KR101256461B1 - Apparatus and method for detecting start point of process - Google Patents
Apparatus and method for detecting start point of process Download PDFInfo
- Publication number
- KR101256461B1 KR101256461B1 KR1020120097159A KR20120097159A KR101256461B1 KR 101256461 B1 KR101256461 B1 KR 101256461B1 KR 1020120097159 A KR1020120097159 A KR 1020120097159A KR 20120097159 A KR20120097159 A KR 20120097159A KR 101256461 B1 KR101256461 B1 KR 101256461B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- process execution
- application
- file
- execution time
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Quality & Reliability (AREA)
- Stored Programmes (AREA)
- Telephone Function (AREA)
Abstract
Description
본 발명은 프로세스 실행 시점 판단에 관한 것으로, 특히 스마트폰(smartphone) 등의 휴대용 단말기에 설치되는 애플리케이션(application) 파일에 대한 악성코드 진단 시 휴대용 단말기에서 실행되는 애플리케이션의 프로세스(process) 실행 시점을 검출하고, 프로세스 실행 시점에 해당 프로세스만 검사하여 악성코드 진단을 수행함으로서 악성코드의 진단을 보다 효율적으로 수행할 수 있으며, 보안강도를 높일 수 있도록 하는 프로세스 실행 시점 판단 장치 및 방법에 관한 것이다.
The present invention relates to the determination of the execution time of a process. In particular, when the malware is diagnosed for an application file installed in a portable terminal such as a smartphone, a process execution time of an application executed in the portable terminal is detected. In addition, the present invention relates to an apparatus and method for determining a process execution time point, which can diagnose a malicious code more efficiently by inspecting only a corresponding process at a process execution time, and to increase the security strength.
근래에 들어, 유무선 인터넷뿐만 아니라 이동통신 기술의 발달로, 단순히 전화통화 기능뿐만이 아닌 무선 인터넷 기능 등 다양한 기능을 갖춘 휴대폰이 보급되고 있다. 특히 최근에 보급이 확산되고 있는 스마트폰은 멀티미디어 재생기능 등의 다양한 기능의 응용프로그램의 설치가 가능하여, 사용자들이 여러 용도로 스마트폰을 이용하고 있다.Recently, with the development of mobile communication technology as well as wired and wireless Internet, mobile phones having various functions such as wireless Internet function as well as telephone call function have been widely used. In particular, smart phones, which are recently spreading, can install various functions such as multimedia playback functions, and users are using smart phones for various purposes.
일반적으로 스마트폰은 휴대전화와 개인휴대단말기(personal digital assistant : PDA)의 장점을 합친 것으로, 휴대 전화기에 일정관리, 메일 송수신 및 인터넷 접속 등의 데이터 통신기능을 통합시켜 구현된다. 통상 스마트폰에는 와이파이(wifi)와 같은 무선통신모듈이 장착되어 인터넷망을 통한 데이터 송수신도 가능하며, 인터넷 정보검색은 물론 액정디스플레이에 전자펜으로 문자를 입력하거나 약도 등 그림 정보를 송수신할 수 있다. In general, a smart phone combines the advantages of a mobile phone and a personal digital assistant (PDA), and is implemented by integrating data communication functions such as schedule management, e-mail transmission, and Internet access. In general, a smart phone is equipped with a wireless communication module such as Wi-Fi, and can transmit and receive data through the Internet network. Also, it is possible to search for information on the Internet and to send and receive picture information such as directions by using an electronic pen on the liquid crystal display. .
이러한 스마트폰과, 테블릿 PC 등의 휴대용 단말기는 예를들어 iOS, 안드로이드 등 각각의 운영체제가 존재하며, 해당 운영체제에 의해 실행 가능한 애플리케이션의 개발이 활발히 이루어지고 있다.Such smart phones and portable terminals such as tablet PCs have respective operating systems such as iOS and Android, and development of applications executable by the corresponding operating systems is being actively performed.
한편, 위와 같이 스마트폰 등의 휴대용 단말기 사용자가 늘어남에 따라 휴대용 단말기를 타겟으로 하는 악성코드 또한 급격히 증가하고 있으며, 악성코드의 공격 수법도 다양해지고 있다. Meanwhile, as users of mobile terminals such as smart phones are increasing in number as described above, malicious codes targeting portable terminals are also rapidly increasing, and attack methods of malicious codes are also diversifying.
이러한 악성코드로 예를 들어 모바일 바이러스, 웜, 트로이목마, 스파이웨어와 같은 악성코드가 수없이 많이 제작되고 유포되고 있고, 악성코드의 유포는 곧 휴대용 단말기의 개인정보 유출과 금융거래의 피해로 이어지게 된다.Such malicious codes are produced and distributed innumerably, such as mobile viruses, worms, Trojan horses, and spyware, and the distribution of malicious codes can lead to the leakage of personal information and financial transactions on mobile devices. do.
따라서, 휴대용 단말기에서 악성코드를 효율적으로 탐지하는 다양한 보안 방법이 제안되고 있다.Therefore, various security methods for efficiently detecting malicious codes in portable terminals have been proposed.
그러나, 종래 악성코드의 탐지를 위한 보안 방법에서는 대부분 휴대용 단말기에서 이미 실행중인 애플리케이션에 대해 프로세스 리스트를 주기적으로 검사하는 방식으로 악성코드를 탐지하고 있어, 악성코드가 실행되는 시점에 정확하게 탐지하지 못하는 문제점이 있었으며, 또한 지속적으로 실행중인 모든 프로세스를 지정된 시간마다 검사하므로 휴대용 단말기의 성능 저하 및 배터리 소모에 상당한 영향을 미치는 문제점이 있었다.
However, in the conventional security methods for detecting malicious codes, most mobile devices detect malicious codes by periodically checking a process list for applications that are already running on the mobile terminal, and thus cannot accurately detect the malicious code at the time of execution. In addition, there is a problem that significantly affects the performance and battery consumption of the portable terminal because it checks every running process every specified time.
(특허문헌)(Patent Literature)
대한민국 공개특허번호 10-2012-0029734호 공개일자 2012년 03월 27일에는 이동통신 기기를 위한 악성 프로그램 탐지방법 및 장치에 관한 기술이 개시되어 있다.
Republic of Korea Patent Publication No. 10-2012-0029734 Publication Date March 27, 2012 discloses a technique for a malicious program detection method and apparatus for a mobile communication device.
따라서, 본 발명은 스마트폰 등의 휴대용 단말기에 설치되는 애플리케이션 파일에 대한 악성코드 진단 시 휴대용 단말기에서 실행되는 애플리케이션의 프로세스 실행 시점을 검출하고, 프로세스 실행 시점에 해당 프로세스만 검사하여 악성코드 진단을 수행함으로서 악성코드의 진단을 보다 효율적으로 수행할 수 있으며, 보안강도를 높일 수 있도록 하는 프로세스 실행 시점 판단 장치 및 방법을 제공하고자 한다.
Therefore, the present invention detects a process execution time of an application executed on a portable terminal when diagnosing malware on an application file installed in a portable terminal such as a smartphone, and performs only a malicious code diagnosis by inspecting only the corresponding process at the time of execution of the process. By doing so, it is possible to more efficiently diagnose malicious code, and to provide an apparatus and method for determining a process execution time to increase security strength.
상술한 본 발명은 프로세스 실행시점 판단장치로서, 휴대용 단말기에서 실행되는 상기 애플리케이션의 프로세스 실행 정보를 검출하고, 상기 프로세스 실행 정보를 프로세스 정보 파일에 기록하는 실행 감시부와, 상기 프로세스 정보 파일에 기록되는 상기 프로세스 실행 정보의 변경 여부를 감시하여 상기 애플리케이션의 프로세스 실행 시점을 검출하는 파일 감시부를 포함한다.The present invention described above is a process execution time determination apparatus, comprising: an execution monitoring unit for detecting process execution information of the application executed in a portable terminal and recording the process execution information in a process information file, and recorded in the process information file; And a file monitoring unit that monitors whether the process execution information is changed and detects a process execution time of the application.
또한, 상기 장치는, 상기 프로세스 실행 시점에 상기 애플리케이션에 대한 악성코드 여부를 검사하는 진단부를 더 포함한다.The apparatus may further include a diagnosis unit that checks whether the malicious code for the application is executed at the time of executing the process.
또한, 상기 프로세스 실행 검출부는, 상기 휴대용 단말기에서 실행되는 상기 애플리케이션의 프로세스 실행 정보를 검출하고, 상기 프로세스 실행 정보를 프로세스 정보 파일에 기록하는 실행 감시부와, 상기 프로세스 정보 파일에 기록되는 상기 프로세스 실행 정보의 변경 여부를 감시하여 상기 애플리케이션의 프로세스 실행 시점을 검출하는 파일 감시부를 포함하는 것을 특징으로 한다.The process execution detection unit may further include: an execution monitoring unit that detects process execution information of the application executed in the portable terminal, records the process execution information in a process information file, and executes the process recorded in the process information file. And a file monitoring unit that monitors whether information is changed and detects a process execution time of the application.
또한, 상기 실행 감시부는, 상기 휴대용 단말기에서 발생하는 모든 이벤트에 대한 로그 정보를 기록하는 로그파일을 지속적으로 확인하여 상기 애플리케이션의 프로세스 실행 정보를 검출하는 것을 특징으로 한다.The execution monitoring unit may continuously check a log file that records log information of all events occurring in the portable terminal to detect process execution information of the application.
또한, 상기 실행 감시부는, 상기 로그 정보 중 상기 애플리케이션의 프로세스 실행 정보만을 필터링하여 검출하는 것을 특징으로 한다.The execution monitoring unit may filter and detect only process execution information of the application among the log information.
또한, 상기 실행 감시부는, 상기 프로세스 실행 정보 및 상기 프로세스 정보를 기록하는 것을 특징으로 한다.The execution monitoring unit may record the process execution information and the process information.
또한, 상기 프로세스 정보는, 상기 프로세스에 해당하는 애플리케이션의 패키지명(package id), 클래스명(class id) 또는 PID(process ID) 중 적어도 하나 이상인 것을 특징으로 한다.The process information may include at least one of a package id, a class id or a PID of an application corresponding to the process.
또한, 상기 파일 감시부는, 상기 프로세스 정보 파일에서, 이전 기록된 프로세스 실행 정보에 추가적인 프로세스 실행 정보가 기록되는 경우 상기 프로세스 실행 정보의 변경으로 판단하는 것을 특징으로 한다.The file monitoring unit may determine that the process execution information is changed when additional process execution information is recorded in previously recorded process execution information in the process information file.
또한, 상기 진단부는, 상기 악성코드 판단을 위한 시그니처 정보를 저장하고 있는 시그니처 DB와, 상기 애플리케이션의 상기 프로세스 실행 시점을 수신하는 경우 상기 시그니처 DB를 이용하여 상기 애플리케이션에 대한 악성코드 여부를 검사하는 검사부와, 상기 검사부의 결과에 따라 악성코드로 검사되는 경우 상기 애플리케이션의 실행을 차단시키는 제어부를 포함하는 것을 특징으로 한다.The diagnosis unit may include a signature DB that stores signature information for determining the malicious code, and an inspection unit that checks whether the application is malicious code by using the signature DB when receiving the process execution time of the application. And a controller which blocks the execution of the application when the malicious code is inspected according to a result of the inspection unit.
또한, 상기 휴대용 단말기는, 스마트폰, 테블릿 PC 또는 PDA 중 어느 하나인 것을 특징으로 한다.The portable terminal may be any one of a smartphone, a tablet PC, and a PDA.
또한, 프로세스 실행시점을 이용한 악성코드 진단방법으로서, 휴대용 단말기에서 실행되는 애플리케이션의 프로세스 실행 시점을 검출하는 단계와, 상기 프로세스 실행 시점에 상기 애플리케이션에 대한 악성코드 여부를 검사하는 단계를 포함한다.In addition, a method for diagnosing malware using a process execution time, the method comprising detecting a process execution time of an application executed in a portable terminal, and checking whether the malicious code for the application at the process execution time.
또한, 상기 프로세스 실행 시점을 검출하는 단계는, 상기 휴대용 단말기에서 실행되는 상기 애플리케이션의 상기 프로세스 실행 정보를 검출하는 단계와, 상기 프로세스 실행 정보를 프로세스 정보 파일에 기록하는 단계와, 상기 프로세스 정보 파일에 기록되는 상기 프로세스 실행 정보의 변경 여부를 감시하는 단계와, 상기 프로세스 실행 정보의 변경이 있는 경우 상기 애플리케이션의 상기 프로세스 실행 시점을 검출하는 단계를 포함하는 것을 특징으로 한다.The detecting of the process execution time may include detecting the process execution information of the application executed in the portable terminal, recording the process execution information in a process information file, and in the process information file. Monitoring whether or not the recorded process execution information is changed; and detecting the process execution time of the application when there is a change in the process execution information.
또한, 상기 프로세스 실행 정보를 검출하는 단계는, 상기 휴대용 단말기에서 발생하는 모든 이벤트에 대한 로그 정보를 기록하는 로그파일을 지속적으로 확인하는 단계와, 상기 로그파일로부터 상기 애플리케이션의 프로세스 실행 정보를 검출하는 단계를 포함하는 것을 특징으로 한다.The detecting of the process execution information may include continuously checking a log file that records log information of all events occurring in the portable terminal, and detecting process execution information of the application from the log file. Characterized in that it comprises a step.
또한, 상기 프로세스 실행 정보를 검출하는 단계는, 상기 로그파일의 정보 중 상기 애플리케이션의 상기 프로세스 실행 정보만을 필터링하여 검출하는 것을 특징으로 한다.The detecting of the process execution information may include detecting and filtering only the process execution information of the application from among the log file information.
또한, 상기 기록하는 단계는, 상기 프로세스 실행 정보 및 상기 프로세스 정보를 기록하는 것을 특징으로 한다.The recording may include recording the process execution information and the process information.
또한, 상기 프로세스 정보는, 상기 프로세스에 해당하는 애플리케이션의 패키지명, 클래스명 또는 PID 중 적어도 하나 이상인 것을 특징으로 한다.The process information may include at least one of a package name, a class name, and a PID of an application corresponding to the process.
또한, 상기 변경 여부를 감시하는 단계는, 상기 프로세스 정보 파일에서, 이전 기록된 프로세스 실행 정보에 추가적인 프로세스 실행 정보가 기록되는지 여부를 검사하는 단계와, 상기 추가적인 프로세스 실행 정보가 기록되는 경우 상기 프로세스 실행 정보의 변경으로 판단하는 단계를 포함하는 것을 특징으로 한다.The monitoring of the change may include: checking whether additional process execution information is recorded in previously recorded process execution information in the process information file, and executing the process when the additional process execution information is recorded. And determining the change of information.
또한, 상기 악성코드 여부를 검사하는 단계는, 상기 애플리케이션의 상기 프로세스 실행 시점을 수신하는 단계와, 상기 프로세스 실행 시점에 시그니처 DB를 이용하여 상기 애플리케이션에 대한 악성코드 여부를 검사하는 단계를 포함하는 것을 특징으로 한다.In addition, the step of checking whether the malicious code includes the step of receiving the process execution time of the application, and the step of checking whether the malicious code for the application using a signature DB at the process execution time. It features.
또한, 상기 악성코드 여부의 검사결과, 악성코드로 판단되는 경우 해당 애플리케이션의 실행을 종료시키는 단계를 더 포함하는 것을 특징으로 한다.
The method may further include terminating the execution of the application if it is determined that the malicious code is a malicious code.
본 발명은 스마트폰 등의 휴대용 단말기에 설치되는 애플리케이션 파일에 대한 악성코드 진단 시 휴대용 단말기에서 실행되는 애플리케이션의 프로세스 실행 시점을 검출하고, 프로세스 실행 시점에 해당 프로세스만 검사하여 악성코드 진단을 수행함으로서 악성코드의 진단을 보다 효율적으로 수행할 수 있으며, 보안강도를 높일 수 있는 이점이 있다. The present invention detects a process execution time of an application running on a portable terminal when diagnosing malware on an application file installed in a portable terminal such as a smartphone, and performs malicious code diagnosis by inspecting only the corresponding process at the time of execution of the process. Diagnosis of the code can be performed more efficiently, and there is an advantage to increase the security strength.
또한, 휴대용 단말기에서 애플리케이션이 실행되는 경우 프로세스 실행 시점을 정확히 판단하고, 해당 프로세스만 검사하여 악성코드를 진단함으로써 종래 휴대용 단말기에서 실행되는 모든 프로세스에 대해 주기적으로 악성코드 진단을 수행함에 따라 발생하는 단말기의 성능 저하 및 배터리 소모 등의 문제점을 개선시킬 수 있는 이점이 있다.
In addition, when an application is executed in the portable terminal, the terminal is generated by periodically determining the execution time of the process, inspecting only the corresponding process, and diagnosing the malicious code to periodically diagnose all the processes executed in the conventional portable terminal. There is an advantage that can improve problems such as performance degradation and battery consumption.
도 1은 본 발명의 실시예에 따른 프로세스 실행 시점 판단장치가 적용되는 휴대용 단말기의 상세 블록 구성도,
도 2는 본 발명의 실시예에 따른 프로세스 실행 시점 판단장치의 상세 블록 구성도,
도 3은 본 발명의 실시예에 따른 프로세스 실행 시점을 이용한 악성코드 진단 제어 흐름도.
1 is a detailed block diagram of a portable terminal to which a process execution time determination apparatus according to an embodiment of the present invention is applied;
2 is a detailed block diagram of an apparatus for determining a process execution time according to an embodiment of the present invention;
3 is a flowchart for controlling malware diagnosis using a process execution point in accordance with an embodiment of the present invention.
이하, 첨부된 도면을 참조하여 본 발명의 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.Hereinafter, with reference to the accompanying drawings will be described in detail the operating principle of the present invention. In the following description of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. The following terms are defined in consideration of the functions of the present invention, and may be changed according to the intentions or customs of the user, the operator, and the like. Therefore, the definition should be based on the contents throughout this specification.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. Each block of the accompanying block diagrams and combinations of steps of the flowchart may be performed by computer program instructions. These computer program instructions may be loaded into a processor of a general purpose computer, special purpose computer, or other programmable data processing apparatus so that the instructions, which may be executed by a processor of a computer or other programmable data processing apparatus, And means for performing the functions described in each step are created.
이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. These computer program instructions may be stored in a computer usable or computer readable memory that can be directed to a computer or other programmable data processing equipment to implement functionality in a particular manner, and thus the computer usable or computer readable memory. It is also possible for the instructions stored in to produce an article of manufacture containing instruction means for performing the functions described in each block or flowchart of each step of the block diagram.
컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다. Computer program instructions may also be mounted on a computer or other programmable data processing equipment, such that a series of operating steps may be performed on the computer or other programmable data processing equipment to create a computer-implemented process to create a computer or other programmable data. Instructions that perform processing equipment may also provide steps for performing the functions described in each block of the block diagram and in each step of the flowchart.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.Also, each block or each step may represent a module, segment, or portion of code that includes one or more executable instructions for executing the specified logical function (s). It should also be noted that in some alternative embodiments, the functions mentioned in the blocks or steps may occur out of order. For example, the two blocks or steps shown in succession may in fact be executed substantially concurrently or the blocks or steps may sometimes be performed in the reverse order, depending on the functionality involved.
도 1은 본 발명의 실시예에 따른 프로세스 실행 시점 판단장치가 적용되는 휴대용 단말기(100)의 상세 블록 구성을 도시한 것이다. 이러한 휴대용 단말기는 스마트폰, 테블릿 PC 등의 단말기를 포함할 수 있다. 1 is a block diagram illustrating a detailed block configuration of a
이하, 도 1을 참조하여 휴대용 단말기(100)의 각 구성요소와 프로세스 실행 시점 판단장치(112)의 동작을 상세히 설명하기로 한다.Hereinafter, the operation of each component of the
도 1을 참조하면, 본 발명의 일 실시예에 따른 휴대용 단말기(100)는 키입력부(102), 통신부(104), 표시부(106), 제어부(108), 메모리부(110), 프로세스 실행 시점 판단장치(112)로 구성될 수 있다.Referring to FIG. 1, a
먼저, 키입력부(102)는 휴대용 단말기(100)의 다양한 동작 요청을 위한 다수의 숫자키 및 기능키로 구성될 수 있으며, 사용자가 소정의 키를 누를 때 해당하는 키데이터를 발생하여 제어부(108)로 출력한다. 위와 같은 키입력부(102)는 제조사별, 국가별로 문자 배열의 차이가 있다. 또한, 키입력부(102)는 스마트폰(smart phone), 테블릿 PC 등에서는 물리적인 키패드(keypad) 대신, 소프트웨어 방식으로 필요시마다 표시부(106)상에 터치 스크린(touch screen) 형식으로 표시될 수도 있다.First, the
통신부(104)는 유선망 또는 무선망을 통해 인터넷에 연결되어 데이터 송수신을 수행하며, 예를 들어, 휴대용 단말기가 안드로이드 기반의 스마트폰 등인 경우 안드로이드 플레이스토어(play store)등의 앱스토어로부터 사용자에 의해 다운로드 선택된 애플리케이션 파일을 수신할 수 있다.The
표시부(106)는 제어부(108)의 제어에 따라 휴대용 단말기(100)의 각종 정보를 표시하며, 키입력부(102)에서 발생되는 키데이터 및 제어부(108)의 각종 정보신호를 입력받아 디스플레이한다. The
제어부(108)는 메모리부(110)에 저장된 동작 프로그램에 따라 휴대용 단말기(100)의 전반적인 동작을 제어한다. 위와 같은 동작 프로그램은 단말기(100)의 동작에 필요한 기본적인 운영 시스템(operating system) 뿐만 아니라, 표시부(106)와 키입력부(102)를 연결하고, 데이터의 입/출력을 관리하거나, 단말기(100)의 내부 애플리케이션(application) 등을 동작시키도록 제조 시 미리 프로그램밍(programing)되는 소프트웨어(software)를 통칭한다.The
또한, 제어부(108)는 안드로이드 플레이 스토어 등에서 사용자에 의해 선택된 애플리케이션 파일을 통신부(104)를 통해 수신받은 후, 이를 설치하여 휴대용 단말기(100)에서 해당 애플리케이션이 실행될 수 있도록 제어한다. In addition, the
이때, 위와 같이 휴대용 단말기(100)에 설치되는 다양한 애플리케이션에는 악의적인 사용자에 의해 제작된 악성 애플리케이션이 존재할 수 있으며, 휴대용 단말기(100)의 제조시 탑재되는 애플리케이션 등은 악성코드에 감염되는 경우 발생할 수 있는데, 이와 같은 악성 애플리케이션이 실행되는 경우 휴대용 단말기(100)의 사용자 개인 정보를 탈취하거나 단말기 기능을 손상시키는 등의 여러 가지 문제점이 있을 수 있다.At this time, a variety of applications installed on the
따라서, 본 발명에 따라 예를 들어 휴대용 단말기(100)에 탑재되는 프로세스실행 시점 판단장치(112)에서는 휴대용 단말기(100)에 설치되는 애플리케이션 파일을 포함하는 모든 파일에 대한 악성코드 유무의 진단 수행 시 휴대용 단말기(100)에 설치된 모든 파일에 대해 진단을 수행하되, 휴대용 단말기(100)에서 실행되는 애플리케이션의 프로세스 실행 시점을 검출하여 프로세스 실행 시점에 해당 애플리케이션에 대한 악성코드 진단을 수행함으로서 악성코드를 포함한 애플리케이션의 경우 악성코드가 실행하는 시점에 탐지할 수 있도록 한다.Therefore, according to the present invention, for example, in the process execution
즉, 프로세스 실행 시점 판단장치(112)내 프로세스 실행 검출부(114)에서는 휴대용 단말기(100)에서 실행되는 애플리케이션의 프로세스 실행 정보를 검출하고, 검출된 프로세스 실행 정보를 이용하여 상기 애플리케이션의 프로세스 실행 시점을 검출하며, 이와 같이 프로세스 실행 시점이 검출되는 경우 진단부(116)에서는 프로세스 실행 시점에 애플리케이션에 대한 악성코드 여부를 검사하게 되어 악성코드가 실행되는 정확한 시점에 악성코드에 대한 탐지가 수행될 수 있도록 한다.That is, the process
이에 따라, 종래 이미 실행중인 애플리케이션에 대해 프로세스 리스트를 주기적으로 검사하는 등으로 악성코드를 탐지하는 경우 악성코드가 실행되는 시점에 정확하게 탐지할 수 없었던 것과 비교하여 보다 효율적인 진단이 가능하고 보안강도 또한 높일 수 있게 된다. 또한, 프로세스가 새로이 시작되는 애플리케이션에 대해서만 프로세스 실행 시점에 선택적으로 해당 프로세스만 검사하여 진단을 수행하도록 함으로서, 종래 주기적으로 실행중인 모든 프로세스를 지정된 시간마다 검사함에 따라 발생하는 휴대용 단말기의 성능 저하 및 배터리 소모 등의 문제점도 해결할 수 있다.Accordingly, when detecting malicious code by periodically checking a process list for an already running application, a more efficient diagnosis is possible and security strength is increased compared to that when the malicious code was not executed correctly. It becomes possible. In addition, by selectively inspecting only the corresponding process at the time of executing the process, only the newly started application is executed to perform diagnosis, thereby degrading the performance and battery of the portable terminal caused by inspecting all the processes that are conventionally executed at regular intervals. Problems such as consumption can also be solved.
도 2는 본 발명의 실시예에 따른 휴대용 단말기(100)의 프로세스 실행 시점판단장치(112)의 상세 블록 구성을 도시한 것으로, 프로세스 실행 검출부(114)와 진단부(116) 등을 포함할 수 있다.2 illustrates a detailed block configuration of the process execution
이하, 도 2를 참조하여 본 발명의 실시예의 악성코드 진단장치(112)의 각 구성 요소에서의 동작을 상세히 설명하기로 한다.Hereinafter, the operation of each component of the
먼저, 프로세스 실행 검출부(114)는 실행 감시부(200), 프로세스 정보 파일(202), 파일 감시부(204)를 포함하며, 휴대용 단말기(100)에서 실행되는 애플리케이션의 프로세스 실행 정보를 검출하고, 검출된 프로세스 실행 정보를 이용하여 애플리케이션의 프로세스 실행 시점을 검출한다.First, the process
실행 감시부(200)는 휴대용 단말기(100)에서 실행되는 애플리케이션의 프로세스 실행 정보를 검출하고, 이와 같이 검출한 프로세스 실행 정보를 프로세스 정보 파일(202)에 기록한다. 예를 들어, 안드로이드 기반의 휴대용 단말기(100)에서는 단말에서 발생하는 모든 이벤트(event)에 대해 로그(log) 정보를 기록하는 로그캣(log cat)이라고 하는 모듈(module)이 존재할 수 있는데, 실행 감시부(200)는 이와 같은 로그캣에 기록되는 로그 정보를 감시하면서 애플리케이션의 실행에 따른 프로세스 실행 정보가 기록되는 경우, 해당 프로세스 실행 정보를 검출할 수 있다. 즉, 실행 감시부(200)에서는 로그캣으로부터 필터링(filtering)할 정보가 셋팅(setting)되는 경우 로그캣에 해당 정보가 기록될 시 이를 검출하여 프로세스 정보 파일(202)에 기록할 수 있다. The
또한, 실행 감시부(200)는 프로세스 실행 정보와 함께 프로세스에 대응되는 애플리케이션의 패키지명(package ID), 클래스명(class ID) 또는 PID(process ID) 등의 프로세스 정보를 기록하여 진단부(116)에서 악성코드 여부에 대한 진단을 수행할 때 해당 애플리케이션에 대한 정보를 쉽게 확인할 수 있도록 한다.In addition, the
파일 감시부(204)는 프로세스 정보 파일(202)에 기록되는 프로세스 실행 정보의 변경 여부를 감시하여 애플리케이션의 프로세스 실행 시점을 검출한다. 즉, 실행 감시부(200)에 의해 프로세스 정보 파일(202)내 특정 애플리케이션의 프로세스 시작 정보가 기록된 이후, 실제로 프로세스가 실행되어 프로세스 실행 정보가 추가로 기록될 수 있는데, 파일 감시부(204)는 위와 같이 프로세스 정보 파일내 프로세스 실행 정보에 대한 추가적인 기록이 수행되는 경우 프로세스 실행 정보의 변경을 판단하여 애플리케이션의 프로세스 실행 시점으로 검출할 수 있다.The
다음으로, 진단부(116)는 제어부(210), 검사부(212), 시그니처(signature) DB(214)를 포함하며, 프로세스 실행 검출부(114)에서 검출되는 프로세스 실행 시점에 애플리케이션에 대한 악성코드 여부를 검사한다.Next, the
검사부(212)는 프로세스 실행 검출부(114)의 파일 감시부(204)로부터 애플리케이션의 프로세스 실행 시점을 수신하는 경우 악성코드 판단을 위한 시그니처 정보를 저장하고 있는 시그니처 DB(214)를 이용하여 애플리케이션에 대한 악성코드 여부를 검사한다.When the inspecting
제어부(210)는 검사부(212)로부터 검사결과를 수신하고, 애플리케이션의 프로세스 실행 시점에 악성코드 여부에 대한 검사가 수행된 해당 애플리케이션이 악성코드인 것으로 판단된 경우 해당 애플리케이션의 실행을 차단시키는 등으로 애플리케이션에 대한 제어를 수행할 수 있다.The
도 3은 본 발명의 실시예에 따른 프로세스 실행 시점 판단장치(112)에서 프로세스 실행 시점을 이용하여 휴대용 단말기(100)에서 실행되는 애플리케이션에 대한 악성코드 여부를 진단하는 동작 제어 흐름을 도시한 것이다. 이하, 도 1, 도 2 및 도 3을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.3 is a flowchart illustrating an operation control flow for diagnosing malicious code for an application executed in the
먼저, 프로세스 실행 시점 판단장치(112)내 실행 감시부(200)는 휴대용 단말기(100)에서 발생하는 모든 이벤트에 대한 로그 정보를 기록하는 로그캣 등의 모듈을 감시하여 로그캣에 운영자 등에 의해 필터링하도록 설정된 프로세스 실행 정보가 기록되는지에 대한 프로세스 감시를 실행하고(S300), 프로세스 실행 정보가 기록되는 경우 해당 프로세스 실행 정보를 검출하여 프로세스 정보 파일(202)에 기록한다(S302). First, the
이때, 휴대용 단말기(100)에서는 주로 애플리케이션에 대한 악성코드를 검사하게 되므로, 필터링하도록 설정되는 정보는 휴대용 단말기(100)에서 실행되는 애플리케이션의 프로세스에 대한 정보가 될 수 있으며, 실행 감시부(200)는 로그캣으로부터 애플리케이션의 프로세스가 실행됨에 따라 기록되는 프로세스 실행 정보를 검출하여 프로세스 정보 파일(202)에 기록하는 등의 동작으로 프로세스 감시를 실행한다. At this time, since the
다음으로, 프로세스 실행 시점 판단장치(112)내 파일 감시부(204)에서는 애플리케이션의 프로세스 실행 시점을 검출하기 위해 프로세스 정보 파일(202)에 대한 감시를 실행하고(S304), 프로세스 정보 파일(202)내 기록되는 프로세스 실행 정보의 변경이 발생하는지를 검사하게 된다(S306).Next, the
그 이후, 파일 감시부(204)는 프로세스 정보 파일에 기록되는 프로세스 실행 정보의 변경이 발생한 것으로 검사되는 경우 애플리케이션의 프로세스 실행 시점을 검출한다(S308). Thereafter, the
즉, 실행 감시부(200)에 의해 프로세스 정보 파일(202)내 특정 애플리케이션의 프로세스 시작 정보가 기록된 이후, 실제로 프로세스가 실행되어 프로세스 실행 정보가 추가로 기록될 수 있는데, 파일 감시부(204)는 이와 같은 경우를 프로세스 실행 정보의 변경으로 판단하여 애플리케이션의 프로세스 실행 시점으로 검출할 수 있다.That is, after the process start information of a specific application in the process information file 202 is recorded by the
다음으로, 위와 같이 파일 감시부(204)에서 검출된 프로세스 실행 시점에 대한 정보는 프로세스 실행 시점 판단장치(112)내 검사부(212)로 제공된다.Next, the information on the process execution time detected by the
그러면, 검사부(212)는 파일 감시부(204)로부터 애플리케이션의 프로세스 실행 시점을 수신하는 경우 악성코드 판단을 위한 시그니처 정보를 저장하고 있는 시그니처 DB(214)를 이용하여 애플리케이션에 대한 악성코드 여부를 검사한다(S310). 이와 같이 검사된 검사결과는 제어부(210)로 전송되며, 이에 따라 제어부(210)에서는 악성코드로 판단된 해당 애플리케이션에 대해 애플리케이션의 실행을 차단시키는 등과 같이 제어하여 악성코드의 실행에 따른 피해가 발생하지 않도록 할 수 있다.Then, when receiving a process execution time of the application from the
상기한 바와 같이, 본 발명은 스마트폰 등의 휴대용 단말기에 설치되는 애플리케이션 파일에 대한 악성코드 진단 시 휴대용 단말기에서 실행되는 애플리케이션의 프로세스 실행 시점을 검출하고, 프로세스 실행 시점에 해당 프로세스만 검사하여 악성코드 진단을 수행함으로서 악성코드의 진단을 보다 효율적으로 수행할 수 있으며, 보안강도를 높일 수 있다. 또한, 휴대용 단말기에서 애플리케이션이 실행되는 경우 프로세스 실행 시점에 해당 프로세스만 검사하여 악성코드를 진단함으로써 종래 휴대용 단말기에서 실행되는 모든 프로세스에 대해 주기적으로 악성코드 진단을 수행함에 따라 발생하는 단말기의 성능 저하 및 배터리 소모 등의 문제점을 개선시킬 수 있다.As described above, the present invention detects a process execution time of an application running on the portable terminal when diagnosing a malicious code for an application file installed in a portable terminal such as a smartphone, and checks only the corresponding process at the time of execution of the malicious code. By performing the diagnosis, the malicious code can be diagnosed more efficiently and the security strength can be increased. In addition, when an application is executed in the portable terminal, the malicious code is diagnosed by only inspecting the corresponding process at the time of executing the process, thereby degrading the performance of the terminal caused by periodically performing the malware diagnosis on all processes executed in the conventional portable terminal. Problems such as battery consumption can be improved.
한편 상술한 본 발명의 설명에서는 구체적인 실시예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention. Accordingly, the scope of the invention should not be limited by the described embodiments but should be defined by the appended claims.
200 : 실행 감시부 202 : 프로세스 정보 파일
204 : 파일 감시부 210 : 제어부
212 : 검사부 214 : 시그니처 DB200: execution monitoring unit 202: process information file
204: File monitoring unit 210: Control unit
212: Inspection unit 214: Signature DB
Claims (18)
상기 프로세스 정보 파일에 기록되는 상기 프로세스 실행 정보의 변경 여부를 감시하여 상기 애플리케이션의 프로세스 실행 시점을 검출하는 파일 감시부
를 포함하는 것을 특징으로 하는 프로세스 실행시점 판단장치.
An execution monitoring unit for detecting process execution information of an application executed in the portable terminal and recording the process execution information in a process information file;
A file monitoring unit that monitors whether or not the process execution information recorded in the process information file is changed and detects a process execution time of the application;
Process execution time determination apparatus comprising a.
상기 장치는,
상기 프로세스 실행 시점에 상기 애플리케이션에 대한 악성코드 여부를 검사하는 진단부
를 더 포함하는 프로세스 실행시점 판단장치.
The method of claim 1,
The apparatus comprises:
Diagnostic unit for checking whether or not the malicious code for the application at the time of execution of the process
Process execution time determination apparatus further comprising a.
상기 실행 감시부는,
상기 휴대용 단말기에서 발생하는 모든 이벤트에 대한 로그 정보를 기록하는 로그파일을 지속적으로 확인하여 상기 애플리케이션의 프로세스 실행 정보를 검출하는 것을 특징으로 하는 프로세스 실행시점 판단장치.
The method of claim 1,
The execution monitoring unit,
And a process for determining process execution information of the application by continuously checking a log file that records log information of all events occurring in the portable terminal.
상기 실행 감시부는,
상기 로그 정보 중 상기 애플리케이션의 프로세스 실행 정보만을 필터링하여 검출하는 것을 특징으로 하는 프로세스 실행시점 판단장치.
The method of claim 3, wherein
The execution monitoring unit,
The process execution time determination apparatus, characterized in that for detecting only the process execution information of the application of the log information by filtering.
상기 실행 감시부는,
상기 프로세스 실행 정보 및 상기 프로세스 정보를 기록하는 것을 특징으로 하는 프로세스 실행시점 판단장치.
The method of claim 1,
The execution monitoring unit,
And the process execution information and the process information are recorded.
상기 프로세스 정보는,
상기 프로세스에 해당하는 애플리케이션의 패키지명(package id), 클래스명(class id) 또는 PID(process ID) 중 적어도 하나 이상인 것을 특징으로 하는 프로세스 실행시점 판단장치.
The method of claim 5, wherein
The process information,
And at least one of a package id, a class id, and a PID of the application corresponding to the process.
상기 파일 감시부는,
상기 프로세스 정보 파일에서, 이전 기록된 프로세스 실행 정보에 추가적인 프로세스 실행 정보가 기록되는 경우 상기 프로세스 실행 정보의 변경으로 판단하는 것을 특징으로 하는 프로세스 실행시점 판단장치.
The method of claim 1,
The file monitoring unit,
And in the process information file, if additional process execution information is recorded in previously recorded process execution information, determining that the process execution information is a change.
상기 진단부는,
상기 악성코드 판단을 위한 시그니처 정보를 저장하고 있는 시그니처 DB와,
상기 애플리케이션의 상기 프로세스 실행 시점을 수신하는 경우 상기 시그니처 DB를 이용하여 상기 애플리케이션에 대한 악성코드 여부를 검사하는 검사부와,
상기 검사부의 결과에 따라 악성코드로 검사되는 경우 상기 애플리케이션의 실행을 차단시키는 제어부
를 포함하는 것을 특징으로 하는 프로세스 실행시점 판단장치.
3. The method of claim 2,
Wherein the diagnosis unit comprises:
A signature DB that stores signature information for determining the malicious code;
A check unit that checks whether the application is malicious code by using the signature DB when receiving the process execution time of the application;
Control unit to block the execution of the application when it is inspected with malicious code according to the result of the inspection unit
Process execution time determination apparatus comprising a.
상기 휴대용 단말기는,
스마트폰, 테블릿 PC 또는 PDA 중 어느 하나인 것을 특징으로 하는 프로세스 실행시점 판단장치.
The method of claim 1,
The portable terminal,
Process execution time determination device, characterized in that any one of the smartphone, tablet PC or PDA.
상기 프로세스 실행 시점에 상기 애플리케이션에 대한 악성코드 여부를 검사하는 단계
를 포함하는 프로세스 실행시점 판단방법.
Detecting a process execution time of an application executed in the portable terminal;
Checking whether the application is malicious at the time of executing the process
Process execution time determination method comprising a.
상기 프로세스 실행 시점을 검출하는 단계는,
상기 휴대용 단말기에서 실행되는 상기 애플리케이션의 상기 프로세스 실행 정보를 검출하는 단계와,
상기 프로세스 실행 정보를 프로세스 정보 파일에 기록하는 단계와,
상기 프로세스 정보 파일에 기록되는 상기 프로세스 실행 정보의 변경 여부를 감시하는 단계와,
상기 프로세스 실행 정보의 변경이 있는 경우 상기 애플리케이션의 상기 프로세스 실행 시점을 검출하는 단계
를 포함하는 것을 특징으로 하는 프로세스 실행시점 판단방법.
11. The method of claim 10,
Detecting the process execution time,
Detecting the process execution information of the application executed in the portable terminal;
Recording the process execution information in a process information file;
Monitoring whether or not the process execution information recorded in the process information file is changed;
Detecting the process execution time of the application when there is a change in the process execution information
Process execution time determination method comprising a.
상기 프로세스 실행 정보를 검출하는 단계는,
상기 휴대용 단말기에서 발생하는 모든 이벤트에 대한 로그 정보를 기록하는 로그파일을 지속적으로 확인하는 단계와,
상기 로그파일로부터 상기 애플리케이션의 프로세스 실행 정보를 검출하는 단계
를 포함하는 것을 특징으로 하는 프로세스 실행시점 판단방법.
The method of claim 11,
Detecting the process execution information,
Continuously checking a log file for recording log information of all events occurring in the portable terminal;
Detecting process execution information of the application from the log file
Process execution time determination method comprising a.
상기 프로세스 실행 정보를 검출하는 단계는,
상기 로그파일의 정보 중 상기 애플리케이션의 상기 프로세스 실행 정보만을 필터링하여 검출하는 것을 특징으로 하는 프로세스 실행시점 판단방법.
13. The method of claim 12,
Detecting the process execution information,
The process execution time determination method, characterized in that for filtering only the process execution information of the application of the log file information.
상기 기록하는 단계는,
상기 프로세스 실행 정보 및 상기 프로세스 정보를 기록하는 것을 특징으로 하는 프로세스 실행시점 판단방법.
The method of claim 11,
Wherein the recording step comprises:
And recording the process execution information and the process information.
상기 프로세스 정보는,
상기 프로세스에 해당하는 애플리케이션의 패키지명, 클래스명 또는 PID 중 적어도 하나 이상인 것을 특징으로 하는 프로세스 실행시점 판단방법.
15. The method of claim 14,
The process information,
Process execution time determination method, characterized in that at least one or more of the package name, class name or PID of the application corresponding to the process.
상기 변경 여부를 감시하는 단계는,
상기 프로세스 정보 파일에서, 이전 기록된 프로세스 실행 정보에 추가적인 프로세스 실행 정보가 기록되는지 여부를 검사하는 단계와,
상기 추가적인 프로세스 실행 정보가 기록되는 경우 상기 프로세스 실행 정보의 변경으로 판단하는 단계
를 포함하는 것을 특징으로 하는 프로세스 실행시점 판단방법.
The method of claim 11,
Monitoring whether the change is,
Checking whether, in the process information file, additional process execution information is recorded in previously recorded process execution information;
Determining that the process execution information is changed when the additional process execution information is recorded.
Process execution time determination method comprising a.
상기 악성코드 여부를 검사하는 단계는,
상기 애플리케이션의 상기 프로세스 실행 시점을 수신하는 단계와,
상기 프로세스 실행 시점에 시그니처 DB를 이용하여 상기 애플리케이션에 대한 악성코드 여부를 검사하는 단계
를 포함하는 것을 특징으로 하는 프로세스 실행시점 판단방법.
11. The method of claim 10,
Checking whether the malicious code is,
Receiving the process execution time of the application;
Checking whether the malicious code for the application is executed by using a signature DB at the time of executing the process.
Process execution time determination method comprising a.
상기 악성코드 여부의 검사결과, 악성코드로 판단되는 경우 해당 애플리케이션의 실행을 종료시키는 단계를 더 포함하는 것을 특징으로 하는 프로세스 실행시점 판단방법.The method of claim 17,
And a step of terminating the execution of the corresponding application when it is determined that the malicious code is determined as the malicious code.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120097159A KR101256461B1 (en) | 2012-09-03 | 2012-09-03 | Apparatus and method for detecting start point of process |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120097159A KR101256461B1 (en) | 2012-09-03 | 2012-09-03 | Apparatus and method for detecting start point of process |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101256461B1 true KR101256461B1 (en) | 2013-04-19 |
Family
ID=48443487
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120097159A KR101256461B1 (en) | 2012-09-03 | 2012-09-03 | Apparatus and method for detecting start point of process |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101256461B1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101530530B1 (en) * | 2013-11-04 | 2015-06-23 | 주식회사 잉카인터넷 | Apparatus and Method for Detecting Malicious Process Execution in a Mobile Terminal |
KR101735652B1 (en) | 2015-07-30 | 2017-05-15 | 아주대학교산학협력단 | Terminal apparatus and method for detecting cyber attack application thereby |
KR20190020998A (en) * | 2017-08-22 | 2019-03-05 | 주식회사 하우리 | Apparatus, method and system for detecting malicious code |
WO2020189822A1 (en) * | 2019-03-20 | 2020-09-24 | 주식회사 하우리 | Diagnosis apparatus, diagnosis method, and diagnosis system for malicious code in cloud environment |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100897849B1 (en) | 2007-09-07 | 2009-05-15 | 한국전자통신연구원 | Apparatus and Method for finding malicious process |
KR100910761B1 (en) | 2006-11-23 | 2009-08-04 | 한국전자통신연구원 | Anomaly Malicious Code Detection Method using Process Behavior Prediction Technique |
-
2012
- 2012-09-03 KR KR1020120097159A patent/KR101256461B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100910761B1 (en) | 2006-11-23 | 2009-08-04 | 한국전자통신연구원 | Anomaly Malicious Code Detection Method using Process Behavior Prediction Technique |
KR100897849B1 (en) | 2007-09-07 | 2009-05-15 | 한국전자통신연구원 | Apparatus and Method for finding malicious process |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101530530B1 (en) * | 2013-11-04 | 2015-06-23 | 주식회사 잉카인터넷 | Apparatus and Method for Detecting Malicious Process Execution in a Mobile Terminal |
KR101735652B1 (en) | 2015-07-30 | 2017-05-15 | 아주대학교산학협력단 | Terminal apparatus and method for detecting cyber attack application thereby |
KR20190020998A (en) * | 2017-08-22 | 2019-03-05 | 주식회사 하우리 | Apparatus, method and system for detecting malicious code |
KR102042045B1 (en) * | 2017-08-22 | 2019-11-08 | 주식회사 하우리 | Apparatus, method and system for detecting malicious code |
WO2020189822A1 (en) * | 2019-03-20 | 2020-09-24 | 주식회사 하우리 | Diagnosis apparatus, diagnosis method, and diagnosis system for malicious code in cloud environment |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101161493B1 (en) | Method of Examining Malicious Codes and Dangerous Files in Android Terminal Platform | |
US8782793B2 (en) | System and method for detection and treatment of malware on data storage devices | |
US20130014262A1 (en) | Mobile communication terminal having a behavior-based malicious code detection function and detection method thereof | |
CN108702421B (en) | Electronic device and method for controlling applications and components | |
CN107145782B (en) | Abnormal application program identification method, mobile terminal and server | |
US10176327B2 (en) | Method and device for preventing application in an operating system from being uninstalled | |
KR101489152B1 (en) | Apparatus and method for preventing screen capture | |
US20130276124A1 (en) | Systems, methods, apparatuses and computer program products for providing mobile device protection | |
US8661543B2 (en) | Mobile terminal having security diagnosis functionality and method of making diagnosis on security of mobile terminal | |
KR101256461B1 (en) | Apparatus and method for detecting start point of process | |
KR101324691B1 (en) | System and method for detecting malicious mobile applications | |
KR101130088B1 (en) | Malware detecting apparatus and its method, recording medium having computer program recorded | |
CN106709335B (en) | Vulnerability detection method and device | |
WO2014010847A1 (en) | Apparatus and method for diagnosing malicious applications | |
EP3136278B1 (en) | Dynamically loaded code analysis device, dynamically loaded code analysis method, and dynamically loaded code analysis program | |
KR102472523B1 (en) | Method and apparatus for determining document action based on reversing engine | |
KR101369254B1 (en) | Apparatus and method for detecting malicious application | |
KR101633490B1 (en) | Apparatus and Method for User Interface to Check Details of Sensitive Data Usage on Mobile Device | |
KR101626581B1 (en) | Test method for error applition of portable communication terminal | |
CN108958746B (en) | Configuration file processing method, mobile terminal and computer readable storage medium | |
KR101256453B1 (en) | Apparatus and method for detecting rooting | |
KR102581932B1 (en) | Methods and devices for detecting seh overwrite mitigation bypass using a reverting engine | |
CN111444070B (en) | Interface interaction data processing method and user terminal | |
KR102556413B1 (en) | Method and apparatus for managing a virtual machine using semaphore | |
KR101453357B1 (en) | Method and apparatus for diagnosing and removing malware in portable device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20170417 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20180416 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20190415 Year of fee payment: 7 |