1 |
1
유저 모드(user mode)에서 실행되며, PIDB(Process ID Bruteforce)를 이용하여 현재 실행 중인 모든 프로세스를 스캔하는 유저 어플리케이션; 및커널 모드(kernel mode)에서 실행되며, 상기 유저 어플리케이션으로부터 현재 실행 중인 상기 프로세스의 정보를 수신하고, 현재 실행 중인 상기 프로세스 중 루트킷(rootkit)에 의해 은닉된 프로세스를 탐지하는 디바이스 드라이버를 포함하는, 커널 루트킷 탐지 시스템
|
2 |
2
청구항 1에 있어서,상기 디바이스 드라이버는, 현재 실행 중인 상기 프로세스에 대응되는 EPROCESS 커널 구조체의 상태를 검사함으로써 상기 은닉된 프로세스를 탐지하는, 커널 루트킷 탐지 시스템
|
3 |
3
청구항 2에 있어서,상기 디바이스 드라이버는, 상기 EPROCESS 커널 구조체의 링크(link)가 자기 자신을 향하거나 단절되는 경우 상기 EPROCESS 커널 구조체에 대응되는 프로세스가 은닉된 것으로 판단하는, 커널 루트킷 탐지 시스템
|
4 |
4
청구항 3에 있어서,상기 디바이스 드라이버는, 상기 은닉된 프로세스에 대응되는 EPROCESS 커널 구조체의 링크를 복원함으로써 상기 은닉된 프로세스를 복구하는, 커널 루트킷 탐지 시스템
|
5 |
5
유저 모드(user mode)에서 실행되는 유저 어플리케이션에서, PIDB(Process ID Bruteforce)를 이용하여 현재 실행 중인 모든 프로세스를 스캔하는 단계;커널 모드(kernel mode)에서 실행되는 디바이스 드라이버에서, 상기 유저 어플리케이션으로부터 현재 실행 중인 상기 프로세스의 정보를 수신하는 단계; 및상기 디바이스 드라이버에서, 현재 실행 중인 상기 프로세스 중 루트킷(rootkit)에 의해 은닉된 프로세스를 탐지하는 단계를 포함하는, 커널 루트킷 탐지 방법
|
6 |
6
청구항 5에 있어서,상기 은닉된 프로세스를 탐지하는 단계는, 현재 실행 중인 상기 프로세스에 대응되는 EPROCESS 커널 구조체의 상태를 검사함으로써 상기 은닉된 프로세스를 탐지하는, 커널 루트킷 탐지 방법
|
7 |
7
청구항 6에 있어서,상기 은닉된 프로세스를 탐지하는 단계는, 상기 EPROCESS 커널 구조체의 링크(link)가 자기 자신을 향하거나 단절되는 경우 상기 EPROCESS 커널 구조체에 대응되는 프로세스가 은닉된 것으로 판단하는, 커널 루트킷 탐지 방법
|
8 |
8
청구항 7에 있어서,상기 은닉된 프로세스를 탐지하는 단계 이후,상기 디바이스 드라이버에서, 상기 은닉된 프로세스에 대응되는 EPROCESS 커널 구조체의 링크를 복원함으로써 상기 은닉된 프로세스를 복구하는 단계를 더 포함하는, 커널 루트킷 탐지 방법
|
9 |
9
하드웨어와 결합되어유저 모드(user mode)에서 실행되는 유저 어플리케이션에서, PIDB(Process ID Bruteforce)를 이용하여 현재 실행 중인 모든 프로세스를 스캔하는 단계;커널 모드(kernel mode)에서 실행되는 디바이스 드라이버에서, 상기 유저 어플리케이션으로부터 현재 실행 중인 상기 프로세스의 정보를 수신하는 단계; 및상기 디바이스 드라이버에서, 현재 실행 중인 상기 프로세스 중 루트킷(rootkit)에 의해 은닉된 프로세스를 탐지하는 단계를 실행시키기 위하여 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램
|