1 |
1
제조업체별로 제작된 DLL 파일의 PE 헤더 정보 및 구조적 특성 정보를 포함하는 DLL 정보를 추출하여 프로파일링 DB에 저장하는 단계;
프로세스가 실행되기 전에 상기 프로세스의 이미지 파일로부터 제1 동적 연결 라이브러리(Dynamic Link Library : DLL) 정보를 수집하는 단계;
상기 프로세스가 실행됨에 따라 메모리로 로딩되는 제2 DLL 정보를 수집하는 단계;
상기 수집된 제1 DLL 정보 및 제2 DLL 정보를 비교하여 명시적 DLL 정보를 추출하는 단계; 및
상기 추출된 명시적 DLL 정보에 포함된 PE 헤더 및 구조적 특성 정보와 상기 프로파일링 DB에 저장된 제조업체별 DLL 파일의 DLL 정보에 포함된 PE 헤더 및 구조적 특성 정보를 비교하여 상이할 경우 상기 명시적 DLL을 악성 코드에 의해 삽입된 DLL로 판단하는 단계
를 포함하는 악성 코드에 의해 삽입된 DLL 검출 방법
|
2 |
2
제 1항에 있어서,
상기 제1 DLL 정보의 수집은, 윈도즈 운영 체제에서 바이너리 파일이 가지는 이식 가능 프로그램(Portable Executable : PE) 파일 형식에 대한 추적에 의해 이루어지는 악성 코드에 의해 삽입된 DLL 검출 방법
|
3 |
3
제 1항에 있어서,
상기 제2 DLL 정보의 수집은, 운영 체제의 프로세스 목록에 관한 정보를 제공하는 PSAPI(Process Status Application Programming Interface) 라이브러리를 활용하여 이루어지는 악성 코드에 의해 삽입된 DLL 검출 방법
|
4 |
4
제 1항에 있어서,
상기 명시적 DLL 정보는, 상기 제1 DLL 정보에는 포함되지 않으나 상기 제2 DLL 정보에는 포함되는 DLL에 관한 정보인 악성 코드에 의해 삽입된 DLL 검출 방법
|
5 |
5
삭제
|
6 |
6
삭제
|
7 |
7
삭제
|
8 |
8
제조업체별 제작된 DLL 파일의 PE 헤더 정보 및 구조적 특성 정보를 포함하는 DLL 정보를 저장하는 프로파일링 DB;
프로세스 실행 전에상기 프로세스의 이미지 파일로부터 제1 DLL 정보를 수집하고, 상기 프로세스가 실행됨에 따라 메모리로 로딩되는 제2 DLL 정보를 수집하는 DLL 정보 수집부; 및
상기 수집된 제1 DLL 정보 및 제2 DLL 정보를 비교하여, 명시적 DLL 정보를 추출하고, 상기 추출된 명시적 DLL이 악성 코드에 의해 삽입된 DLL인지 검출하는 악의적 DLL 검출부 - 상기 악의적 DLL 검출부는 상기 프로파일링 DB에 저장된 제조업체별 DLL 파일의 DLL 정보에 포함된 PE 헤더 및 구조 특성 정보와 상기 명시적 DLL 정보에 포함된 PE 헤더 및 구조 특성 정보를 비교하여 다를 경우 상기 명시적 DLL이 악성 코드에 의해 삽입된 DLL로 판단함-
를 포함하는 악성 코드에 의해 삽입된 DLL 검출 장치
|
9 |
9
제 8항에 있어서,
상기 DLL 정보 수집부는 윈도즈 환경에서의 바이너리 파일이 가지는 이식 가능 프로그램(Portable Executable : PE) 파일 형식에 대한 추적을 통해 상기 이미지 파일로부터의 제1 DLL 정보를 수집하는 제1 DLL 정보 수집부
를 포함하는 악성 코드에 의해 삽입된 DLL 검출 장치
|
10 |
10
제 8항에 있어서,
상기 DLL 정보 수집부는 운영체제의 프로세스 목록에 관한 정보를 제공하는 PSAPI(Process Status Application Programming Interface) 라이브러리를 활용하여 상기 메모리로 로딩되는 제2 DLL 정보를 수집하는 제2 DLL 정보 수집부
를 포함하는 악성 코드에 의해 삽입된 DLL검출 장치
|
11 |
11
제 8항에 있어서,
상기 악의적 DLL 검출부는, 상기 제1 DLL 정보에는 포함되지 않으나 상기 제2 DLL 정보에는 포함되는 DLL에 관한 정보를 상기 명시적 DLL 정보로 추출하는
악성 코드에 의해 삽입된 DLL 검출 장치
|
12 |
12
삭제
|
13 |
13
삭제
|
14 |
14
삭제
|