1 |
1
입력 받은 악성 의심 실행 파일을 실행하여 그 실행한 악성 의심 실행 파일로부터 API 호출 정보와 커널 행위 정보를 추출하는 분석 에이전트 서버;입력 받은 악성 의심 실행 파일에 대한 백신 진단 정보를 추출하는 백신 진단 서버; 및추출된 상기 API 호출 정보, 상기 커널 행위 정보, 상기 백신 진단 정보를 이용하여 해당하는 악성 의심 실행 파일에 대한 악성 코드 여부를 판단하는 관리 서버;를 포함하는 악성 코드를 탐지하기 위한 시스템
|
2 |
2
제1 항에 있어서,상기 분석 에이전트 서버는,상기 악성 의심 실행 파일이 호출하는 유저 레벨 또는 커널 레벨 API에 대하여 후킹을 수행하고,상기 후킹을 수행한 API에 대한 모니터링을 수행하여 그 모니터링을 수행한 결과로 API 호출 정보를 추출하는 것을 특징으로 하는 악성 코드를 탐지하기 위한 시스템
|
3 |
3
제1 항에 있어서,상기 분석 에이전트 서버는,상기 악성 의심 실행 파일을 실행하여 내포하고 있는 윈도우 커널에 대하여 후킹을 수행하고,상기 후킹을 이용하여 커널 행위 모니터링을 수행하여 그 모니터링을 수행한 결과로 커널 행위 정보를 추출하는 것을 특징으로 하는 악성 코드를 탐지하기 위한 시스템
|
4 |
4
제1 항에 있어서,상기 관리 서버는,추출된 상기 API 호출 정보, 상기 커널 행위 정보, 상기 백신 진단 정보와 미리 저장된 악성 행위 탐지 룰셋을 이용하여 해당하는 악성 의심 실행 파일이 악성 코드인지의 여부를 판단하는 것을 특징으로 하는 악성 코드를 탐지하기 위한 시스템
|
5 |
5
제1 항에 있어서,상기 분석 에이전트 서버는,가상 머신을 이용하여 입력 받은 악성 의심 실행 파일을 실행하여 그 실행한 악성 의심 실행 파일로부터 API 호출 정보와 커널 행위 정보를 추출하는 제1 분석 에이전트 서버; 및상기 제1 분석 에이전트 서버에서의 가상 환경 탐지형 분석 회피 행위가 탐지되거나 의심되는 경우 입력 받은 악성 의심 실행 파일을 실행하여 그 실행한 악성 의심 실행 파일로부터 API 호출 정보와 커널 행위 정보를 추출하는 제2 분석 에이전트 서버;를 포함하는 악성 코드를 탐지하기 위한 시스템
|
6 |
6
제5 항에 있어서,상기 관리 서버는,상기 제1 분석 에이전트 서버에서의 가상 환경 탐지형 분석 회피 행위가 탐지되거나 의심되는 경우 상기 제2 분석 에이전트 서버에 상기 API 호출 정보, 상기 커널 행위 정보의 추출을 요청하는 것을 특징으로 하는 악성 코드를 탐지하기 위한 시스템
|
7 |
7
입력 받은 악성 의심 실행 파일을 실행하여 그 실행한 악성 의심 실행 파일로부터 API 호출 정보와 커널 행위 정보를 추출하는 악성정보 추출단계;입력 받은 악성 의심 실행 파일에 대한 백신 진단 정보를 추출하는 백신정보 추출단계; 및추출된 상기 API 호출 정보, 상기 커널 행위 정보, 상기 백신 진단 정보를 이용하여 해당하는 악성 의심 실행 파일에 대한 악성 코드 여부를 판단하는 악성코드 판단단계;를 포함하는 악성 코드를 탐지하기 위한 방법
|
8 |
8
제7 항에 있어서,상기 악성정보 추출단계는,상기 악성 의심 실행 파일이 호출하는 유저 레벨 또는 커널 레벨 API에 대하여 후킹을 수행하고,상기 후킹을 수행한 API에 대한 모니터링을 수행하여 그 모니터링을 수행한 결과로 API 호출 정보를 추출하는 것을 특징으로 하는 악성 코드를 탐지하기 위한 방법
|
9 |
9
제7 항에 있어서,상기 악성정보 추출단계는,상기 악성 의심 실행 파일을 실행하여 내포하고 있는 윈도우 커널에 대하여 후킹을 수행하고,상기 후킹을 이용하여 커널 행위 모니터링을 수행하여 그 모니터링을 수행한 결과로 커널 행위 정보를 추출하는 것을 특징으로 하는 악성 코드를 탐지하기 위한 방법
|
10 |
10
제7 항에 있어서,상기 악성코드 판단단계는,추출된 상기 API 호출 정보, 상기 커널 행위 정보, 상기 백신 진단 정보와 미리 저장된 악성 행위 탐지 룰셋을 이용하여 해당하는 악성 의심 실행 파일이 악성 코드인지의 여부를 판단하는 것을 특징으로 하는 악성 코드를 탐지하기 위한 방법
|
11 |
11
제7 항에 있어서,상기 악성정보 추출단계는,가상 머신을 이용하여 입력 받은 악성 의심 실행 파일을 실행하여 그 실행한 악성 의심 실행 파일로부터 API 호출 정보와 커널 행위 정보를 추출하는 제1 악성정보 추출단계; 및상기 제1 분석 에이전트 서버에서의 가상 환경 탐지형 분석 회피 행위가 탐지되거나 의심되는 경우 입력 받은 악성 의심 실행 파일을 실행하여 그 실행한 악성 의심 실행 파일로부터 API 호출 정보와 커널 행위 정보를 추출하는 제2 악성정보 추출단계;를 포함하는 악성 코드를 탐지하기 위한 방법
|
12 |
12
제11 항에 있어서,상기 악성코드 판단단계는,상기 제1 분석 에이전트 서버에서의 가상 환경 탐지형 분석 회피 행위가 탐지되거나 의심되는 경우 상기 제2 분석 에이전트 서버에 상기 API 호출 정보, 상기 커널 행위 정보의 추출을 요청하는 것을 특징으로 하는 악성 코드를 탐지하기 위한 방법
|