1 |
1
수집된 PDF 문서 내부에 포함된 복수 개의 객체 정보를 찾아 추출하는 객체 추출 모듈;상기 추출된 복수 개의 객체 정보에서 각 제1 자바 스크립트 정보를 병합하여 제2 자바 스크립트 정보를 생성하는 스크립트 병합 모듈;상기 생성된 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있을 경우, 상기 난독화/인코딩된 제2 자바 스크립트 정보를 복호화/디코딩하여 제3 자바 스크립트 정보를 생성하는 난독화 해제 모듈;상기 생성된 제3 자바 스크립트 정보를 파싱하여 악성 코드로 의심되는 함수/패턴 정보를 추출하는 스크립트 정적 모듈;상기 추출된 악성 코드로 의심되는 함수와 패턴 정보가 포함된 제4 자바 스크립트 정보를 실행하여 악성 코드로 의심되는 행위 정보를 생성하는 스크립트 동적 모듈;상기 행위 정보로부터 악성 코드 정보를 추출하는 악성 코드 추출 모듈; 및상기 객체 추출 모듈에 의해 추출된 복수 개의 객체 정보 내에 제1 자바 스크립트 정보가 없는 경우 상기 수집된 PDF 문서를 실행시켜 행위 분석을 수행하는 PDF 동적 모듈;를 포함하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 시스템
|
2 |
2
삭제
|
3 |
3
제 1항에 있어서,상기 악성 코드 추출 모듈은,상기 행위 분석을 통해 확인된 악성 코드 정보를 추출하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 시스템
|
4 |
4
제 3항에 있어서,상기 객체 추출 모듈은,각 텍스트 정보, 제1 자바 스크립트 정보 및 테이블 정보 중 적어도 하나 이상을 포함하는 복수 개의 객체 정보를 추출하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 시스템
|
5 |
5
제 1항에 있어서,상기 스크립트 정적 모듈은,URL, PE 파일(실행 파일), JS
|
6 |
6
(a) 수집된 PDF 문서 내부에 포함된 복수 개의 객체 정보를 구문 분석하는 단계;(b) 상기 분석 결과, 상기 복수 개의 객체 정보 내에 제1 자바 스크립트 정보가 있는지를 판단하는 단계;(c) 상기 판단 결과 제1 자바 스크립트 정보가 있다고 판단되면, 상기 제1 자바 스크립트 정보를 병합하는 단계;(d) 상기 병합에 의해 생성된 제2 자바 스크립트 정보가 난독화/인코딩이 되어 있는지를 판단하는 단계;(e) 상기 판단 결과 난독화/인코딩되어 있을 경우 상기 제2 자바 스크립트 정보를 복호화/디코딩하는 단계;(f) 상기 복호화/디코딩되어 생성된 제3 자바 스크립트 정보를 파싱하여 스크립트 정적 분석하는 단계;(g) 상기 스크립트 정적 분석에 의해 악성 코드로 의심되는 함수/패턴 정보를 포함하여 생성된 제4 자바 스크립트를 스크립트 동적 분석하는 단계;(h) 상기 스크립트 동적 분석에 의해 획득된 행위 정보로부터 악성 코드 정보를 추출하는 단계; 및(i) 상기 (b) 단계의 판단 결과 제1 자바 스크립트 정보가 없다고 판단되면, 상기 수집된 PDF 문서를 실행시켜 동적 행위 분석하는 단계;를 포함하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 방법
|
7 |
7
삭제
|
8 |
8
제 6항에 있어서,상기 (h) 단계는,(h-1) 상기 (i) 단계의 동적 행위 분석을 통해 획득된 행위 정보로부터 악성 코드 정보를 추출하는 단계;를 더 포함하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 방법
|
9 |
9
제 6항에 있어서,상기 (d) 단계의 판단 결과 난독화/인코딩되어 있지 않을 경우, 상기 (f) 단계는, 상기 제2 자바 스크립트 정보를 파싱하여 스크립트 정적 분석하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 방법
|
10 |
10
제 9항에 있어서,상기 제2 자바 스크립트 정보에 의한 스크립트 정정 분석 후, 그 결과에 대하여 상기 (g) 단계와 (h) 단계를 수행하는 것을 특징으로 하는 PDF 문서형 악성코드 탐지 방법
|