1 |
1
컴퓨터 시스템상에서 실행중인 프로세스로부터 생성된 쓰레드 정보를 추출하여 상기 쓰레드에 연관된 코드 - 상기 쓰레드에 연관된 코드는 실행 파일이거나 DLL(Dynamic Link Library)임- 를 식별하고 상기 식별된 코드의 악성 여부를 추정하여 상기 악성으로 추정된 코드를 추출하는 악성코드 탐지모듈과, 상기 추출된 코드를 가상환경에서 실행하여 행위를 분석한 결과에 기반하여 상기 코드를 악성 코드로 최종 판단하고 상기 코드의 실행을 강제 종료하는 악성코드 강제 종료 모듈 을 포함하는 악성코드 탐지 장치
|
2 |
2
삭제
|
3 |
3
제1항에 있어서, 상기 악성코드 탐지모듈은, 상기 프로세스의 가상 메모리, 상기 식별된 코드의 PE(Portable Executable) 속성, 상기 식별된 코드의 서비스 속성 및 쓰레드 스택중 적어도 하나를 검사함으로써 상기 식별된 코드의 악성 여부를 추정하는 악성코드 탐지 장치
|
4 |
4
제1항에 있어서, 상기 악성코드 탐지모듈은 상기 쓰레드 정보를 추출하기 위해 상기 컴퓨터 시스템상에서 동작하는 프로세스 목록 및 각 프로세스에 의해 생성된 쓰레드 정보를 추출하는 악성코드 탐지 장치
|
5 |
5
제1항에 있어서, 상기 악성코드 탐지모듈은 상기 쓰레드를 생성한 프로세스의 가상메모리에 상기 쓰레드에 연관된 상기 코드에 해당하는 파일이름의 문자열이 존재하는지 검사하여 해당 문자열이 존재한다면 상기 코드를 악성으로 추정하는 악성코드 탐지 장치
|
6 |
6
제1항에 있어서, 상기 악성코드 탐지모듈은 상기 식별된 코드의 PE 속성을 검사하여 알려지지 않은 섹션이 존재하는 경우에 상기 코드를 악성으로 추정하는 악성코드 탐지 장치
|
7 |
7
제1항에 있어서, 상기 악성코드 탐지모듈은 상기 식별된 코드의 PE 속성을 검사하여 체크섬이 올바르지 않거나, 상기 PE 속성내의 파일 크기와 탐색기에서 나온 파일 크기가 상이한 경우에 상기 코드를 악성으로 추정하는 악성코드 탐지 장치
|
8 |
8
제1항에 있어서, 상기 악성코드 탐지모듈은 상기 식별된 코드에 의해 수행되는 서비스 속성을 검사하고, 상기 서비스가 다른 서비스와의 연관성 및 종속성이 없거나 자동 시작으로 설정되어 있는 경우에 상기 코드를 악성으로 추정하는 악성코드 탐지 장치
|
9 |
9
제1항에 있어서, 상기 악성코드 탐지모듈은 상기 쓰레드에 연관된 코드가 식별되지 않을 경우에 쓰레드 스택을 추적하여 상기 쓰레드가 사용중인 DLL 목록을 획득하고 상기 획득된 DLL의 PE 속성을 검사함으로써 상기 DLL의 악성 여부를 추정하는 악성코드 탐지 장치
|
10 |
10
제1항에 있어서, 상기 악성코드 강제 종료 모듈은 상기 코드의 행위 분석결과가 운영체제 방화벽 및 백신 무력화 행위, 가상환경 식별행위, 파일 및 레지스트리에 대한 생성/변경행위중 하나에 해당하는 경우 상기 코드를 악성코드로 최종 판단하는 악성코드 탐지 장치
|
11 |
11
컴퓨터 시스템상에서 실행중인 프로세스로부터 생성된 쓰레드 정보를 추출하여 상기 쓰레드에 연관된 코드를 식별하고 상기 식별된 코드의 악성 여부를 추정하여 상기 악성으로 추정된 코드를 추출하는 악성코드 탐지모듈과, 상기 추출된 코드의 가상환경 행위 분석 결과에 기반하여 상기 코드를 악성코드로 최종 판단하고 상기 코드의 실행을 강제 종료하는 악성코드 강제 종료 모듈을 구비하는 악성코드 탐지 장치와, 상기 악성코드 탐지모듈에 의해 추출된 코드를 가상환경에서 실행하여 상기 코드의 행위에 대한 로그를 생성하는 로그생성모듈과, 상기 로그를 이용하여 상기 코드의 행위가 운영체제 방화벽 및 백신 무력화 행위, 가상환경 식별행위, 파일 및 레지스트리에 대한 생성 또는 변경행위중 하나에 해당하는지 분석하고 상기 분석 결과를 상기 악성코드 강제 종료 모듈에 전달하는 악성행위 식별모듈을 구비하는 가상환경 악성코드 행위분석 장치를 포함하고,상기 악성코드 탐지 장치는 클라이언트에서 동작하고 상기 가상환경 악성코드 행위분석 장치는 서버에서 동작하는 악성코드 탐지 시스템
|
12 |
12
삭제
|
13 |
13
제11항에 있어서, 상기 악성코드 탐지 모듈은 상기 가상환경 악성코드 행위분석장치에 상기 추출된 코드의 가상환경 행위 분석을 요청하는 악성코드 탐지 시스템
|
14 |
14
컴퓨터 시스템상에서 실행중인 프로세스 목록 및 각 프로세스에 종속된 쓰레드 정보를 추출하는 단계; 상기 쓰레드에 연관된 코드를 식별하고, 상기 프로세스의 가상 메모리, 상기 코드의 PE 속성, 상기 코드와 서비스 프로세스와의 연관성 및 쓰레드 스택중 적어도 하나를 검사함으로써 상기 식별된 코드의 악성 여부를 추정하는 단계; 상기 악성으로 추정된 코드의 악성 위협도를 산출하는 단계; 상기 산출된 악성 위협도가 임계값 이상인 코드를 추출하여 가상환경 악성코드 행위 분석 장치에 분석 요청하는 단계; 상기 가상환경 악성코드 행위 분석 장치로부터 수신된 분석 결과에 기반하여 상기 코드를 악성코드로 최종 판단하는 단계; 및상기 악성 코드로 최종 판단된 코드의 실행을 강제 종료하는 단계를 포함하는 악성코드 탐지 방법
|
15 |
15
제14항에 있어서, 상기 코드를 악성코드로 최종 판단하는 단계는, 상기 가상환경 악성코드 행위 분석 장치의 분석 결과가 운영체제 방화벽 및 백신 무력화 행위, 가상환경 식별행위, 파일 및 레지스트리에 대한 생성/변경행위중 하나에 해당하는 경우에 상기 코드를 악성코드로 최종 판단하는 악성코드 탐지 방법
|