1 |
1
수정 문자열 및 각 수정 문자열에 대응되는 대체 문자열을 테이블 형태로 저장하는 단계;난독화 기법 별로 미리 지정된 키워드와 난독화 스크립트를 매칭하여, 난독화 기법을 분류하는 단계;상기 분류된 난독화 기법에 따라, 상기 난독화 스크립트가 실행되지 않고 출력되도록 상기 난독화 스크립트를 수정하는 단계;상기 수정된 스크립트를 출력하고, 난독화를 해제하여 평문 스크립트를 추출하는 단계; 및추출된 평문 스크립트와 악성 스크립트 DB의 패턴을 매칭하여 상기 난독화 스크립트 내의 악성 스크립트를 탐지하는 단계를 포함하되,매칭된 키워드는 상기 난독화 스크립트의 실행 함수를 포함하고,상기 난독화 스크립트를 수정하는 단계는,상기 테이블에 저장된 수정 문자열 중에서 상기 매칭된 키워드에 포함되는 문자열이 있는지를 검색하여, 검색 성공시 검색된 수정 문자열을 수정할 문자열로 결정하는 단계;상기 수정할 문자열에 대응되는 대체 문자열 중 하나를 상기 수정할 문자열을 대체할 문자열로 결정하는 단계; 및상기 수정할 문자열을 상기 대체할 문자열로 대체하는 단계를 포함하는,난독화 해제를 통한 악성 스크립트 탐지 방법
|
2 |
2
삭제
|
3 |
3
제1항에 있어서,상기 대체할 문자열은 상기 스크립트가 실행되지 않고 출력될 수 있도록 하기 위한, html의 xmp 태그를 포함하는,난독화 해제를 통한 악성 스크립트 탐지 방법
|
4 |
4
제1항에 있어서,상기 분류된 난독화 기법이 packer encode, packed encode 또는 base10 encode인 경우,상기 키워드는 'eval(fuction'이고, 상기 수정할 문자열은 'eval(' 이고, 상기 대체할 문자열은 'document
|
5 |
5
제1항에 있어서,상기 분류된 난독화 기법이 Dec encode 또는 JSO encode인 경우,상기 키워드는 'eval((function'이고, 상기 수정할 문자열은 'eval(' 이고, 상기 대체할 문자열은 'document
|
6 |
6
제1항에 있어서,상기 분류된 난독화 기법이 Hex encode인 경우,상기 키워드는 'eval('\'이고, 상기 수정할 문자열은 'eval(' 이고, 상기 대체할 문자열은 'document
|
7 |
7
제1항에 있어서,상기 분류된 난독화 기법이 jj encode인 경우,상기 키워드는 '$$($$'이고, 상기 수정할 문자열은 '$$(' 이고, 상기 대체할 문자열은 'document
|
8 |
8
제1항에 있어서,상기 분류된 난독화 기법이 base64 encode인 경우,상기 키워드는 'ABCDEFG'이고, 상기 수정할 문자열은 상기 키워드 앞의 공백 문자이고, 상기 대체할 문자열은 'document
|
9 |
9
제1항에 있어서,상기 분류된 난독화 기법이 dehydrating a string인 경우,상기 키워드는 'r
|
10 |
10
제1항에 있어서,상기 난독화를 해제하여, 평문 스크립트를 추출하는 단계는,상기 수정된 스크립트의, 상기 대체할 문자열 이후의 문자열을 모두 출력하는 단계; 및상기 출력된 문자열을 이용하여 난독화를 해제하는 단계를 포함하는,난독화 해제를 통한 악성 스크립트 탐지 방법
|
11 |
11
삭제
|
12 |
12
하나 이상의 프로세서;상기 프로세서에 의하여 수행되는 컴퓨터 프로그램을 로드하는 메모리; 및맵핑 테이블을 저장하는 스토리지를 포함하되,상기 컴퓨터 프로그램은,수정 문자열 및 각 수정 문자열에 대응되는 대체 문자열을 테이블 형태로 저장하는 오퍼레이션;난독화 기법 별로 미리 지정된 키워드와 난독화 스크립트를 매칭하여, 난독화 기법을 분류하는 오퍼레이션;상기 분류된 난독화 기법에 따라, 상기 난독화 스크립트가 실행되지 않고 출력되도록 상기 난독화 스크립트를 수정하는 오퍼레이션;상기 수정된 스크립트를 출력하고, 난독화를 해제하여 평문 스크립트를 추출하는 오퍼레이션; 및 추출된 평문 스크립트와 악성 스크립트 DB의 패턴을 매칭하여 상기 난독화 스크립트 내의 악성 스크립트를 탐지하는 오퍼레이션을 포함하되,매칭된 키워드는 상기 난독화 스크립트의 실행 함수를 포함하고,상기 난독화 스크립트를 수정하는 오퍼레이션은,상기 테이블에 저장된 수정 문자열 중에서 상기 매칭된 키워드에 포함되는 문자열이 있는지를 검색하여, 검색 성공시 검색된 수정 문자열을 수정할 문자열로 결정하는 오퍼레이션;상기 수정할 문자열에 대응되는 대체 문자열 중 하나를 상기 수정할 문자열을 대체할 문자열로 결정하는 오퍼레이션; 및상기 수정할 문자열을 상기 대체할 문자열로 대체하는 오퍼레이션을 포함하는,난독화 해제를 통한 악성 스크립트 탐지 장치
|
13 |
13
컴퓨터를 이용하여 제1항, 및 제3항 내지 제10항 중 어느 한 항의 방법을 실행시키기 위하여 저장매체에 저장된 컴퓨터 프로그램
|