1 |
1
응용 프로세스(application process) 내에서 실행되는 실행 로직(execution logic)의 동작 및 상태를 모니터링 하는 내부 모니터링 모듈; 및상기 응용 프로세스 외부에 있는 운영 체제 계층(Operating System layer)에서의 API(Application Programming Interface) 호출 여부를 모니터링 하는 외부 모니터링 모듈;을 포함하고,상기 내부 모니터링 모듈과 상기 외부 모니터링 모듈은 서로 간에 상호 협력하여 악성 코드를 탐지하고, 상기 외부 모니터링 모듈은, 필요에 따라 상기 운영 체제 계층으로부터 상기 응용 프로세스의 일부 API 호출을 후킹하고, 상기 후킹된 정보를 상기 내부 모니터링 모듈로 전송하는, 악성 코드 탐지 시스템
|
2 |
2
제1항에 있어서,상기 내부 모니터링 모듈은상기 응용 프로세스의 실행 상태 정보를 상기 외부 모니터링 모듈로 전송하는 악성 코드 탐지 시스템
|
3 |
3
삭제
|
4 |
4
제1항에 있어서,상기 내부 모니터링 모듈은상기 응용 프로세스가 실행 중일 때, 상기 실행 중인 응용 프로세스의 API 호출 패턴과 기 저장된 정상 행위의 API 호출 패턴을 비교함으로써 악성 코드를 판단하는 악성 코드 탐지 시스템
|
5 |
5
제1항에 있어서,상기 내부 모니터링 모듈은상기 응용 프로세스가 실행 중일 때, 상기 내부 모니터링 모듈을 통해 호출된 API 호출 목록과 상기 외부 모니터링 모듈로부터 수신한 API 호출 정보를 비교함으로써 악성 코드를 판단하는 악성 코드 탐지 시스템
|
6 |
6
제1항에 있어서,상기 외부 모니터링 모듈은상기 내부 모니터링 모듈로부터 수신한 상기 응용 프로세스의 상태 정보를 기반으로, 상기 내부 모니터링 모듈로부터 호출된 API 호출 정보와 후킹한 API의 호출 정보를 비교함으로써 악성 코드를 판단하는 악성 코드 탐지 시스템
|
7 |
7
제1항에 있어서,상기 외부 모니터링 모듈은상기 응용 프로세스가 실행 중이지 않을 때, 상기 운영 체제 계층으로부터 후킹한 API 정보에서 상기 실행 중이지 않은 응용 프로세스에 대응하는 API 호출이 발견된 경우, 상기 발견된 API 호출에 대응하는 응용 프로세스를 악성 코드로 판단하는 악성 코드 탐지 시스템
|
8 |
8
내부 모니터링 모듈을 통해 응용 프로세스(application process) 내에서 실행되는 실행 로직(execution logic)의 동작 및 상태를 모니터링 하는 단계; 및외부 모니터링 모듈을 통해 상기 응용 프로세스 외부에 있는 운영 체제 계층(Operating System layer)에서의 API(Application Programming Interface) 호출 여부를 모니터링 하는 단계;를 포함하고,상기 내부 모니터링 모듈과 상기 외부 모니터링 모듈은 서로 간에 상호 협력하여 악성 코드를 탐지하고,상기 외부 모니터링 모듈을 통해 모니터링 하는 단계는, 필요에 따라 상기 운영 체제 계층으로부터 상기 응용 프로세스의 일부 API 호출을 후킹하고, 상기 후킹된 정보를 상기 내부 모니터링 모듈로 전송하는 악성 코드 탐지 방법
|
9 |
9
제8항에 있어서,상기 내부 모니터링 모듈을 통해 모니터링 하는 단계는상기 응용 프로세스의 실행 상태 정보를 상기 외부 모니터링 모듈로 전송하는 악성 코드 탐지 방법
|
10 |
10
삭제
|
11 |
11
제8항에 있어서,상기 내부 모니터링 모듈을 통해 모니터링 하는 단계는상기 응용 프로세스가 실행 중일 때, 상기 실행 중인 응용 프로세스의 API 호출 패턴과 기 저장된 정상 행위의 API 호출 패턴을 비교함으로써 악성 코드를 판단하는 악성 코드 탐지 방법
|
12 |
12
제8항에 있어서,상기 내부 모니터링 모듈을 통해 모니터링 하는 단계는상기 응용 프로세스가 실행 중일 때, 상기 내부 모니터링 모듈을 통해 호출된 API 호출 목록과 상기 외부 모니터링 모듈로부터 수신한 API 호출 정보를 비교함으로써 악성 코드를 판단하는 악성 코드 탐지 방법
|
13 |
13
제8항에 있어서,상기 외부 모니터링 모듈을 통해 모니터링 하는 단계는상기 내부 모니터링 모듈로부터 수신한 상기 응용 프로세스의 상태 정보를 기반으로, 상기 내부 모니터링 모듈로부터 호출된 API 호출 정보와 후킹한 API의 호출 정보를 비교함으로써 악성 코드를 판단하는 악성 코드 탐지 방법
|
14 |
14
제8항에 있어서,상기 외부 모니터링 모듈을 통해 모니터링 하는 단계는상기 응용 프로세스가 실행 중이지 않을 때, 상기 운영 체제 계층으로부터 후킹한 API 정보에서 상기 실행 중이지 않은 응용 프로세스에 대응하는 API 호출이 발견된 경우, 상기 발견된 API 호출에 대응하는 응용 프로세스를 악성 코드로 판단하는 악성 코드 탐지 방법
|
15 |
15
제8항, 제9항, 및 제11항 내지 제14항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록매체
|