KR101436496B1 - System for remote diagnosis of malware - Google Patents
System for remote diagnosis of malware Download PDFInfo
- Publication number
- KR101436496B1 KR101436496B1 KR1020130105078A KR20130105078A KR101436496B1 KR 101436496 B1 KR101436496 B1 KR 101436496B1 KR 1020130105078 A KR1020130105078 A KR 1020130105078A KR 20130105078 A KR20130105078 A KR 20130105078A KR 101436496 B1 KR101436496 B1 KR 101436496B1
- Authority
- KR
- South Korea
- Prior art keywords
- input
- file
- specific file
- output
- malicious code
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3041—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is an input/output interface
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Quality & Reliability (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
본 명세서는 클라이언트에 위치한 파일을 원격지의 서버가 검사할 수 있는 방법 및 가상화된 네트워크 파일 입출력(IO) 기술에 관한 것이다.The present disclosure relates to a method of allowing a remote server to examine a file located on a client and a virtualized network file input / output (IO) technique.
종래 클라우드 Anti-Malware 솔루션의 기술은 파일을 서버에 전송하는 방식이나 CRC와 같은 시그니처 값을 클라이언트에서 추출한 후 서버에서 악성여부를 판별하는 방식을 사용하고 있다. The technology of the conventional cloud anti-malware solution uses a method of transferring a file to a server or a method of determining whether the server is malicious after extracting a signature value such as a CRC from a client.
파일을 전송하여 검사하는 방식의 경우 진단을 위해 전체 파일이 필요하지 않은 경우에도 파일 전체를 전송하게 되므로 불필요한 파일 전송에 의한 진단 속도 저하 및 네트워크 트래픽 증가에 따른 불필요한 서버 유지보수 비용이 발생할 수 있다.In the case of the method of transmitting and checking the file, since the entire file is transmitted even if the whole file is not needed for diagnosis, unnecessary maintenance and maintenance costs due to unnecessary file transmission decrease and network traffic increase may occur.
반면 클라이언트에서 시그니처를 생성해 서버에 보내는 방식의 경우 클라이언트가 시그니처 생성을 처리하므로 그에 대한 부하가 발생하게 된다. 전체 파일을 대상으로 시그니처를 생성할 경우 파일 전체를 읽어야 하는 파일 IO 부하를 감당해야 하며, 파일에 따라 일부분의 데이터에 대해 시그니처를 생성할 경우 필요한 부분이 무엇인지에 대한 분석을 필요로 하게 되므로 사실상 클라이언트가 스캐너 동작의 상당부분을 담당해야 하는 문제가 발생한다.On the other hand, in the case of generating a signature from the client and sending it to the server, a load is generated because the client handles the signature generation. If you create signatures for the entire file, you have to deal with the file IO load that needs to read the entire file. Depending on the file, you will need to analyze what parts are needed to generate the signature for the partial data. A problem arises that the client must be responsible for a significant portion of the scanner's operation.
따라서 기존 클라우드 서비스 동작 방식의 단점을 개선해 파일 IO에 대한 동작만 클라이언트가 담당하면서도 네트워크 트래픽은 파일 전체가 아닌 필요한 데이터만 발생시키는 방법이 요청된다.Therefore, it is required to improve the disadvantages of the existing cloud service operation method, so that only the operation for the file IO is performed by the client, but the network traffic generates only the necessary data, not the whole file.
본 명세서는 클라이언트에 위치한 파일(예컨대, 악성 소프트웨어)을 원격지의 서버가 검사할 수 있는 방법 및 가상화된 네트워크 파일 입출력(IO) 기술을 제안하는 데에 그 목적이 있다. 보다 구체적으로는, 서버 및 클라이언트에 가상화된 파일 IO 레이어를 구현하여, 클라이언트에서는 서버에서 요청한 파일 IO를 수행하고 그 결과를 다시 서버에 전송함으로써, 데이터 트래픽을 최소화시키는 악성 코드 원격 진단 방법을 제안하고자 한다.The present disclosure is directed to a method of enabling a remote server to examine a file (e.g., malicious software) located on a client and a virtualized network file input / output (IO) technique. More specifically, we propose a malicious code remote diagnosis method that minimizes data traffic by implementing a file IO layer that is virtualized on the server and client, and the client performs file IO requested by the server and sends the result back to the server do.
본 명세서의 일 실시예에 따라 악성 코드 진단 서버가 제공된다. 상기 서버는 클라이언트 단말로부터 특정 파일의 진단을 요청받으면 상기 특정 파일에 대한 입출력(IO) 명령을 발생시키고, 상기 특정 파일에 대한 파일 입출력 명령을 수신한 상기 클라이언트 단말에 의해 수행된 상기 특정 파일의 입출력 결과를 분석하여 상기 특정 파일을 진단하는 스캐너(scanner)와; 상기 스캐너에 의해 발생된 상기 특정 파일에 대한 입출력(IO) 명령을 상기 클라이언트 단말로 송신하고, 상기 클라이언트 단말로부터 수신한 상기 특정 파일의 입출력 결과를 상기 스캐너로 전달하는 가상 입출력부;를 포함할 수 있다.According to an embodiment of the present disclosure, a malicious code diagnosis server is provided. The server generates an input / output (IO) command for the specific file when the client terminal requests the diagnosis of the specific file, and the input / output of the specific file performed by the client terminal that has received the file input / A scanner for analyzing the result and diagnosing the specific file; And a virtual input / output unit that transmits an input / output (IO) command to the specific file generated by the scanner to the client terminal and transmits an input / output result of the specific file received from the client terminal to the scanner have.
상기 파일 입출력 명령은 상기 특정 파일에 대한 읽기(read), 쓰기(write), 찾기(seek), 열기(open), 닫기(close), 속성(attribute) 변경, 이름 변경(rename), 삭제(delete) 명령 중 적어도 하나 이상을 포함할 수 있다.The file input / output command is used to read, write, seek, open, close, attribute change, rename, delete (delete) ) ≪ / RTI > commands.
상기 파일 입출력 명령은 상기 특정 파일의 소정 위치를 읽도록 하는 명령일 수 있다.The file input / output command may be an instruction to read a predetermined position of the specific file.
상기 가상 입출력부는, 상기 수행된 특정 파일의 입출력 결과를 저장하고, 상기 특정 파일의 입출력 결과가 재요청되는 경우, 상기 스캐너로 상기 저장된 특정 파일의 입출력 결과를 전달하는 캐시(cache); 및 상기 캐시에 저장되지 않은 파일에 대한 입출력 명령이 수신되는 경우, 상기 입출력 명령을 상기 클라이언트 단말로 전송하고, 상기 파일 입출력 명령에 대응되는 파일 입출력 결과를 상기 캐시로 전달하여 상기 캐시가 갱신되도록 하는 네트워크 입출력부를 포함할 수 있다.The virtual input / output unit stores a result of input / output of the specific file, and when the input / output result of the specific file is requested again, the virtual input / output unit transmits a result of input / output of the stored specific file to the scanner. And a file input / output result corresponding to the file input / output command is transmitted to the cache to update the cache when an input / output command for a file not stored in the cache is received, And a network input / output unit.
본 명세서의 다른 실시예에 따라 악성 코드 진단 시스템이 제공된다. 상기 시스템은 클라이언트 단말로부터 특정 파일의 진단을 요청받으면 상기 특정 파일에 대한 입출력(IO) 명령을 발생시키고, 상기 특정 파일에 대한 입출력(IO) 명령을 상기 클라이언트 단말로 송신하고, 상기 특정 파일에 대한 파일 입출력 명령을 수신한 상기 클라이언트 단말로부터 수신한 상기 특정 파일의 입출력 결과를 분석하여 상기 특정 파일을 진단하는 악성 코드 진단 서버; 및 상기 악성 코드 진단 서버로 특정 파일의 진단을 요청하고, 상기 특정 파일에 대한 입출력(IO) 명령을 상기 악성 코드 진단 서버로부터 수신하여 상기 특정 파일에 대한 입출력을 수행하고, 상기 특정 파일의 입출력 결과를 상기 악성 코드 진단 서버로 전송하는 클라이언트 단말을 포함할 수 있다.According to another embodiment of the present disclosure, a malicious code diagnosis system is provided. The system generates an input / output (I / O) command for the specific file upon receipt of a request for diagnosis of a specific file from the client terminal, transmits an input / output (IO) command for the specific file to the client terminal, A malicious code diagnosis server for analyzing input / output results of the specific file received from the client terminal that has received the file input / output command and diagnosing the specific file; And an input / output (I / O) command for the specific file is received from the malicious code diagnosis server to perform input / output of the specific file, and an input / output result To the malicious code diagnosis server.
본 명세서의 또 다른 실시예에 따라 악성 코드 진단 서버가 클라이언트 단말의 파일을 진단하는 방법이 제공된다. 상기 방법은 악성 코드 진단 서버가 클라이언트 단말로부터 특정 파일의 진단을 요청받으면 상기 특정 파일에 대한 입출력(IO) 명령을 발생시키는 단계; 상기 발생된 상기 특정 파일에 대한 입출력(IO) 명령을 상기 클라이언트 단말로 송신하는 단계; 상기 특정 파일에 대한 파일 입출력 명령을 수신한 상기 클라이언트 단말에 의해 수행된 상기 특정 파일의 입출력 결과를 수신하는 단계; 상기 수신한 상기 특정 파일의 입출력 결과를 분석하여 상기 특정 파일을 진단하는 단계;를 포함할 수 있다.According to another embodiment of the present invention, a malicious code diagnosis server diagnoses a file of a client terminal is provided. The method includes generating an input / output (I / O) command for the specific file when the malicious code diagnosis server is requested to diagnose a specific file from the client terminal; Outputting an I / O command to the client terminal; Receiving an input / output result of the specific file performed by the client terminal that has received the file input / output command for the specific file; And analyzing the input / output result of the received specific file to diagnose the specific file.
상기 파일 입출력 명령은 상기 특정 파일에 대한 읽기(read), 쓰기(write), 찾기(seek), 열기(open), 닫기(close), 속성(attribute) 변경, 이름 변경(rename), 삭제(delete) 명령 중 적어도 하나 이상을 포함할 수 있다.The file input / output command is used to read, write, seek, open, close, attribute change, rename, delete (delete) ) ≪ / RTI > commands.
상기 파일 입출력 명령은 상기 특정 파일의 소정 위치를 읽도록 하는 명령일 수 있다.The file input / output command may be an instruction to read a predetermined position of the specific file.
상기 방법은 수행된 상기 특정 파일의 입출력 결과를 저장하는 단계; 상기 특정 파일의 입출력 결과가 다시 요청되는 경우, 상기 저장된 결과를 재사용하는 단계를 더 포함할 수 있다.The method comprising: storing input / output results of the specified file; And if the input / output result of the specific file is requested again, reusing the stored result.
본 명세서의 실시예들은, 각 클라이언트 단말에서 파일(예컨대, 악성 소프트웨어로 의심되는 파일)을 검사할 때 요구되는 동작(예: 파일 IO)과 동일한 동작을 서버로 요청하여 수행함으로써, 검사에 필요한 최소한의 데이터만을 네트워크로 전달하여 데이터 트래픽을 줄일 수 있으며, 클라이언트는 파일 IO에 대한 비교적 적은 작업 부담만 담당하게 되는 효과가 있다.Embodiments of the present invention can be implemented by requesting and performing the same operation as the operation (e.g., file IO) required when inspecting a file (for example, a file suspected of being malicious software) at each client terminal, The data traffic can be reduced by transmitting only the data of the file I / O to the network, and the client has a relatively small work burden on the file IO.
도 1a 내지 1d는 은 본 명세서의 일 실시예에 따른 악성 코드 진단 시스템을 나타낸 개념도이다.
도 2는 본 명세서의 일 실시예에 따른 악성 코드 진단 서버의 블록도이다.
도 3은 본 명세서의 일 실시예에 따른 악성 코드 진단 방법을 도시한 흐름도이다.1A to 1D are conceptual diagrams illustrating a malicious code diagnosis system according to an embodiment of the present invention.
2 is a block diagram of a malicious code diagnosis server according to an embodiment of the present invention.
3 is a flowchart illustrating a malicious code diagnosis method according to an embodiment of the present invention.
본 명세서에서 사용되는 기술적 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아님을 유의해야 한다. 또한, 본 명세서에서 사용되는 기술적 용어는 본 명세서에서 특별히 다른 의미로 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 의미로 해석되어야 하며, 과도하게 포괄적인 의미로 해석되거나, 과도하게 축소된 의미로 해석되지 않아야 한다. 또한, 본 명세서에서 사용되는 기술적인 용어가 본 발명의 사상을 정확하게 표현하지 못하는 잘못된 기술적 용어일 때에는, 당업자가 올바르게 이해할 수 있는 기술적 용어로 대체되어 이해되어야 할 것이다. 또한, 본 발명에서 사용되는 일반적인 용어는 사전에 정의되어 있는 바에 따라, 또는 전후 문맥상에 따라 해석되어야 하며, 과도하게 축소된 의미로 해석되지 않아야 한다.It is noted that the technical terms used herein are used only to describe specific embodiments and are not intended to limit the invention. It is also to be understood that the technical terms used herein are to be interpreted in a sense generally understood by a person skilled in the art to which the present invention belongs, Should not be construed to mean, or be interpreted in an excessively reduced sense. Further, when a technical term used herein is an erroneous technical term that does not accurately express the spirit of the present invention, it should be understood that technical terms that can be understood by a person skilled in the art are replaced. In addition, the general terms used in the present invention should be interpreted according to a predefined or prior context, and should not be construed as being excessively reduced.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 또한, 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 발명의 사상을 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 발명의 사상이 제한되는 것으로 해석되어서는 아니 됨을 유의해야 한다. 본 발명의 사상은 첨부된 도면 외에 모든 변경, 균등물 내지 대체물에 까지도 확장되는 것으로 해석되어야 한다.
Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings, wherein like reference numerals refer to like or similar elements throughout the several views, and redundant description thereof will be omitted. In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail. It is to be noted that the accompanying drawings are only for the purpose of facilitating understanding of the present invention, and should not be construed as limiting the scope of the present invention with reference to the accompanying drawings. The spirit of the present invention should be construed as extending to all modifications, equivalents, and alternatives in addition to the appended drawings.
도 1a는 은 본 명세서의 일 실시예에 따른 악성 코드 진단 시스템을 나타낸 개념도이다.1A is a conceptual diagram illustrating a malicious code diagnosis system according to an embodiment of the present invention.
상기 악성 코드 진단 시스템은 악성 코드 진단 서버(100) 및 클라이언트 단말(200)을 포함하여 구성될 수 있다.The malicious code diagnosis system may include a malicious
여기서 악성 코드는 악성 소프트웨어 또는 맬웨어(malware) 등 컴퓨터에 악영향을 끼칠 수 있는 모든 소프트웨어의 총칭하는 의미이며, 컴퓨터 바이러스, 웜(worm), 웜 바이러스, 스파이웨어, 애드웨어, 허위 백신 등이 그 예이다.Here, malicious code is a generic term for all software that can harm your computer, such as malicious software or malware. Computer viruses, worms, worms, spyware, adware, to be.
상기 악성 코드 진단 서버(100)는 파일 진단(스캔)을 수행하는 스캐너(Scanner, 110)와 파일 입출력(IO)을 가상화하여 원격지 클라이언트(200)에 파일 IO를 요청하는 가상 입출력부(Virtual IO, 120)를 포함할 수 있다. 클라이언트(200)는 악성 코드 진단 서버(100)에서 요청한 파일 IO를 수행하고 그 결과를 돌려주는 가상 입출력부(Virtual IO, 220)를 포함할 수 있다.The malicious
상기 스캐너(110)는 로컬에 저장된 파일을 진단할 때와 동일한 동작을 할 수 있다. 상기 스캐너(110)는 검사 대상 파일이 로컬에 위치해 있는지 혹은 원격지에 위치해 있는지에 대해 고려하지 않고, 검사할 파일에 대한 IO 명령을 발생시키며. 스캐너(110)가 발생시킨 파일 IO 명령은 가상 입출력부(120)에 의해 네트워크를 통해 클라이언트 단말(200)로 요청된다.The
도 1a을 참조하여 보면, 클라이언트 단말(200)이 자신의 저장 매체에 존재하는 파일에 대해 악성 코드 진단 서버(100)에 검사 요청을 한다. 이때, 클라이언트 단말(200)이 검사를 요청하는 파일은 악성 코드로 의심되는 파일 또는 감염이 의심되는 파일일 수 있다. 예를 들어, 소정 기간 이상 검사되지 않은 파일, 특정한 위치에 저장된 파일, 소정 기간 이내에 새로이 저장된 파일, 소정의 문자열로 이루어진 이름을 가진 파일 등이 위와 같은 의심 파일일 수 있다.Referring to FIG. 1A, a
검사 요청을 수신한 악성 코드 진단 서버(100)의 스캐너(110)는 해당 파일을 검사하기 위해 읽기(read), 쓰기(write), 찾기(seek), 열기(open), 닫기(close), 속성(attribute) 변경, 이름 변경(rename), 삭제(delete) 등과 같은 파일 입출력(IO) 명령을 발생시킨다. 일 예로 상기 파일 입출력(IO) 명령은 특정 파일의 소정 위치(헤더, xx부터 yy까지, …)를 읽도록 하는 명령일 수 있다. 그 특성이 알려진 악성 코드는 전체 파일의 특정 부분만을 읽어보아도 판별이 가능할 수 있기 때문이다.The
상기 발생된 파일 입출력 명령들은 가상 입출력부(120)를 통해 클라이언트 단말(200)로 전송된다. 상기 파일 입출력 명령을 수신한 클라이언트 단말(200)은 상기 가상 입출력부(220)를 통해 해당 파일을 호출하고, 수신한 파일 입출력 명령에 대한 결과값을 악성 코드 진단 서버(100)로 전송한다. 결과값을 수신한 악성 코드 진단 서버(100)의 스캐너(110)는 이를 기초로 하여 클라이언트 단말(200)상의 해당 파일을 검사한다.The generated file input / output commands are transmitted to the
도 1b는 도 1a에서 설명한 악성 코드 진단 시스템의 변형된 실시예를 나타낸 개념도이다.FIG. 1B is a conceptual diagram illustrating a modified embodiment of the malicious code diagnosis system illustrated in FIG. 1A.
도 1b는, 도 1a의 서버와 클라이언트가 서로 반대의 역할을 하는 실시예이다. 즉, 클라이언트(200’)는 스캐너(210’)를 포함하며, 클라이언트(200’)는 악성 코드 진단 서버(100’)로부터 특정 파일의 진단 요청을 수신하면, 해당 파일에 대한 입출력 명령을 생성하여 악성 코드 진단 서버(100’)로 전송하고, 악성 코드 진단 서버(100’)는 해당 파일의 입출력 결과를 클라이언트(200’)로 전송하고, 클라이언트(200’)는 스캐너(210’)를 이용하여 해당 파일을 진단한다. 이러한 변형예는 다수의 가상 머신을 진단하는 시스템에 적용될 수 있다.FIG. 1B is an embodiment in which the server and the client in FIG. 1A have opposite roles. That is, the client 200 'includes the scanner 210'. Upon receiving the diagnosis request of the specific file from the malicious code diagnostic server 100 ', the client 200' generates an input / output command for the file The malicious code diagnosis server 100 'transmits the input / output result of the file to the client 200', and the client 200 'uses the scanner 210' Diagnose the file. This variant can be applied to a system for diagnosing multiple virtual machines.
도 1c는 본 명세서의 다른 실시예에 따른 악성 코드 진단 시스템을 나타낸 개념도이다.1C is a conceptual diagram illustrating a malicious code diagnosis system according to another embodiment of the present invention.
도 1c와 같이 악성 코드 진단 서버(100)의 가상 입출력부(120)는 캐시(Cache, 121) 및 네트워크 입출력부(Network IO, 122)를 더 포함할 수 있다. 상기 캐시(121)는 특정 파일에 대해 수행된 파일 입출력 결과 및 관련 정보를 저장하고, 기 수행된 특정 파일에 대한 입출력 명령이 다시 발생했을 때 저장된 기존 결과를 스캐너(110)로 전달(리턴)할 수 있다. 네트워크 입출력부(122)는 캐시(121)에 저장되어있지 않은 파일에 대한 입출력 명령이 발생하면, 이를 네트워크를 통해 클라이언트 단말(200)로 전송하며, 해당 파일의 입출력 결과를 클라이언트 단말(200)로부터 수신하여 스캐너(110)에 전달할 수 있다. 이를 통하여 상기 네트워크 입출력부(122)는 캐시(121)의 저장 정보가 갱신되도록 할 수 있다. 즉, 캐시는 기 저장된 파일 입출력 결과 이외의 파일 입출력 결과를 전달받게 되면, 저장하고 있는 파일 입출력 정보를 갱신(update)할 수 있다.1C, the virtual input /
도 1c는 스캐너(110)에서 발생한 읽기(Read) 명령에 대해 캐시(121)와 네트워크 입출력부(122) 동작을 도시하고 있다. 스캐너(110)는 파일을 검사하면서 다수의 read 명령을 발생시키는데, 기존에 읽은 영역을 다시 읽을 수도 있고, 이 때문에 불필요하게 네트워크 트래픽이 발생할 수 있다. 이러한 문제 해결을 위해 캐시(121)는 기존에 읽은 데이터를 다시 읽으려 할 경우 IO를 발생시키지 않고, 자신이 가지고 있는 데이터를 read명령에 대한 리턴 값으로 제공한다. 이러한 방법으로 네트워크 입출력부(122)를 통해 발생하는 IO 요청을 최소화 할 수 있다.1C illustrates operations of the
도 1d는 본 명세서의 또 다른 실시예에 따른 악성 코드 진단 시스템을 나타낸 개념도이다.1D is a conceptual diagram illustrating a malicious code diagnosis system according to another embodiment of the present invention.
도 1d에는 상기에서 설명한 가상 IO 기반의 클라우드 시스템을 도시한 예시이다. 도시한 구조에서 클라이언트 단말(200a 내지 200d)는 파일 IO만을 담당하므로, 플랫폼에 따른 포팅 문제가 없고 성능 제약도 적어 다양한 형태의 디바이스(예: PC, 스마트폰, 태블릿, 스마트TV 등)에서 동작할 수 있다. FIG. 1D illustrates an example of the virtual IO-based cloud system described above. In the illustrated structure, the
한편 독립적으로 파일 진단을 수행할 수 있는 다수의 서버(100)를 연동해 서로의 정보를 공유하고 스캐너를 스케줄링하면, 클라이언트 단말이 진단을 요청할 경우 연결된 서버 중 부하가 적은 서버가 해당 단말의 파일을 가상 입출력부(Virtual IO)를 이용해 검사할 수 있다.
Meanwhile, when a plurality of
도 2는 본 명세서의 일 실시예에 따른 악성 코드 진단 서버의 블록도이다.2 is a block diagram of a malicious code diagnosis server according to an embodiment of the present invention.
본 명세서의 실시예에 따른 악성 코드 진단 서버(100)는 스캐너(110), 가상 입출력부(120)를 포함하여 구성될 수 있다.The malicious
상기 악성 코드 진단 서버(100)는 도 1a 내지 1d에서 설명한 원격 파일 진단을 수행할 수 있다. 여기서 악성 코드는 악성 소프트웨어 또는 맬웨어(malware) 등 컴퓨터에 악영향을 끼칠 수 있는 모든 소프트웨어의 총칭하는 의미이며, 컴퓨터 바이러스, 웜(worm), 웜 바이러스, 스파이웨어, 애드웨어, 허위 백신 등이 그 예이다. 한편, 클라이언트의 요청에 의해 상기 악성 코드 진단 서버(100)가 진단하는 파일은, 악성 코드로 의심되는 파일 또는 감염이 의심되는 파일일 수 있다.The malicious
악성 코드 진단 서버(100)가 클라이언트 단말로부터 특정 파일의 진단을 요청받으면, 상기 스캐너(110)는 상기 특정 파일에 대한 입출력(IO) 명령을 발생시키고, 상기 특정 파일에 대한 파일 입출력 명령을 수신한 상기 클라이언트 단말에 의해 수행된 상기 특정 파일의 입출력 결과를 분석하여 상기 특정 파일을 진단할 수 있다.When the malicious
상기 가상 입출력부(120)는 상기 스캐너에 의해 발생된 상기 특정 파일에 대한 입출력(IO) 명령을 상기 클라이언트 단말로 송신하고, 상기 클라이언트 단말로부터 수신한 상기 특정 파일의 입출력 결과를 상기 스캐너로 전달할 수 있다.The virtual input /
이때 상기 파일 입출력 명령은 상기 특정 파일에 대한 읽기(read), 쓰기(write), 찾기(seek), 열기(open), 닫기(close), 속성(attribute) 변경, 이름 변경(rename), 삭제(delete) 명령 중 적어도 하나 이상을 포함할 수 있다. 또한 상기 파일 입출력 명령은 상기 특정 파일의 소정 위치를 읽도록 하는 명령일 수 있다.At this time, the file input / output command is a command to read, write, seek, open, close, attribute change, rename, delete (delete) delete < / RTI > commands. The file input / output command may be a command to read a predetermined position of the specific file.
상기 가상 입출력부(120)는 캐시(121) 및 네트워크 입출력부(122)를 더 포함할 수도 있다. 여기서 상기 캐시(cache, 121)는 기 수행된 특정 파일의 입출력 결과를 저장하고, 상기 특정 파일의 입출력 결과가 재요청되는 경우, 상기 스캐너로 상기 저장된 특정 파일의 입출력 결과를 전달할 수 있으며, 상기 네트워크 입출력부(122)는 상기 캐시에 저장되지 않은 파일 입출력이 요청되는 경우, 상기 파일 입출력 요청을 상기 클라이언트 단말로 전송할 수 있다. 이를 통하여 상기 네트워크 입출력부(122)는 캐시(121)의 저장 정보가 갱신되도록 할 수 있다.
The virtual input /
도 3은 본 명세서의 일 실시예에 따른 악성 코드 진단 방법을 도시한 흐름도이다.3 is a flowchart illustrating a malicious code diagnosis method according to an embodiment of the present invention.
이하에서 상술하는 악성 코드 진단 방법은 도 1 및 도 2에서 설명한 악성 코드 진단 서버에 의해 수행될 수 있다.The malicious code diagnosis method described below can be performed by the malicious code diagnostic server described with reference to FIG. 1 and FIG.
상기 악성 코드 진단 서버는 클라이언트 단말로부터 특정 파일의 진단(스캔) 요청을 수신할 수 있다(S310). 이때 진단 요청되는 파일은 악성 코드로 의심되는 파일 또는 감염이 의심되는 파일일 수 있다.The malicious code diagnosis server may receive a diagnostic (scan) request for a specific file from the client terminal (S310). At this time, the file requested for diagnosis may be a file suspected of malicious code or a file suspected of being infected.
상기 요청을 수신한 상기 악성 코드 진단 서버는 해당 파일에 대한 입출력(IO) 명령을 발생시킬 수 있다(S320). 이때 상기 파일 입출력 명령은 상기 특정 파일에 대한 읽기(read), 쓰기(write), 찾기(seek), 열기(open), 닫기(close), 속성(attribute) 변경, 이름 변경(rename), 삭제(delete) 명령 중 적어도 하나 이상을 포함할 수 있다. 또한 상기 파일 입출력 명령은 상기 특정 파일의 소정 위치 또는 일 부분을 읽도록 하는 명령일 수 있다.Upon receipt of the request, the malicious code diagnosis server may generate an input / output (I / O) command for the file in operation S320. At this time, the file input / output command is a command to read, write, seek, open, close, attribute change, rename, delete (delete) delete < / RTI > commands. The file input / output command may be a command to read a predetermined position or a part of the specific file.
상기 악성 코드 진단 서버는 상기 특정 파일에 대한 입출력(IO) 명령을 클라이언트 단말로 송신할 수 있다(S330). 상기 명령을 수신한 클라이언트 단말은 상기 특정 파일에 대한 입출력을 수행하고, 상기 특정 파일의 입출력 결과를 상기 악성 코드 진단 서버로 전송한다. The malicious code diagnosis server may transmit an input / output (IO) command to the client terminal (S330). Upon receiving the command, the client terminal performs input / output of the specific file and transmits the input / output result of the specific file to the malicious code diagnosis server.
상기 특정 파일의 입출력 결과를 수신한(S340) 상기 악성 코드 진단 서버는 상기 특정 파일의 입출력 결과 분석 및 감염 진단을 수행할 수 있다(S350). 더 나아가 상기 악성 코드 진단 서버는 악성 코드에 감염된 파일을 치료할 수 있으며, 일 예로 정상 파일에서 감염된 파일의 해당 부분을 읽고, 악성 코드 시작위치로 파일 포인터를 이동시킨 후, 원본 파일을 감염된 파일에 덮어 쓰고, 파일 크기를 조정하는 과정을 수행할 수 있다Upon receiving the input / output result of the specific file (S340), the malicious code diagnostic server may perform input / output result analysis and infection diagnosis of the specific file (S350). Furthermore, the malicious code diagnosis server can treat a file infected with a malicious code. For example, the malicious code diagnosis server reads a corresponding portion of an infected file from a normal file, moves the file pointer to a malicious code start position, Write, and resize the file.
S350 단계 이후, 해당 파일의 다른 부분 또는 다른 파일에 대하여 추가적인 진단이 필요한 것으로 판단되면(S360), 상기 악성 코드 진단 서버는 S320 내지 S350 단계를 반복하여 수행할 수 있다.After the step S350, if it is determined that additional diagnosis is required for another part of the file or another file (S360), the malicious code diagnosis server can repeat steps S320 to S350.
이와 같이, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다.Thus, those skilled in the art will appreciate that the present invention may be embodied in other specific forms without departing from the spirit or essential characteristics thereof. It is therefore to be understood that the embodiments described above are to be considered in all respects only as illustrative and not restrictive.
예컨대, 본 발명에 따른 악성 코드 진단 서버(100)나 클라이언트 단말(200)은 메모리에 본 명세서의 실시예를 저장할 수 있는데, 일 구현예의 경우 메모리는 컴퓨터로 판독 가능한 매체이다. 일 구현예에서 메모리는 휘발성 메모리 유닛일 수 있으며, 다른 구현예의 경우 메모리는 비휘발성 메모리 유닛일 수 있다. 또한, 메모리는 예컨대 하드디스크 장치, 광학디스크 장치, 혹은 어떤 다른 대용량 저장 장치를 포함할 수도 있다.For example, the malicious code
악성 코드 진단 서버(100)나 클라이언트 단말은 또한 예컨대 이더넷 카드와 같은 하나 이상의 네트워크 인터페이스 장치, 예컨대 RS-232 포트와 같은 직렬 통신 장치 및/또는 예컨대 802.11 카드와 같은 무선 인터페이스 장치를 외부 입출력 장치로서 포함할 수 있다. 다른 구현예에서, 이러한 입출력 장치는 다른 입출력 장치로 출력 데이터를 전송하고 입력 데이터를 수신하도록 구성된 드라이버 장치, 예컨대 키보드, 프린터 및 디스플레이 장치 등을 포함할 수 있다.The malicious
악성 코드 진단 서버(100)는 실행 시 하나 이상의 처리 장치로 하여금 전술한 기능과 프로세스를 수행하도록 하는 명령에 의하여 실현될 수 있다. 예를 들어 그러한 명령으로는, 예컨대 JavaScript나 ECMAScript 명령 등의 스크립트 명령과 같은 해석되는 명령이나 실행 가능한 코드 혹은 컴퓨터로 판독 가능한 매체에 저장되는 기타의 명령이 포함될 수 있다.The malicious
본 발명에 따른 악성 코드 진단 서버(100)는 서버 팜(Server Farm)과 같이 네트워크에 걸쳐서 분산형으로 구현될 수 있으며, 혹은 단일의 컴퓨터 장치로 구현될 수 있다.The malicious
본 명세서에서 설명하는 기능적인 동작과 주제의 구현물들은 디지털 전자 회로로 구현되거나, 본 명세서에서 개시하는 구조 및 그 구조적인 등가물들을 포함하는 컴퓨터 소프트웨어, 펌웨어 혹은 하드웨어로 구현되거나, 이들 중 하나 이상의 결합으로 구현 가능하다. 본 명세서에서 설명하는 주제의 구현물들은 하나 이상의 컴퓨터 프로그램 제품, 다시 말해 처리 시스템의 동작을 제어하기 위하여 혹은 이것에 의한 실행을 위하여 유형의 프로그램 저장매체 상에 인코딩된 컴퓨터 프로그램 명령에 관한 하나 이상의 모듈로서 구현될 수 있다.Implementations of the functional operations and the subject matter described herein may be implemented in digital electronic circuitry, or may be implemented in computer software, firmware, or hardware, including the structures disclosed herein, and structural equivalents thereof, It can be implemented. Implementations of the subject matter described herein may be implemented as one or more computer program products, i. E. One or more modules relating to computer program instructions encoded on a type of program storage medium for execution by, or control of, the operation of the processing system Can be implemented.
컴퓨터로 판독 가능한 매체는 기계로 판독 가능한 저장 장치, 기계로 판독 가능한 저장 기판, 메모리 장치, 기계로 판독 가능한 전파형 신호에 영향을 미치는 물질의 조성물 혹은 이들 중 하나 이상의 조합일 수 있다.The computer-readable medium can be a machine-readable storage device, a machine-readable storage substrate, a memory device, a composition of matter that affects the machine readable propagation type signal, or a combination of one or more of the foregoing.
이와 같이, 본 명세서는 그 제시된 구체적인 용어에 본 발명을 제한하려는 의도가 아니다. 따라서, 상술한 예를 참조하여 본 발명을 상세하게 설명하였지만, 당업자라면 본 발명의 범위를 벗어나지 않으면서도 본 예들에 대한 개조, 변경 및 변형을 가할 수 있다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.As such, the present specification is not intended to limit the invention to the specific terminology presented. Thus, while the present invention has been described in detail with reference to the above examples, those skilled in the art will be able to make adaptations, modifications, and variations on these examples without departing from the scope of the present invention. The scope of the present invention is defined by the appended claims rather than the detailed description and all changes or modifications derived from the meaning and scope of the claims and their equivalents are to be construed as being included within the scope of the present invention do.
100 : 악성 코드 진단 서버
110 : 스캐너
120 : 가상 입출력부
121 : 캐시
122 : 네트워크 입출력부100: malicious code diagnosis server
110: Scanner
120: virtual input / output unit
121: Cache
122: Network I /
Claims (11)
상기 스캐너에 의해 발생된 상기 특정 파일에 대한 입출력(IO) 명령을 상기 클라이언트 단말로 송신하고, 상기 클라이언트 단말로부터 수신한 상기 특정 파일의 입출력 결과를 상기 스캐너로 전달하는 가상 입출력부;
를 포함하는 것을 특징으로 하는 악성 코드 진단 서버.
Output (I / O) command for the specific file upon receipt of a request for diagnosis of a specific file from the client terminal, and analyzes the input / output result of the specific file performed by the client terminal that has received the file input / output command for the specific file A scanner for diagnosing the specific file; And
A virtual input / output unit for transmitting an input / output (IO) command for the specific file generated by the scanner to the client terminal and for transmitting an input / output result of the specific file received from the client terminal to the scanner;
And a malicious code diagnosis server for detecting malicious code.
상기 파일 입출력 명령은
상기 특정 파일에 대한 읽기(read), 쓰기(write), 찾기(seek), 열기(open), 닫기(close), 속성(attribute) 변경, 이름 변경(rename), 삭제(delete) 명령 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 악성 코드 진단 서버.
The method according to claim 1,
The file input /
At least one of read, write, seek, open, close, attribute change, rename, and delete commands for the specific file The malicious code diagnosis server comprising:
상기 파일 입출력 명령은
상기 특정 파일의 소정 위치를 읽도록 하는 명령인 것을 특징으로 하는 악성 코드 진단 서버.
The method according to claim 1,
The file input /
Wherein the malicious code is a command to read a predetermined position of the specific file.
상기 수행된 특정 파일의 입출력 결과를 저장하고, 상기 특정 파일의 입출력 결과가 재요청되는 경우, 상기 스캐너로 상기 저장된 특정 파일의 입출력 결과를 전달하는 캐시(cache); 및
상기 캐시에 저장되지 않은 파일에 대한 입출력 명령이 수신되는 경우, 상기 입출력 명령을 상기 클라이언트 단말로 전송하고, 상기 파일 입출력 명령에 대응되는 파일 입출력 결과를 상기 캐시로 전달하여 상기 캐시가 갱신되도록 하는 네트워크 입출력부를 포함하는 것을 특징으로 하는 악성 코드 진단 서버.
2. The apparatus of claim 1, wherein the virtual input /
A cache for storing an input / output result of the specific file, and transmitting an input / output result of the stored specific file to the scanner when an input / output result of the specific file is requested again; And
Output request corresponding to the file input / output command to the cache when the input / output command for the file not stored in the cache is received, and transmits the input / output command to the client terminal, And an input / output unit.
상기 악성 코드 진단 서버로 특정 파일의 진단을 요청하고, 상기 특정 파일에 대한 입출력(IO) 명령을 상기 악성 코드 진단 서버로부터 수신하여 상기 특정 파일에 대한 입출력을 수행하고, 상기 특정 파일의 입출력 결과를 상기 악성 코드 진단 서버로 전송하는 클라이언트 단말을 포함하는 것을 특징으로 하는 악성 코드 진단 시스템.
Output (I / O) command for the specific file, an I / O command for the specific file to the client terminal upon receipt of a request for diagnosis of a specific file from the client terminal, A malicious code diagnosis server for analyzing input / output results of the specific file received from the client terminal and diagnosing the specific file; And
Outputting a result of the input / output of the specific file by requesting diagnosis of the specific file by the malicious code diagnosis server, receiving an input / output (IO) command for the specific file from the malicious code diagnosis server, And transmitting the malicious code to the malicious code diagnosis server.
악성 코드 진단 서버가 클라이언트 단말로부터 특정 파일의 진단을 요청받으면 상기 특정 파일에 대한 입출력(IO) 명령을 발생시키는 단계;
상기 발생된 상기 특정 파일에 대한 입출력(IO) 명령을 상기 클라이언트 단말로 송신하는 단계;
상기 특정 파일에 대한 파일 입출력 명령을 수신한 상기 클라이언트 단말에 의해 수행된 상기 특정 파일의 입출력 결과를 수신하는 단계;
상기 수신한 상기 특정 파일의 입출력 결과를 분석하여 상기 특정 파일을 진단하는 단계;
를 포함하는 것을 특징으로 하는 방법.
A malicious code diagnosis server diagnosing a file of a client terminal,
Generating an input / output (I / O) command for the specific file when the malicious code diagnosis server is requested to diagnose a specific file from the client terminal;
Outputting an I / O command to the client terminal;
Receiving an input / output result of the specific file performed by the client terminal that has received the file input / output command for the specific file;
Analyzing input / output results of the received specific file to diagnose the specific file;
≪ / RTI >
상기 파일 입출력 명령은
상기 특정 파일에 대한 읽기(read), 쓰기(write), 찾기(seek), 열기(open), 닫기(close), 속성(attribute) 변경, 이름 변경(rename), 삭제(delete) 명령 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 방법.
The method according to claim 6,
The file input /
At least one of read, write, seek, open, close, attribute change, rename, and delete commands for the specific file RTI ID = 0.0 > 1, < / RTI >
상기 파일 입출력 명령은
상기 특정 파일의 소정 위치를 읽도록 하는 명령인 것을 특징으로 하는 방법.
The method according to claim 6,
The file input /
And reading the predetermined position of the specific file.
수행된 상기 특정 파일의 입출력 결과를 저장하는 단계;
상기 특정 파일의 입출력 결과가 다시 요청되는 경우, 상기 저장된 결과를 재사용하는 단계를 더 포함하는 것을 특징으로 하는 방법.
The method according to claim 6,
Storing an input / output result of the specific file;
Further comprising reusing the stored result when an input / output result of the specific file is requested again.
악성 코드 진단 서버가 클라이언트 단말로부터 특정 파일의 진단을 요청받고 상기 특정 파일에 대한 입출력(IO) 명령을 발생시키는 단계;
상기 악성 코드 진단 서버가 상기 특정 파일에 대한 입출력(IO) 명령을 상기 클라이언트 단말로 송신하는 단계;
상기 클라이언트 단말이 상기 특정 파일에 대한 입출력을 수행하고, 상기 특정 파일의 입출력 결과를 상기 악성 코드 진단 서버로 전송하는 단계;
상기 악성 코드 진단 서버가 상기 특정 파일의 입출력 결과를 분석하여 상기 특정 파일을 진단하는 단계를 포함하는 것을 특징으로 하는 방법.
A method of operating a malicious code diagnostic system,
A malicious code diagnosis server requesting diagnosis of a specific file from a client terminal and generating an input / output (IO) command for the specific file;
Transmitting an input / output (IO) command to the malicious code diagnosis server to the client terminal;
Outputting the input / output result of the specific file to the malicious code diagnosis server;
And diagnosing the specific file by analyzing input / output results of the specific file by the malicious code diagnostic server.
10. A computer-readable medium having instructions for performing the steps of the method according to any one of claims 6 to 9.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130105078A KR101436496B1 (en) | 2013-09-02 | 2013-09-02 | System for remote diagnosis of malware |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130105078A KR101436496B1 (en) | 2013-09-02 | 2013-09-02 | System for remote diagnosis of malware |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101436496B1 true KR101436496B1 (en) | 2014-10-14 |
Family
ID=51995879
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130105078A KR101436496B1 (en) | 2013-09-02 | 2013-09-02 | System for remote diagnosis of malware |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101436496B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180130631A (en) * | 2017-05-29 | 2018-12-10 | 서일대학교산학협력단 | Vulnerability checking system based on cloud service |
KR20230039988A (en) * | 2021-09-15 | 2023-03-22 | 네이버클라우드 주식회사 | Method, computer system, and computer program to provide data analysis environment with controlled tempering |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101043299B1 (en) | 2009-07-21 | 2011-06-22 | (주) 세인트 시큐리티 | Method, system and computer readable recording medium for detecting exploit code |
KR20110084295A (en) * | 2008-11-11 | 2011-07-21 | 인터내셔널 비지네스 머신즈 코포레이션 | Data providing device, system, server device, program, and method |
KR20110119918A (en) * | 2010-04-28 | 2011-11-03 | 한국전자통신연구원 | Apparatus, system and method for detecting malicious code injected with fraud into normal process |
KR20120072120A (en) * | 2010-12-23 | 2012-07-03 | 한국전자통신연구원 | Method and apparatus for diagnosis of malicious file, method and apparatus for monitoring malicious file |
-
2013
- 2013-09-02 KR KR1020130105078A patent/KR101436496B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110084295A (en) * | 2008-11-11 | 2011-07-21 | 인터내셔널 비지네스 머신즈 코포레이션 | Data providing device, system, server device, program, and method |
KR101043299B1 (en) | 2009-07-21 | 2011-06-22 | (주) 세인트 시큐리티 | Method, system and computer readable recording medium for detecting exploit code |
KR20110119918A (en) * | 2010-04-28 | 2011-11-03 | 한국전자통신연구원 | Apparatus, system and method for detecting malicious code injected with fraud into normal process |
KR20120072120A (en) * | 2010-12-23 | 2012-07-03 | 한국전자통신연구원 | Method and apparatus for diagnosis of malicious file, method and apparatus for monitoring malicious file |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180130631A (en) * | 2017-05-29 | 2018-12-10 | 서일대학교산학협력단 | Vulnerability checking system based on cloud service |
KR101994664B1 (en) * | 2017-05-29 | 2019-07-02 | 서일대학교산학협력단 | Vulnerability checking system based on cloud service |
KR20230039988A (en) * | 2021-09-15 | 2023-03-22 | 네이버클라우드 주식회사 | Method, computer system, and computer program to provide data analysis environment with controlled tempering |
KR102633150B1 (en) * | 2021-09-15 | 2024-02-02 | 네이버클라우드 주식회사 | Method, computer system, and computer program to provide data analysis environment with controlled tempering |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11062029B2 (en) | File sanitization technologies | |
US8931102B2 (en) | Testing web applications for file upload vulnerabilities | |
US9507933B2 (en) | Program execution apparatus and program analysis apparatus | |
US11005877B2 (en) | Persistent cross-site scripting vulnerability detection | |
KR101228902B1 (en) | Cloud Computing-Based System for Supporting Analysis of Malicious Code | |
KR101436496B1 (en) | System for remote diagnosis of malware | |
KR101825956B1 (en) | Computing device and system for file distribution using the same | |
US10893090B2 (en) | Monitoring a process on an IoT device | |
KR102472523B1 (en) | Method and apparatus for determining document action based on reversing engine | |
US10902125B2 (en) | Infected file detection and quarantine system | |
JP6018344B2 (en) | Dynamic reading code analysis apparatus, dynamic reading code analysis method, and dynamic reading code analysis program | |
US11599637B1 (en) | Systems and methods for blocking malicious script execution | |
JPWO2015178002A1 (en) | Information processing apparatus, information processing system, and communication history analysis method | |
KR102494837B1 (en) | Methods and apparatus for for detecting and decoding obfuscated javascript | |
KR102560431B1 (en) | Methods and apparatus for examining malicious behavior of child process | |
KR102549124B1 (en) | Methods and apparatus for for detecting and decoding obfuscated vbscript | |
KR102488942B1 (en) | Methods and apparatus for processing a compressed file with password-based encryption attached to the e-mail | |
KR102494827B1 (en) | Methods and apparatus for detecting malicious macros in non-executable files using ocr | |
EP3997837A1 (en) | Method and system for security management on a mobile storage device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20180827 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20190826 Year of fee payment: 6 |