1 |
1
하나 이상의 악성 코드들에 관한 정보를 관리하도록 구성되는 악성 코드 관리 서버; 및각각이 상기 하나 이상의 악성 코드들 중 적어도 하나를 실행하도록 구성되는 하나 이상의 호스트 장치들을 포함하되,상기 하나 이상의 호스트 장치들 각각은:상기 악성 코드 관리 서버와 통신하도록 구성되는 호스트측 통신 모듈;상기 호스트측 통신 모듈을 통해 상기 악성 코드 관리 서버로부터 제공받은 분석 대상 악성 코드를 실행하도록 구성되는 악성 코드 실행기;상기 분석 대상 악성 코드가 실행되는 동안 수행되는 동작들에 관한 동작 정보를 수집하도록 구성되는 호스트 정보 수집기;상기 분석 대상 악성 코드를 실행하기 전의 동작 상태를 복구하도록 구성되는 호스트 상태 복구기; 및상기 호스트측 통신 모듈, 상기 악성 코드 실행기, 상기 호스트 정보 수집기, 및 상기 호스트 상태 복구기의 동작들을 제어하도록 구성되는 프로세서를 포함하고,상기 악성 코드 실행기는 상기 악성 코드 실행기를 포함하는 호스트 장치 자체의 실제 자원들을 이용하여 상기 프로세서에 의해 처리되는 명령어 집합 구조에 따라 상기 분석 대상 악성 코드를 실행하도록 구성되는 전자 시스템
|
2 |
2
제 1 항에 있어서,상기 호스트 정보 수집기는 상기 동작 정보로서 상기 분석 대상 악성 코드가 실행되는 동안 발생하는 시스템 호출들을 후킹하도록 구성되는 전자 시스템
|
3 |
3
제 1 항에 있어서,상기 악성 코드 관리 서버는:상기 하나 이상의 악성 코드들을 수집하도록 구성되는 수집 봇;상기 수집된 악성 코드들을 저장하고, 상기 저장된 악성 코드들 각각이 분석되었는지 여부에 관한 분석 상태 값을 상기 저장된 악성 코드들 각각에 할당하도록 구성되는 악성 코드 관리기;상기 저장된 악성 코드들 중에서 하나 이상의 중복되는 악성 코드들을 제거하도록 구성되는 중복 코드 제거기; 및상기 저장된 악성 코드들 중에서 상기 분석 대상 악성 코드를 상기 호스트측 통신 모듈로 제공하도록 구성되는 서버측 통신 모듈을 포함하는 전자 시스템
|
4 |
4
제 3 항에 있어서,상기 분석 상태 값은 상기 저장된 악성 코드들 각각의 분석이 대기 중임을 나타내는 값, 상기 저장된 악성 코드들 각각이 분석 중임을 나타내는 값, 상기 저장된 악성 코드들 각각의 분석이 완료되었음을 나타내는 값, 및 상기 저장된 악성 코드가 분석되지 않을 것임을 나타내는 값 중 하나에 대응하는 전자 시스템
|
5 |
5
제 3 항에 있어서,상기 악성 코드 관리기는 상기 서버측 통신 모듈을 통해 상기 호스트 정보 수집기로부터 제공받은 상기 동작 정보를 저장하도록 더 구성되는 전자 시스템
|
6 |
6
악성 코드에 관한 정보를 관리하기 위한 서버와 통신하여 분석 대상 악성 코드를 제공받도록 구성되는 통신 모듈;상기 분석 대상 악성 코드를 실행하도록 구성되는 악성 코드 실행기;상기 분석 대상 악성 코드가 실행되는 동안 수행되는 동작들에 관한 동작 정보를 수집하도록 구성되는 동작 정보 수집기;상기 분석 대상 악성 코드를 실행하기 전의 동작 상태를 복구하도록 구성되는 장치 상태 복구기; 및상기 통신 모듈, 상기 악성 코드 실행기, 상기 동작 정보 수집기, 및 상기 장치 상태 복구기의 동작들을 제어하도록 구성되는 프로세서를 포함하되,상기 악성 코드 실행기는 상기 악성 코드 실행기를 포함하는 장치 자체의 실제 자원들을 이용하여 상기 프로세서에 의해 처리되는 명령어 집합 구조에 따라 상기 분석 대상 악성 코드를 실행하도록 구성되는 컴퓨팅 장치
|
7 |
7
제 6 항에 있어서,상기 분석 대상 악성 코드를 실행하기 위한 실행 조건이 충족된 경우, 상기 통신 모듈은 상기 서버로 상기 분석 대상 악성 코드의 전송을 요청하도록 더 구성되는 컴퓨팅 장치
|
8 |
8
제 6 항에 있어서,상기 동작 정보 수집기는:상기 분석 대상 악성 코드가 실행되는 동안 발생하는 시스템 호출들을 후킹하도록 구성되는 이벤트 후커; 및상기 후킹된 시스템 호출들에 관한 로그를 생성하도록 구성되는 로그 생성기를 포함하고,상기 로그는 상기 동작 정보로서 스토리지 및 데이터베이스 중 적어도 하나에 저장되는 컴퓨팅 장치
|
9 |
9
제 6 항에 있어서,상기 분석 대상 악성 코드의 실행을 종료하기 위한 종료 조건이 충족된 경우:상기 악성 코드 실행기는 상기 분석 대상 악성 코드의 실행을 종료하고,상기 동작 정보 수집기는 상기 동작 정보의 수집을 종료하고,상기 장치 상태 복구기는 상기 분석 대상 악성 코드를 실행하기 전의 동작 상태를 복구하는 컴퓨팅 장치
|
10 |
10
제 9 항에 있어서,상기 장치 상태 복구기는:상기 분석 대상 악성 코드를 실행하기 전의 동작 상태에 대응하는 정상 상태의 운영 체제의 이미지를 저장하고,상기 종료 조건이 충족된 경우, 상기 저장된 이미지를 로드하여 상기 동작 상태를 복구하도록 구성되는 컴퓨팅 장치
|
11 |
11
제 9 항에 있어서,상기 종료 조건이 충족된 경우, 상기 수집된 동작 정보는 상기 통신 모듈을 통해 상기 서버로 제공되는 컴퓨팅 장치
|
12 |
12
하나 이상의 악성 코드들에 관한 정보를 관리하도록 구성되는 서버 시스템에 있어서,상기 하나 이상의 악성 코드들을 수집하도록 구성되는 수집 봇;상기 수집된 악성 코드들을 저장하고, 상기 저장된 악성 코드들 각각이 분석되었는지 여부에 관한 분석 상태 값을 상기 저장된 악성 코드들 각각에 할당하도록 구성되는 악성 코드 관리기; 및상기 저장된 악성 코드들 중에서 분석 대상 악성 코드를 단말 장치로 제공하고, 상기 분석 대상 악성 코드가 상기 단말 장치에서 실행되는 동안 수행되는 동작들에 관한 동작 정보를 상기 단말 장치로부터 제공받도록 구성되는 통신 모듈을 포함하되,상기 동작 정보는 상기 단말 장치 자체의 실제 자원들을 이용하여 상기 단말 장치의 프로세서에 의해 처리되는 명령어 집합 구조에 따라 상기 단말 장치에서 상기 분석 대상 악성 코드를 실행함으로써 수집되는 서버 시스템
|
13 |
13
제 12 항에 있어서상기 저장된 악성 코드들 중에서 하나 이상의 중복되는 악성 코드들을 제거하도록 구성되는 중복 코드 제거기를 더 포함하는 서버 시스템
|
14 |
14
제 12 항에 있어서,상기 수집 봇은 웹 크롤러로 구현되고, 웹 상의 정보로부터 상기 하나 이상의 악성 코드들을 수집하도록 구성되는 서버 시스템
|
15 |
15
제 12 항에 있어서,상기 분석 상태 값은 상기 저장된 악성 코드들 각각의 분석이 대기 중임을 나타내는 제 1 값, 상기 저장된 악성 코드들 각각이 분석 중임을 나타내는 제 2 값, 상기 저장된 악성 코드들 각각의 분석이 완료되었음을 나타내는 제 3 값, 및 상기 저장된 악성 코드가 분석되지 않을 것임을 나타내는 제 4 값 중 하나에 대응하는 서버 시스템
|
16 |
16
제 15 항에 있어서,상기 통신 모듈은 상기 저장된 악성 코드들 중에서 상기 제 1 값이 할당된 대기 악성 코드들 중 하나를 상기 분석 대상 악성 코드로서 상기 단말 장치로 제공하도록 구성되고,상기 분석 대상 악성 코드가 상기 단말 장치로 제공되는 경우, 상기 악성 코드 관리기는 상기 제공된 분석 대상 악성 코드에 할당된 상기 분석 상태 값을 상기 제 1 값에서 상기 제 2 값으로 변경하도록 구성되는 서버 시스템
|
17 |
17
제 16 항에 있어서,상기 통신 모듈이 상기 단말 장치로부터 상기 동작 정보를 제공받은 경우, 상기 악성 코드 관리기는:상기 제공된 분석 대상 악성 코드에 할당된 상기 분석 상태 값을 상기 제 2 값에서 상기 제 3 값으로 변경하고,상기 제공받은 동작 정보를 저장하도록 구성되는 서버 시스템
|