1 |
1
멀티코어 CPU의 코어들 중에서 악성코드를 감시할 하나 이상의 감시용 코어를 설정하고, 상기 감시용 코어가 감시 프로그램을 실행하도록 제어하는 코어 설정부, 상기 감시용 코어로 설정되지 않은 실행용 코어가 분석 대상 코드를 실행할 때, 상기 감시 프로그램 및 상기 멀티코어 CPU의 하드웨어 디버깅 기능을 이용하여 행위 정보를 수집하는 행위 정보 수집부, 그리고 상기 행위 정보를 저장하는 저장부를 포함하는 악성코드 분석 장치
|
2 |
2
제1항에 있어서, 상기 행위 정보 수집부는, 상기 멀티코어 CPU의 코어들이 공유하는 공유자원으로부터 상기 행위 정보를 수집하는 악성코드 분석 장치
|
3 |
3
제2항에 있어서, 상기 공유자원은, 디스크, 메모리, 캐시 중에서 적어도 하나이고, 상기 저장부와 별개의 독립적인 자원인 악성코드 분석 장치
|
4 |
4
제2항에 있어서, 상기 공유자원으로부터 수집된 상기 행위 정보는, 운영체제의 현재 상태, 상기 분석 대상 코드의 상태, 상기 멀티코어 CPU에 상응하는 시스템의 상태 중에서 적어도 하나를 포함하는 악성코드 분석 장치
|
5 |
5
제4항에 있어서, 상기 운영체제의 현재 상태는, 실행중인 프로세스 리스트, 네트워크 소켓, 파일 디스크립터 중에서 적어도 하나를 포함하고, 상기 분석 대상 코드의 상태는, 상기 분석 대상 코드에 상응하는 스택 및 사용중인 데이터 중에서 적어도 하나를 포함하는 악성코드 분석 장치
|
6 |
6
제4항에 있어서, 수집된 상기 행위 정보를 이용하여 상기 시스템 상태를 분석하거나, 특정한 시점으로 상기 시스템을 복원하는 복원부를 더 포함하는 악성코드 분석 장치
|
7 |
7
제1항에 있어서, 상기 코어 설정부는, 상기 실행용 코어 중에서 상기 분석 대상 코드를 실행할 코어를 설정하는 악성코드 분석 장치
|
8 |
8
제1항에 있어서, 상기 CPU에 탑재된 프로그램 흐름 추적기(Program Flow Tracer) 및 프로그램 흐름 저장 장치를 이용하여 상기 실행용 코어가 수행한 명령어를 추출하는 명령어 추출부를 더 포함하는 악성코드 분석 장치
|
9 |
9
제8항에 있어서, 상기 프로그램 흐름 추적기는, 상기 감시용 코어에 의해 코어 별로 프로그램 흐름 추적 여부가 설정되는 악성코드 분석 장치
|
10 |
10
제1항에 있어서,상기 저장부는, 상기 행위 정보를 상기 행위 정보에 상응하는 수행 코어, 수행 시간 중에서 적어도 하나의 기준으로 정렬하여 저장하는 악성코드 분석 장치
|
11 |
11
악성코드 분석 장치에 의한 악성코드 분석 방법에 있어서, 멀티코어 CPU의 코어들 중에서 악성코드를 감시할 하나 이상의 감시용 코어를 설정하는 단계;상기 감시용 코어가 감시 프로그램을 실행하도록 제어하는 단계;상기 감시용 코어로 설정되지 않은 실행용 코어가 분석 대상 코드를 실행할 때, 상기 감시 프로그램 및 상기 멀티코어 CPU의 하드웨어 디버깅 기능을 이용하여 행위 정보를 수집하는 단계; 그리고 상기 행위 정보를 저장하는 단계를 포함하는 악성코드 분석 방법
|
12 |
12
제11항에 있어서, 상기 행위 정보를 수집하는 단계는, 상기 멀티코어 CPU의 코어들이 공유하는 공유자원으로부터 상기 행위 정보를 수집하는 악성코드 분석 방법
|
13 |
13
제12항에 있어서, 상기 공유자원은, 디스크, 메모리, 캐시 중에서 적어도 하나이고, 상기 행위 정보를 저장하는 저장부와 별개의 독립적인 자원인 악성코드 분석 방법
|
14 |
14
제12항에 있어서, 상기 공유자원으로부터 수집된 상기 행위 정보는, 운영체제의 현재 상태, 상기 분석 대상 코드의 상태, 상기 멀티코어 CPU에 상응하는 시스템의 상태 중에서 적어도 하나를 포함하는 악성코드 분석 방법
|
15 |
15
제14항에 있어서, 상기 운영체제의 현재 상태는, 실행중인 프로세스 리스트, 네트워크 소켓, 파일 디스크립터 중에서 적어도 하나를 포함하고, 상기 분석 대상 코드의 상태는, 상기 분석 대상 코드에 상응하는 스택 및 사용중인 데이터 중에서 적어도 하나를 포함하는 악성코드 분석 방법
|
16 |
16
제14항에 있어서, 수집된 상기 행위 정보를 이용하여 상기 시스템 상태를 분석하거나, 특정한 시점으로 상기 시스템을 복원하는 단계를 더 포함하는 악성코드 분석 방법
|
17 |
17
제11항에 있어서, 상기 실행용 코어 중에서 상기 분석 대상 코드를 실행할 코어를 설정하는 단계를 더 포함하는 악성코드 분석 방법
|
18 |
18
제11항에 있어서, 상기 CPU에 탑재된 프로그램 흐름 추적기(Program Flow Tracer) 및 프로그램 흐름 저장 장치를 이용하여 상기 실행용 코어가 수행한 명령어를 추출하는 단계를 더 포함하는 악성코드 분석 방법
|
19 |
19
제18항에 있어서, 상기 실행용 코어가 수행한 명령어를 추출하는 단계는, 상기 감시용 코어가 코어 별로 상기 프로그램 흐름 추적기의 프로그램 흐름 추적 여부를 설정하도록 하는 악성코드 분석 방법
|
20 |
20
제11항에 있어서, 상기 상기 행위 정보를 저장하는 단계는, 상기 행위 정보를 상기 행위 정보에 상응하는 수행 코어, 수행 시간 중에서 적어도 하나의 기준으로 정렬하여 저장하는 악성코드 분석 방법
|