1 |
1
운영 체제의 버전 별로 문서 편집기의 서로 다른 버전이 설치된 복수 개의 가상 머신들중에서 선택된 하나 이상의 가상 머신이, 입력된 문서 파일을 상기 설치된 문서 편집기를 통해 실행하고 미리 설치된 행위 분석 프로그램을 이용하여 상기 문서 파일의 실행에 따른 해당 가상 머신의 작동 상태를 포함하는 행위 분석 결과를 생성하되, 상기 실행된 문서 편집기로 상기 문서 파일을 실행하는 방식, 프로세스 실행 함수를 이용하여 상기 문서 파일을 실행하는 방식, 및 명령 프롬프트를 이용하여 상기 문서 파일을 실행하는 방식으로 상기 문서 파일을 실행하는 단계;상기 행위 분석 프로그램을 이용하여 상기 다수의 파일 실행 방식에 근거한 상기 문서 파일의 실행에 따른 해당 가상 머신의 작동 상태를 포함하는 행위 분석 결과들을 수집하는 단계;상기 수집한 행위 분석 결과들을 비교하여 작동 상태가 상이한 행위 분석 결과를 검출하는 단계;상기 검출된 행위 분석 결과로부터 상기 문서 파일이 악성코드가 삽입된 악성 문서 파일인지를 판단하는 단계; 및상기 문서 파일이 상기 악성 문서 파일인 경우, 상기 검출된 행위 분석 결과를 이용하여 상기 악성코드가 실행될 수 있는 조건을 검출하는 단계를 포함하는 것을 특징으로 하는 문서기반 악성코드 탐지 방법
|
2 |
2
삭제
|
3 |
3
삭제
|
4 |
4
삭제
|
5 |
5
삭제
|
6 |
6
청구항 1에 있어서,상기 행위 분석 결과들은상기 문서 파일의 실행에 따른 파일, 레지스트리, 프로세스 또는 네트워크 중 하나 이상의 작동 상태를 각각 포함하는 문서기반 악성코드 탐지 방법
|
7 |
7
청구항 6에 있어서,상기 악성 문서 파일인지를 판단하는 단계는상기 검출된 행위 분석 결과가 허용되지 않는 작동 상태를 포함하는지를 판단하여 상기 문서 파일이 상기 악성 문서 파일인지를 판단하는 문서기반 악성코드 탐지 방법
|
8 |
8
청구항 1에 있어서,상기 악성코드가 실행될 수 있는 조건은,상기 악성코드가 삽입된 문서 파일을 실행시킨 해당 운영 체제의 버전과 해당 문서 편집기의 버전 및 파일 실행 방식을 포함하는 것을 특징으로 하는 문서기반 악성코드 탐지 방법
|
9 |
9
운영 체제의 버전 별로 문서 편집기의 서로 다른 버전이 설치된 복수 개의 가상 머신들을 포함하고, 상기 복수 개의 가상 머신들 각각은 입력된 문서 파일을 상기 설치된 문서 편집기를 통해 실행하고 미리 설치된 행위 분석 프로그램을 이용하여 상기 문서 파일의 실행에 따른 해당 가상 머신의 작동 상태를 포함하는 행위 분석 결과를 생성하고, 상기 복수 개의 가상 머신들 각각은 상기 실행된 문서 편집기로 상기 문서 파일을 실행하는 방식, 프로세스 실행 함수를 이용하여 상기 문서 파일을 실행하는 방식, 및 명령 프롬프트를 이용하여 상기 문서 파일을 실행하는 방식으로 상기 문서 파일을 실행하는 가상 머신부; 상기 복수 개의 가상 머신들 중에서 상기 문서 파일의 확장자에 대응되는 문서 편집기가 설치된 가상 머신들을 선택하고, 선택된 가상 머신들이 상기 문서 파일을 실행하도록 상기 선택된 가상 머신들로 상기 문서 파일을 전달하는 가상 머신 실행부;상기 선택된 가상 머신들로부터 상기 다수의 파일 실행 방식에 근거한 상기 문서 파일의 실행에 따른 행위 분석 결과들을 수집하고, 상기 행위 분석 결과들을 비교하여 작동 상태가 상이한 행위 분석 결과를 검출하는 결과 분석부; 및검출된 상기 행위 분석 결과를 이용하여 상기 문서 파일에 악성코드가 삽입되었는지를 식별하는 악성코드 식별부를 포함하는 것을 특징으로 하는 문서기반 악성코드 탐지 장치
|
10 |
10
삭제
|
11 |
11
삭제
|
12 |
12
삭제
|
13 |
13
청구항 9에 있어서,상기 악성코드 식별부는상기 문서 파일에 상기 악성코드가 삽입된 경우, 상기 검출된 행위 분석 결과에 대응되는 가상 머신에 설치된 운영 체제의 버전 및 상기 문서 편집기의 버전을 검출하여 상기 악성코드의 실행 조건을 식별하는 문서기반 악성코드 탐지 장치
|
14 |
14
청구항 9에 있어서,상기 악성코드 식별부는상기 검출된 행위 분석 결과가 허용되지 아니한 작동 상태를 포함하는지를 판단하여 상기 문서 파일에 상기 악성코드가 삽입되었는지를 식별하는 문서기반 악성코드 탐지 장치
|