의 변경된 주소정보를 기초로 하나의 제1메모리영역에 접근하여 주소이동함수(jumper)를 호출하고, 주소이동함수(jumper)에 의해 상기 특정 주소정보를 기초로 상기 특정 메모리영역에 접근되어 핸들러게이트웨이함수를 호출하고, 핸들러게이트웨이함수에 의해 다수의 제2메모리영역 중 시스템함수(func2)의 시스템함수식별정보에 매핑된 모니터링함수2가 저장된 제2메모리영역에 접근되어 모니터링함수2를 호출할 수 있다.

즉, 메모리접근모듈(110)은, 시스템함수(func1)가 호출되든 또는 시스템함수(func2)가 호출되든, 시스템함수테이블(115)을 기초로 동일한 하나의 제1주소에 접근하여 주소이동함수를 호출하게 되고, 주소이동함수가 핸들러게이트웨이함수가 저장된 특정 주소로 이동(redirection)시켜, 주소이동함수에 의해 접근(지정) 불가능한 나머지 주소범위 내의 특정 주소로 접근하는 결과를 얻게 되어 핸들러게이트웨이함수를 호출하게 된고, 핸들러게이트웨이함수에 의해 해당되는 모니터링함수1 또는 모니터링함수2를 호출할 수 있게 된다.

이에, 모니터링함수1은, 자신에 설정된 모니터링 기능을 기존과 같이 수행하게 되고 이후 원래의 시스템함수1을 호출하도록 하고, 모니터링함수2는, 자신에 설정된 모니터링 기능을 기존과 같이 수행하게 되고 이후 원래의 시스템함수2를 호출하도록 한다.

중 메모리접근모듈(110)이 접근(지정) 불가능한 주소범위에 모니터링함수들을 저장하고 각 모니터링함수로 중계하는 핸들러게이트웨이함수를 저장하며, 접근(지정) 가능한 일부 주소범위

내에 핸들러게이트웨이함수가 저장된 주소로 이동시키기 위한 주소이동함수 1개를 저장함으로써, 메모리장치(120)의 전체 주소범위를 효과적으로 이용하여 후킹 방식을 통한 시스템함수 모니터링을 실현할 수 있도록 한다.

이상에서 설명한 바와 같이 본 발명에 따르면, 메모리장치(120)의 전체 주소범위에 대응하는 비트 수 즉 OS 환경 보다 작은 비트 수의 메모리영역 접근 방식을 지원하는 메모리접근모듈(110)을 갖는 경우, 메모리장치(120)의 전체 주소범위 중 접근(지정) 가능한 일부 주소범위 내에 접근(지정) 불가능한 나머지 주소범위로 이동시키기 위한 주소이동함수를 저장함으로써 메모리장치(120)의 전체 주소범위를 효과적으로 이용할 수 있고, 이를 기반으로 시스템함수 모니터링을 실현하여 64bit OS 환경에서도 32bit OS와 같이 커널모드에서 후킹이 가능해져 32bit OS와 동일한 수준의 보안 기능을 제공할 수 있다.

이하에서는, 도 5 내지 도7을 참조하여 본 발명에 따른 컴퓨터 시스템의 주소 이동 방법 및 시스템함수 모니터링 방법을 설명하도록 한다. 여기서, 설명의 편의를 위해 전술한 도 1 내지 도 4에 도시된 구성은 해당 참조번호를 언급하여 설명하겠다.

먼저, 도 5를 참조하여 본 발명의 바람직한 실시예에 따른 컴퓨터 시스템의 주소 이동 방법을 설명하도록 한다.

본 발명에 따른 컴퓨터 시스템의 주소 이동 방법은, 메모리장치(120)의 전체 메모리영역 중 메모리접근모듈(110)에서 접근 가능한 일부 메모리영역 내 적어도 하나의 제1메모리영역에, 상기 전체 메모리영역 중 상기 일부 메모리영역을 제외한 나머지 메모리영역 내 적어도 하나의 제2메모리영역으로 접근시키는 주소이동함수가 저장된다.

즉, 본 발명에 따른 컴퓨터 시스템의 주소 이동 방법은, 메모리장치(120)의 전체 주소범위

중 메모리접근모듈(110)에서 접근 가능한 일부 주소범위

내의 적어도 하나의 제1주소에, 메모리장치(120)의 전체 주소범위

중 상기 일부 주소범위

를 제외한 나머지 주소범위 내 적어도 하나의 제2주소로 접근시키는 주소이동함수를 저장한다(S10).

이에, 본 발명에 따른 컴퓨터 시스템의 주소 이동 방법은, 메모리접근모듈(110)에서 접근 가능한 제1메모리영역에 어드레싱된 주소정보를 기초로 제1메모리영역에 접근하여 주소이동함수를 호출하게 되면, 주소이동함수가 제2메모리영역으로 이동(redirection)시켜, 주소이동함수에 의해 접근 불가능한 제2메모리영역에 접근하는 결과를 얻을 수 있다.

즉, 본 발명에 따른 컴퓨터 시스템의 주소 이동 방법은, 메모리접근모듈(110)에서 메모리장치(120)의 전체 주소범위

중 접근(지정) 가능한 일부 주소범위

내의 제1주소에 접근하면(S20), 제1주소에 저장된 주소이동함수를 호출하게 되고, 주소이동함수가 특정 제2주소로 이동(redirection)시켜, 주소이동함수에 의해 접근(지정) 불가능한 나머지 주소범위 내의 제2주소로 접근하는 결과를 얻을 수 있다(S30).

이하에서는 도 6을 참조하여 본 발명의 제1실시예에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법을 설명하도록 한다.

본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 메모리장치(120)의 전체 메모리영역 중 메모리접근모듈(110)에서 접근 불가능한 제2메모리영역에 특정 모니터링을 수행하는 모니터링함수1을 저장한다.

즉, 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 메모리장치(120)에서 전체 주소범위

중 메모리접근모듈(110)에 의해 접근 가능한 일부 주소범위

를 제외한 나머지 주소범위 내 적어도 하나의 제2주소에 특정 모니터링을 수행하는 모니터링함수를 저장한다(S100).

그리고, 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 메모리장치(120)의 전체 메모리영역 중 메모리접근모듈(110)에서 접근 가능한 제1메모리영역에, 모니터링함수1이 저장된 제2메모리영역에 어드레싱된 주소정보를 포함하는 주소이동함수(jumper)를 저장할 수 있다.

즉, 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 메모리접근모듈(110)에서 접근 가능한 일부 주소범위

내의 적어도 하나의 제1주소에, 특정 모니터링을 수행하는 모니터링함수가 저장된 적어도 하나의 제2주소로 접근시키는 주소이동함수를 저장한다(S110).

이에, 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 시스템함수테이블(115)에서, 시스템함수(func1)의 주소정보를 주소이동함수(jumper)이 어드레싱된 주소정보로 변경할 수 있다.

즉, 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 시스템함수(func1)에 대한 특정 모니터링을 수행하기 위해, 시스템함수테이블(115)에서 시스템함수(func1)의 주소정보를 주소이동함수가 저장된 제1주소의 주소정보로 변경하게 된다.

이에, 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 시스템함수(func1) 호출이 요청되는 경우, 시스템함수테이블(115)을 기초로 시스템함수(func1)의 변경된 주소정보를 기초로 제1메모리영역에 접근하여 주소이동함수(jumper)를 호출하고, 주소이동함수(jumper)에 의해 제2메모리영역에 어드레싱된 주소정보를 기초로 제2메모리영역에 접근되어 저장된 모니터링함수1을 호출할 수 있다.

즉, 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 시스템함수(func1) 호출이 요청되는 경우, 시스템함수테이블(115)을 기초로 시스템함수(func1)의 변경된 주소정보에 따른 제1주소에 접근하여 주소이동함수를 호출하게 된다(S130).

본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 주소이동함수가 모니터링함수1이 저장된 제2주소로 이동(redirection)시켜, 주소이동함수에 의해 접근(지정) 불가능한 나머지 주소범위 내의 제2주소로 접근하는 결과를 얻게 되어(S140), 모니터링함수1을 호출할 수 있다(S150).

이하에서는 도 7을 참조하여 본 발명의 제2실시예에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법을 설명하도록 한다.

본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 메모리장치(120)의 전체 메모리영역 중 메모리접근모듈(110)에서 접근 불가능한 다수의 제2메모리영역에 각 모니터링함수 예컨대 모니터링함수1 및 모니터링함수2를 저장한다.

중 메모리접근모듈(110)에 의해 접근 가능한 일부 주소범위

를 제외한 나머지 주소범위 내 적어도 하나의 제2주소에 특정 모니터링을 수행하는 각 모니터링함수1,2를 저장한다(S200).

그리고, 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 메모리장치(120)의 전체 메모리영역 중 메모리접근모듈(110)에서 접근 불가능한 특정 메모리영역(제2메모리영역과 동일한 의미의 영역)에, 핸들러게이트웨이함수를 저장할 수 있다.

이에, 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 메모리장치(120)의 전체 메모리영역 중 메모리접근모듈(110)에서 접근 가능한 하나의 제1메모리영역에, 핸들러게이트웨이함수가 저장된 특정 메모리영역에 어드레싱된 특정 주소정보를 포함하는 주소이동함수(jumper)를 저장할 수 있다.

즉 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 메모리접근모듈(110)에서 접근 가능한 일부 주소범위

내의 제1주소에, 시스템함수식별정보 별로 매핑된 각 모니터링함수가 저장된 다수의 제2주소에 대하여 접근을 중계하는 핸들러게이트웨이함수가 저장된 특정 주소로 접근시키는 주소이동함수를 저장한다(S210).

그리고 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 시스템함수테이블(115)에서, 상기 각 모니터링함수에 따른 모니터링의 수행 대상으로 확인되는 상기 각 시스템함수식별정보에 대응되는 각 시스템함수의 주소정보를 상기 주소이동함수가 저장된 상기 하나의 제1메모리영역에 어드레싱된 주소정보로 변경한다.

예컨대, 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 모니터링함수1에 의한 모니터링 수행 대상이 시스템함수(func1), 모니터링함수2에 의한 모니터링 수행 대상이 시스템함수(func2)라고 하면, 시스템함수테이블(115)에서, 시스템함수(func1)의 주소정보 및 시스템함수(func2)의 주소정보를 주소이동함수(jumper)이 어드레싱된 주소정보로 변경할 수 있다.

즉, 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 시스템함수(func1) 및 시스템함수(func2)에 대한 특정 모니터링을 수행하기 위해, 시스템함수테이블(115)에서 시스템함수(func1) 및 시스템함수(func2)의 주소정보를 주소이동함수가 저장된 제1주소의 주소정보로 변경하게 된다(S220).

이에, 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 시스템함수(func1) 호출이 요청되는 경우, 시스템함수테이블(115)에서 확인되는 시스템함수(func1)의 변경된 주소정보를 기초로 하나의 제1메모리영역에 접근하여 주소이동함수(jumper)를 호출하고, 주소이동함수(jumper)에 의해 상기 특정 주소정보를 기초로 상기 특정 메모리영역에 접근되어 핸들러게이트웨이함수를 호출하고, 핸들러게이트웨이함수에 의해 다수의 제2메모리영역 중 시스템함수(func1)의 시스템함수식별정보에 매핑된 모니터링함수1가 저장된 제2메모리영역에 접근되어 모니터링함수1를 호출할 수 있다.

즉, 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 시스템함수(func1) 호출이 요청되는 경우, 시스템함수테이블(115)을 기초로 시스템함수(func1)의 변경된 주소정보에 따른 제1주소에 접근하여 주소이동함수를 호출하게 된다(S230).

이에, 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 주소이동함수가 핸들러게이트웨이함수가 저장된 특정 주소로 이동(redirection)시켜, 주소이동함수에 의해 접근(지정) 불가능한 나머지 주소범위 내의 특정 주소로 접근하는 결과를 얻게 되어 핸들러게이트웨이함수를 호출하게 되고(S240), 핸들러게이트웨이함수에 의해 시스템함수(func1)의 시스템함수식별정보에 매핑된 제2주소에 접근되어(S250), 저장된 모니터링함수1을 호출할 수 있다(S260). 이에, 모니터링함수1은, 자신에 설정된 모니터링 기능을 기존과 같이 수행하게 되고 이후 원래의 시스템함수1을 호출하도록 한다.

한편, 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 시스템함수(func2) 호출이 요청되는 경우, 전술의 SS230~S260단계에서, 시스템함수테이블(115)에서 확인되는 시스템함수(func1)의 변경된 주소정보를 기초로 하나의 제1메모리영역에 접근하여 주소이동함수(jumper)를 호출하고, 주소이동함수(jumper)에 의해 상기 특정 주소정보를 기초로 상기 특정 메모리영역에 접근되어 핸들러게이트웨이함수를 호출하고, 핸들러게이트웨이함수에 의해 다수의 제2메모리영역 중 시스템함수(func2)의 시스템함수식별정보에 매핑된 모니터링함수2가 저장된 제2메모리영역에 접근되어 모니터링함수2를 호출할 수 있다.

즉, 본 발명에 따른 컴퓨터 시스템의 시스템함수 모니터링 방법은, 시스템함수(func1)가 호출되든 또는 시스템함수(func2)가 호출되든, 시스템함수테이블(115)을 기초로 동일한 하나의 제1주소에 접근하여 주소이동함수를 호출하게 되고, 주소이동함수가 핸들러게이트웨이함수가 저장된 특정 주소로 이동(redirection)시켜, 주소이동함수에 의해 접근(지정) 불가능한 나머지 주소범위 내의 특정 주소로 접근하는 결과를 얻게 되어 핸들러게이트웨이함수를 호출하게 된고, 핸들러게이트웨이함수에 의해 해당되는 모니터링함수1 또는 모니터링함수2를 호출할 수 있게 된다.

이상에서 설명한 바와 같이 본 발명에 따르면, 메모리장치(120)의 전체 주소범위에 대응하는 비트 수 즉 OS 환경 보다 작은 비트 수의 메모리영역 접근 방식을 지원하는 (메모리접근모듈(110)을 갖는 경우, 메모리장치(120)의 전체 주소범위 중 접근(지정) 가능한 일부 주소범위 내에 접근(지정) 불가능한 나머지 주소범위로 이동시키기 위한 주소이동함수를 저장함으로써 메모리장치(120)의 전체 주소범위를 효과적으로 이용할 수 있고, 이를 기반으로 시스템함수 모니터링을 실현하여 64bit OS 환경에서도 32bit OS와 같이 커널모드에서 후킹이 가능해져 32bit OS와 동일한 수준의 보안 기능을 제공할 수 있다.

본 발명의 일실시예에 따른 컴퓨터 시스템의 주소 이동 방법과 컴퓨터 시스템의 시스템함수 모니터링 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.

Claims

메모리장치; 및

상기 메모리장치의 전체 메모리영역 중 일부 메모리영역에 접근 가능한 메모리접근모듈을 포함하고;

상기 메모리장치는,

상기 일부 메모리영역 내 적어도 하나의 제1메모리영역에, 상기 전체 메모리영역 중 상기 일부 메모리영역을 제외한 나머지 메모리영역 내 적어도 하나의 제2메모리영역으로 접근시키는 주소이동함수가 저장되어, 상기 메모리접근모듈에서 상기 적어도 하나의 제1메모리영역에 어드레싱된 주소정보를 기초로 상기 적어도 하나의 제1메모리영역에 접근하여 상기 주소이동함수를 호출하면, 상기 주소이동함수에 의해 상기 메모리접근모듈이 상기 적어도 하나의 제2메모리영역으로 접근되는 것을 특징으로 하는 컴퓨터 시스템.
제 1 항에 있어서,

상기 메모리접근모듈은,

상기 메모리장치의 전체 메모리영역에 대응되는 비트(bit) 수 보다 작은 비트수를 기초로 하며 상기 일부 메모리영역 내 각 메모리영역에 접근하기 위한 주소정보를 저장하는 것을 특징으로 하는 컴퓨터 시스템.
제 2 항에 있어서,

상기 메모리접근모듈은,

상기 주소정보를 기초로 상대주소 접근방식에 따라 상기 일부 메모리영역 내 각 메모리영역에 접근하는 것을 특징으로 하는 컴퓨터 시스템.
제 2 항 또는 제 3 항에 있어서,

상기 메모리접근모듈은,

각 시스템함수 별로 상기 메모리장치에서 저장된 메모리영역에 어드레싱된 주소정보를 포함하는 시스템함수테이블을 포함하며, 특정 시스템함수의 호출이 요청되는 경우 상기 시스템함수테이블에서 확인되는 상기 특정 시스템함수의 주소정보를 기초로 상기 특정 시스템함수가 저장된 메모리영역에 접근하여 상기 특정 시스템함수를 호출하는 것을 특징으로 하는 컴퓨터 시스템.
제 4 항에 있어서,

상기 적어도 하나의 제1메모리영역에, 특정 모니터링을 수행하는 모니터링함수가 저장된 상기 적어도 하나의 제2메모리영역에 어드레싱된 주소정보를 포함하는 상기 주소이동함수를 저장하는 모니터링제어모듈을 더 포함하는 것을 특징으로 하는 컴퓨터 시스템.
제 5 항에 있어서,

상기 모니터링제어모듈은,

상기 시스템함수테이블에서, 상기 특정 모니터링의 수행 대상으로 확인되는 상기 특정 시스템함수의 주소정보를 상기 주소이동함수가 저장된 상기 적어도 하나의 제1메모리영역에 어드레싱된 주소정보로 변경하는 것을 특징으로 하는 컴퓨터 시스템.
제 6 항에 있어서,

상기 메모리접근모듈은,

상기 특정 시스템함수의 호출이 요청되는 경우, 상기 시스템함수테이블에서 확인되는 상기 특정 시스템함수의 변경된 주소정보를 기초로 상기 적어도 하나의 제1메모리영역에 접근하여 상기 주소이동함수를 호출하고, 상기 주소이동함수에 의해 상기 적어도 하나의 제2메모리영역에 어드레싱된 주소정보를 기초로 상기 적어도 하나의 제2메모리영역에 접근되어 상기 모니터링함수를 호출하는 것을 특징으로 하는 컴퓨터 시스템.
제 4 항에 있어서,

하나의 제1메모리영역에, 각 시스템함수식별정보에 매핑된 각 모니터링함수가 저장된 다수의 제2메모리영역에 대하여 접근을 중계하는 핸들러게이트웨이함수가 저장된 특정 메모리영역에 어드레싱된 특정 주소정보를 포함하는 상기 주소이동함수를 저장하는 모니터링제어모듈을 더 포함하는 것을 특징으로 하는 컴퓨터 시스템.
제 8 항에 있어서,

상기 모니터링제어모듈은,

상기 시스템함수테이블에서, 상기 각 모니터링함수에 따른 모니터링의 수행 대상으로 확인되는 상기 각 시스템함수식별정보에 대응되는 각 시스템함수의 주소정보를 상기 주소이동함수가 저장된 상기 하나의 제1메모리영역에 어드레싱된 주소정보로 변경하는 것을 특징으로 하는 컴퓨터 시스템.
제 9 항에 있어서,

상기 메모리접근모듈은,

상기 각 시스템함수 중 특정 시스템함수의 호출이 요청되는 경우, 상기 시스템함수테이블에서 확인되는 상기 특정 시스템함수의 변경된 주소정보를 기초로 상기 하나의 제1메모리영역에 접근하여 상기 주소이동함수를 호출하고, 상기 주소이동함수에 의해 상기 특정 주소정보를 기초로 상기 특정 메모리영역에 접근되어 상기 핸들러게이트웨이함수를 호출하고, 상기 핸들러게이트웨이함수에 의해 상기 다수의 제2메모리영역 중 상기 특정 시스템함수의 시스템함수식별정보에 매핑된 특정 모니터링함수가 저장된 제2메모리영역에 접근되어 상기 특정 모니터링함수를 호출하는 것을 특징으로 하는 컴퓨터 시스템.
제 6 항에 있어서,

상기 핸들러게이트웨이함수가 저장된 상기 특정 메모리영역은,

상기 메모리장치의 상기 전체 메모리영역 중 상기 나머지 메모리영역 내에 속하는 것을 특징으로 하는 컴퓨터 시스템.
메모리장치의 전체 메모리영역 중 메모리접근모듈에 의해 접근 가능한 일부 메모리영역 내 적어도 하나의 제1메모리영역에, 상기 전체 메모리영역 중 상기 일부 메모리영역을 제외한 나머지 메모리영역 내 적어도 하나의 제2메모리영역으로 접근시키는 주소이동함수가 저장되는 단계; 및

상기 메모리접근모듈에서 상기 적어도 하나의 제1메모리영역에 어드레싱된 주소정보를 기초로 상기 적어도 하나의 제1메모리영역에 접근하여 상기 주소이동함수를 호출하면, 상기 주소이동함수에 의해 상기 메모리접근모듈이 상기 적어도 하나의 제2메모리영역으로 접근되는 단계를 포함하는 것을 특징으로 하는 컴퓨터 시스템의 주소 이동 방법.
메모리장치의 전체 메모리영역 중 메모리접근모듈에 의해 접근 가능한 일부 메모리영역을 제외한 나머지 메모리영역 내 적어도 하나의 제2메모리영역에, 특정 모니터링을 수행하는 모니터링함수를 저장하는 단계;

상기 메모리장치의 상기 일부 메모리영역 내 적어도 하나의 제1메모리영역에, 상기 적어도 하나의 제2메모리영역으로 접근시키는 주소이동함수를 저장하는 단계;

각 시스템함수 별로 상기 메모리장치에서 저장된 메모리영역에 어드레싱된 주소정보를 포함하는 시스템함수테이블에서, 상기 특정 모니터링의 수행 대상으로 확인되는 특정 시스템함수의 주소정보를 상기 주소이동함수가 저장된 상기 적어도 하나의 제1메모리영역에 어드레싱된 주소정보로 변경하는 단계;

상기 메모리접근모듈에서 상기 특정 시스템함수의 호출이 요청되는 경우, 상기 시스템함수테이블에서 확인되는 상기 특정 시스템함수의 변경된 주소정보를 기초로 상기 적어도 하나의 제1메모리영역에 접근하여 상기 주소이동함수를 호출하는 단계; 및

상기 메모리접근모듈에서 상기 주소이동함수에 의해 상기 적어도 하나의 제2메모리영역에 접근되어 상기 모니터링함수를 호출하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 시스템의 시스템함수 모니터링 방법.
메모리장치의 전체 메모리영역 중 메모리접근모듈에 의해 접근 가능한 일부 메모리영역을 제외한 나머지 메모리영역 내 다수의 제2메모리영역에, 각 시스템함수식별정보 별로 매핑된 각 모니터링함수를 저장하는 단계;

상기 메모리장치의 상기 일부 메모리영역 내 하나의 제1메모리영역에, 상기 각 시스템함수식별정보에 따라 상기 다수의 제2메모리영역에 대하여 접근을 중계하는 핸들러게이트웨이함수가 저장된 특정 메모리영역으로 접근시키는 주소이동함수를 저장하는 단계;

각 시스템함수 별로 상기 메모리장치 내에서 저장된 주소를 나타내는 주소정보를 포함하는 시스템함수테이블에서, 상기 각 모니터링함수에 따른 모니터링의 수행 대상으로 확인되는 상기 각 시스템함수식별정보에 대응되는 각 시스템함수의 주소정보를 상기 주소이동함수가 저장된 상기 하나의 제1메모리영역에 어드레싱된 주소정보로 변경하는 단계;

상기 메모리접근모듈에서 상기 각 시스템함수 중 특정 시스템함수의 호출이 요청되는 경우, 상기 시스템함수테이블에서 확인되는 상기 특정 시스템함수의 변경된 주소정보를 기초로 상기 하나의 제1메모리영역에 접근하여 상기 주소이동함수를 호출하는 단계;

상기 메모리접근모듈에서 상기 주소이동함수에 의해 상기 특정 주소정보를 기초로 상기 특정 메모리영역에 접근되어 상기 핸들러게이트웨이함수를 호출하는 단계; 및

상기 메모리접근모듈에서 상기 핸들러게이트웨이함수에 의해 상기 다수의 제2메모리영역 중 상기 특정 시스템함수의 시스템함수식별정보에 매핑된 특정 모니터링함수가 저장된 제2메모리영역에 접근되어 상기 특정 모니터링함수를 호출하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 시스템의 시스템함수 모니터링 방법.
제 12 항 내지 제 14 항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.