| 1 |
1
가상 환경에서 실행되며 취약점이 내포된 대상 프로그램에 악성 코드의 분석을 원하는 비실행 파일을 로드(load)하는 단계;
상기 대상 프로그램의 레지스터(register) 값을 분석하고, 상기 레지스터 값이 노멀 코드(normal code) 영역 내를 가리키는지 판단하는 단계;
상기 레지스터 값이 상기 노멀 코드 영역 이외의 영역을 가리키는 경우 상기 대상 프로그램의 동작에 관한 로그(log) 정보를 저장하는 단계; 및
상기 저장된 로그 정보를 기반으로 상기 비실행 파일에 포함된 악성 코드를 추출 및 분석하는 단계
를 포함하는 악성 코드 분석 방법
|
| 2 |
2
제 1항에 있어서, 상기 대상 프로그램의 동작에 관한 로그 정보를 저장하는 상기 단계는,
상기 레지스터 값을 지속적으로 분석하여 상기 레지스터 값이 상기 노멀 코드 영역 이외의 영역을 가리키기 시작한 시점에 상기 로그 정보를 저장하기 시작하고, 상기 레지스터 값이 상기 노멀 코드 영역 내를 가리키기 시작한 시점에 상기 로그 정보의 저장을 종료하는 단계
를 포함하는 악성 코드 분석 방법
|
| 3 |
3
제 2항에 있어서, 상기 대상 프로그램이 종료될 때까지, 상기 대상 프로그램의 레지스터 값을 분석하고 상기 레지스터 값이 노멀 코드영역 내를 가리키는지 판단하는 단계 및 상기 레지스터 값이 상기 노멀 코드 영역 이외의 영역을 가리키는 경우 상기 대상 프로그램의 동작에 관한 로그 정보를 저장하는 단계를 반복 수행하는 악성 코드 분석 방법
|
| 4 |
4
제 1항에 있어서, 상기 악성 코드의 추출 및 분석 후 상기 가상 환경을 상기 대상 프로그램 실행 이전의 상태로 전환하는 단계
를 더 포함하는 악성 코드 분석 방법
|
| 5 |
5
제 1항에 있어서, 상기 로그 정보는,
상기 대상 프로그램의 레지스터 값 및 가상 메모리에 로드된 상기 비실행 파일의 내용을 포함하는
악성 코드 분석 방법
|
| 6 |
6
가상 환경에서 실행되는 취약점이 내포된 대상 프로그램에 악성 코드의 분석을 원하는 비실행 파일을 로드(load)한 후, 상기 대상 프로그램의 레지스터(register) 값을 지속적으로 외부로 출력하는 프로그램 실행부;
상기 프로그램 실행부로부터 출력되는 레지스터 값을 분석하여 상기 레지스터 값이 노멀 코드(normal code) 영역 이외의 영역을 가리키는 경우 상기 대상 프로그램의 동작에 관한 로그(log) 정보를 로그 정보 데이터 베이스에 저장하는 프로그램 실행 분석부; 및
상기 저장된 로그 정보를 기반으로 상기 비실행 파일에 포함된 악성 코드를 추출 및 분석하는 악성 코드 분석부
를 포함하는 악성 코드 분석 장치
|
| 7 |
7
제 6항에 있어서, 상기 프로그램 실행 분석부는,
상기 프로그램 실행부로부터 지속적으로 출력되는 상기 레지스터 값을 분석하여 상기 레지스터 값이 상기 노멀 코드 영역 이외의 영역을 가리키기 시작한 시점에 상기 로그 정보를 저장하기 시작하고, 상기 레지스터 값이 상기 노멀 코드 영역 내를 가리키기 시작한 시점에 상기 로그 정보의 저장을 종료하는
악성 코드 분석 장치
|
| 8 |
8
제 6항에 있어서, 상기 악성 코드 분석부는,
상기 악성 코드의 분석 후 상기 가상 환경을 상기 대상 프로그램 실행 이전의 상태로 전환하는
악성 코드 분석 장치
|
| 9 |
9
제 6항에 있어서, 상기 로그 정보는,
상기 대상 프로그램의 레지스터 값 및 가상 메모리에 로드된 상기 비실행 파일의 내용을 포함하는
악성 코드 분석 장치
|
