WO2012020948A2

WO2012020948A2 - 접근차단 게임 핵 프로세스 검출 및 실행차단방법

Info

Publication number: WO2012020948A2
Application number: PCT/KR2011/005720
Authority: WO
Inventors: 김찬호; 노재훈; 김인환; 이재혁; 김명수; 윤상진
Original assignee: (주)잉카인터넷
Priority date: 2010-08-10
Filing date: 2011-08-04
Publication date: 2012-02-16
Also published as: WO2012020948A3; KR20120014674A; KR101249764B1

Abstract

이 발명은 게이머 클라이언트시스템에서 실행되고 있으며 자체 접근이 차단된 게임 핵 프로세스를 검출하고 실행차단하는 방법에 관한 것이다. 이 발명에 따른 접근차단 게임 핵 프로세스 검출방법은, 보안프로세스가 접근허용 실행 프로세스 리스트를 저장하는 제1단계와, 상기 보안프로세스가 중앙처리장치(CPU)를 할당받는 프로세스(CPU 할당 프로세스) 정보를 추출하는 제2단계와, 상기 CPU 할당 프로세스가 상기 접근허용 실행 프로세스 리스트에 포함되지 않으면 상기 보안프로세스가 상기 CPU 할당 프로세스를 접근차단 게임 핵으로 판단하는 제3단계를 포함한다.

Description

접근차단 게임 핵 프로세스 검출 및 실행차단방법

이 발명은 게임 핵 프로세스 검출방법에 관한 것으로서, 보다 상세하게는 게이머 클라이언트시스템에서 실행되고 있으며 자체 접근이 차단된 게임 핵 프로세스를 검출하고 실행차단하는 방법에 관한 것이다.

초고속인터넷이 널리 보급되면서 온라인 게임인구가 급속도로 증가하고 수많은 온라인 게임들이 개발되었지만 아직까지 게임 보안에 대한 인식과 개념은 매우 미약하다. 컴퓨터에서의 불법 프로그램을 핵 또는 해킹프로그램이라고 하며, 게임에서의 핵 또는 해킹프로그램을 게임 핵이라고 하는데, 이 게임 핵은 특정 게임프로세스의 파일이나 메모리 등을 조작하는 프로그램을 가리킨다.

게임 핵은 게임의 메모리를 조작하여 능력치나 체력 등과 같은 특정 데이터를 바꾸어 주거나, 격투기 게임의 경우 타격 속도나 타격 횟수를 증가시키거나, 매크로 기능을 부여함으로써, 게이머가 게임을 손쉽게 이길 수 있도록 해준다. 이 때문에 게이머들은 온라인 게임시 게임 핵을 설치하고 싶어한다. 그러나, 온라인 게임에서의 게임 핵 사용은 사용자들간의 밸런스 붕괴, 게임서버로의 가중한 부하 등과 같은 문제를 일으킬 수 있다. 즉, 온라인 게임에서 일부 사용자들이 비정상적인 방법으로 이득을 보면서 게임(play)을 하게 되면, 다른 사용자들과의 균형이 무너지게 되고, 심각한 경우에는 온라인 게임 전체의 밸런스가 깨지며 게임서버에 과부하가 발생하게 된다.

따라서, 게임 공급자들은 게임과 함께 보안프로그램을 게이머들에게 설치하도록 하고 있는 바, 사용자가 게임프로그램을 실행시키면 게임프로세스가 실행되고 연이어 보안프로세스가 실행된다. 아울러, 게임이 실행되는 동안에 게이머가 보안프로세스를 중단시키면 게임프로세스도 함께 중단된다. 즉, 온라인 게임시 게임프로세스와 함께 보안프로세스가 실행되어, 그 실행된 보안프로세스가 게임 핵의 실행을 차단한다.

통상적으로 '프로그램' 또는 '파일'은 컴퓨터를 실행시키기 위해 차례대로 작성된 명령어 모음을 의미하며, '프로세스'라 함은 컴퓨터 내에서 실행중인 프로그램을 일컫는다. 즉, 게임프로그램은 게임프로세스로서 게이머 컴퓨터에서 실행되고, 보안프로그램은 보안프로세스로서 실행되며, 보안프로세스가 컴퓨터에서 실행되는 게임 핵을 검출하여 차단한다.

보안프로세스는 게임을 하는 도중에 실행되는 임의의 프로세스에 접근하고 그 특징을 분석하여 게임 핵인지 여부를 판단하며, 게임 핵으로 판단될 경우 해당 게임프로세스 또는 게임 핵 프로세스의 실행을 차단한다.

이와 같이 보안프로세스는 특정 프로세스에 접근하고 그 특징을 분석하여 해당 프로세스가 게임 핵인지 여부를 판단함으로써, 게이머가 게임을 하면서 게임 핵을 실행하지 못하도록 차단한다. 그러나, 최근 일부 게임 핵들은 커널 API 등을 조작하여 보안프로세스에게 보여지지 않도록 숨거나, 보안프로세스가 자신의 핸들 오브젝트(handle object)를 얻지 못하도록 하고 있는 바, 이를 접근 차단이라 한다. 보안프로세스는 접근 차단된 게임 핵에 접근할 수 없기 때문에, 그 특징을 분석하거나 그 실행을 차단시킬 수 없다.

즉, 통상적으로 게임 보안프로세스는 핸들 오브젝트를 이용하여 게임 핵을 검출하는데, 접근 차단된 게임 핵은 보안프로세스가 자신의 핸들 프로세스를 얻지 못하도록 하기 때문에 게임 보안프로세스는 해당 프로세스의 핸들 오브젝트를 통해서 동작을 감시하거나 차단하는 것이 불가능하다. 또한, 게임 핵이 프로세스 메모리 스캔을 전체적으로 또는 부분적으로 불가능하게 만들어 게임 프로세스를 불법 조작하더라도 보안프로세스는 이를 제어하거나 차단시킬 수 없다. 따라서, 이에 대한 대책이 요구되고 있다.

상술한 종래기술의 문제점을 해결하기 위하여 안출된 이 발명의 목적은, 접근차단된 게임 핵의 실행을 검출하여 차단하는 방법을 제공하기 위한 것이다.

상기한 목적을 달성하기 위한 이 발명에 따른 접근차단 게임 핵 프로세스 검출방법은, 보안프로세스가 접근허용 실행 프로세스 리스트를 저장하는 제1단계와, 상기 보안프로세스가 중앙처리장치(CPU)를 할당받는 프로세스(CPU 할당 프로세스) 정보를 추출하는 제2단계와, 상기 CPU 할당 프로세스가 상기 접근허용 실행 프로세스 리스트에 포함되지 않으면 상기 보안프로세스가 상기 CPU 할당 프로세스를 접근차단 게임 핵으로 판단하는 제3단계를 포함한 것을 특징으로 한다.

또한, 이 발명에 따른 접근차단 게임 핵 프로세스 실행차단방법은, 보안프로세스가 접근허용 실행 프로세스 리스트를 저장하는 제1단계와, 상기 보안프로세스가 중앙처리장치(CPU)를 할당받는 프로세스(CPU 할당 프로세스) 정보를 추출하는 제2단계와, 상기 CPU 할당 프로세스가 상기 접근허용 실행 프로세스 리스트에 포함되지 않으면 상기 보안프로세스가 상기 CPU 할당 프로세스를 접근차단 게임 핵으로 판단하는 제3단계와, 상기 보안프로세스가 상기 접근차단 게임 핵이 상기 CPU를 할당받지 못하도록 하는 제4단계를 포함한 것을 특징으로 한다.

이상과 같이 이 발명에 따르면 접근차단된 게임 핵의 실행 여부를 검출할 수 있기 때문에 온라인 게임에서 게이머들의 게임 핵 사용을 저지시킬 수 있는 잇점이 있다.

도 1은 윈도우즈 운영체제에서 CPU 할당 환경을 도시한 도면이다.

도 2는 이 발명의 한 실시예에 따른 보안프로세스의 접근차단 게임 핵 검출방법을 도시한 동작 흐름도이다.

[부호의 설명]

110 : 중앙처리장치(CPU) 120 : 메모리

121 : 윈도우즈 운영체제 122a, 122b, 122c, 122d : 프로세스

123 : 큐

이하, 첨부된 도면을 참조하며 이 발명의 한 실시예에 따른 접근차단 게임 핵 프로세스 검출 및 실행차단방법을 보다 상세하게 설명한다.

도 1은 윈도우즈 운영체제에서 컨텍스트 스위치 구현을 도시한 도면이다.

통상적으로 컴퓨터하드웨어는 중앙처리장치(CPU)(110)와 메모리(120)를 구비하고, 메모리(120)에는 윈도우즈 운영체제(Windows® operating system)(121)가 로딩된다. 윈도우즈 운영체제(121) 하에서 다수의 프로세스들(122a, 122b, 122c, 122d)은 동시에 실행되어 각각 동작할 수 있다. 모든 프로세스들(122a, 122b, 122c, 122d)은 동작하려면 중앙처리장치(CPU)(110)에서 연산이 이루어져야 하는데, 모든 프로세스들(122a, 122b, 122c, 122d)은 그 우선순위에 따라 스케줄링되어 순차적으로 CPU(110)를 점유한다. CPU(110)는 둘 이상의 프로세스들이 점유할 수 없으며, 오직 하나의 프로세스만이 점유할 수 있다.

CPU(110)를 점유한 프로세스는 I/O작업을 대기하거나, 커널로부터 인터럽트를 받거나, CPU 사용이 중단되거나, 최대 수행시간(퀀텀)을 전부 사용할 때까지 CPU를 동작시킨다.

CPU(110)를 사용하고자 하는 다수의 프로세스들은 우선순위에 해당하는 큐(123)에 그 작업내용을 대기하고, 윈도우즈 운영체제(121)의 스케줄러는 CPU의 사용이 가능해지면 가장 우선순위가 높은 큐(123)에서 대기하는 프로세스의 작업내용이 CPU(110)에게 전달되도록 한다. 이때, 윈도우즈 운영체제(121)는 CPU(110)로 하여금 기존의 프로세스의 작업을 종료하고 새로운 프로세스의 작업을 수행할 것을 요청하는데, 이를 컨텍스트 스위치(context switch)라고 한다.

윈도우즈 운영체제(121)에서 실행되는 모든 프로세스들, 즉 게임 프로세스(122a), 접근허용된 게임 핵 프로세스(122b), 접근차단된 게임 핵 프로세스(122c), 보안 프로세스(122d)는 모두 컴퓨터에서 동작하려면 모두 CPU 사용을 할당받아야 한다.

이 발명은 이러한 컴퓨터시스템의 동작을 기반으로 착안된 것으로서, 보안프로세스는 윈도우즈 운영체제(121)의 스케줄러가 컨텍스트 스위치하는 과정을 감시함으로써, 접근차단된 게임 핵 프로세스를 검출한다.

도 2는 이 발명의 한 실시예에 따른 보안프로세스의 접근차단 게임 핵 검출방법을 도시한 동작 흐름도이다. 보안프로세스가 이 발명에 따른 접근차단 게임 핵 검출방법을 실행하려면 CPU를 할당받아야 함은 당연하다. 통상적으로 한 프로세스에게 CPU 점유시간으로 주어지는 1퀀텀은 10밀리초이기 때문에 다수의 프로세스가 거의 동시에 동작하는 멀티프로세스가 가능하다.

보안프로세스는 윈도우즈 운영체제에서 실행되며 접근허용된 프로세스(이하, 접근허용 실행 프로세스라 함) 리스트를 저장한다(S21).

보안프로세스는 윈도우즈 운영체제가 중앙처리장치에게 출력하는 컨텍스트 스위치 신호를 후킹하고(S22), 컨텍스트 스위칭 신호를 분석하여 중앙처리장치(CPU)를 할당받은 프로세스(이하, CPU 할당 프로세스라 함) 정보를 추출하고 리스트에 저장한다(S23).

보안프로세스는 단계 S23에서 추출된 CPU 할당 프로세스가 접근허용 실행 프로세스 리스트에 포함되는지 검사하고(S24), 포함되어 있으면(S25) 단계 S22로 진행하여 다음번 컨텍스트 스위치 신호를 후킹한다. 단계 S25에서 포함되어 있지 않으면, CPU 할당 프로세스를 접근차단 게임 핵으로 판단한다(S26). 일반적으로 윈도우즈 운영체제에서 동작하는 정상적인 프로세스인 경우 대부분 그 접근이 허용된다. 그러나, 게임이 실행되는 동안에 동작하는 접근차단된 프로세스는 게임 핵 프로세스일 확률이 거의 100%이다. 접근차단된 게임 핵 프로세스는 게임을 조작하더라도 보안프로세스가 이를 분석할 수 없다. 따라서, 이 발명에 따른 보안프로세스는 CPU를 할당받으며 동작하는 접근차단된 프로세스를 게임 핵 프로세스로 판단한다.

다음, 보안프로세스는 단계 S26에서 판단된 접근차단 게임 핵이 CPU 할당차단 목록에 포함되는지 검사한다(S27). 접근차단 게임 핵이 최초로 검출되어 CPU 할당차단 목록에 포함되어 있지 않으면(S28), 접근차단 게임 핵이 CPU 할당을 받지 못하도록 조치하고, 접근차단 게임 핵을 CPU 접근차단 목록에 포함시킨다(S29). 접근차단 게임 핵이 CPU 할당을 받지 못하도록 하는 방법으로서, 윈도우즈 운영체제의 스케줄러를 조정하는 방법, 해당 접근차단 게임 핵의 작업내용을 큐로부터 제거하는 방법, 컨텍스트 스위치가 되지 못하도록 하는 방법 등이 있다.

접근차단 게임 핵이 CPU 할당차단 목록에 포함되면(S28), 이는 접근차단 게임 핵이 이미 검출되어 CPU 할당을 받지 못하도록 조치하였지만, 게임 핵 제작자가 커널 조작 등을 통해 해당 접근차단 게임 핵이 다시 CPU를 사용하다가 검출된 경우에 해당하는데, 이 경우에는 게임 프로세스를 강제 종료시킨다(S30).

이렇게 함으로써 게이머가 불법적인 접근차단 게임 핵을 이용하여 온라인 게임시 이득이 보지 못하도록 하여, 정상적인 게임 플레이어를 보호한다.

Claims

보안프로세스가 접근허용 실행 프로세스 리스트를 저장하는 제1단계와,

상기 보안프로세스가 중앙처리장치(CPU)를 할당받는 프로세스(CPU 할당 프로세스) 정보를 추출하는 제2단계와,

상기 CPU 할당 프로세스가 상기 접근허용 실행 프로세스 리스트에 포함되지 않으면 상기 보안프로세스가 상기 CPU 할당 프로세스를 접근차단 게임 핵으로 판단하는 제3단계를 포함한 것을 특징으로 하는 접근차단 게임 핵 검출방법.
제1항에 있어서, 제2단계는 상기 보안프로세스가 컨텍스트 스위치 신호를 후킹하여 상기 CPU 할당 프로세스 정보를 추출하는 것을 특징으로 하는 접근차단 게임 핵 검출방법.
보안프로세스가 접근허용 실행 프로세스 리스트를 저장하는 제1단계와,

상기 보안프로세스가 중앙처리장치(CPU)를 할당받는 프로세스(CPU 할당 프로세스) 정보를 추출하는 제2단계와,

상기 CPU 할당 프로세스가 상기 접근허용 실행 프로세스 리스트에 포함되지 않으면 상기 보안프로세스가 상기 CPU 할당 프로세스를 접근차단 게임 핵으로 판단하는 제3단계와,

상기 보안프로세스가 상기 접근차단 게임 핵이 상기 CPU를 할당받지 못하도록 하는 제4단계를 포함한 것을 특징으로 하는 접근차단 게임 핵 실행차단방법.
제3항에 있어서, 제2단계는 상기 보안프로세스가 컨텍스트 스위치 신호를 후킹하여 상기 CPU 할당 프로세스 정보를 추출하는 것을 특징으로 하는 접근차단 게임 핵 실행차단방법.
제 3 항에 있어서, 상기 제4단계는, 상기 보안프로세스가 윈도우즈 운영체제의 스케줄러를 조정하여 상기 접근차단 게임 핵이 상기 CPU를 할당받지 못하도록 하는 것을 특징으로 하는 접근차단 게임 핵 실행차단방법.
제 3 항에 있어서, 상기 제4단계는, 상기 보안프로세스가 큐에 대기중인 상기 접근차단 게임 핵의 작업내용을 제거하는 것을 특징으로 하는 접근차단 게임 핵 실행차단방법.
제 3 항에 있어서, 상기 제4단계는, 상기 보안프로세스가 상기 컨텍스트 스위치가 상기 접근차단 게임 핵을 건너뛰도록 조정하는 것을 특징으로 하는 접근차단 게임 핵 실행차단방법.
제 3 항에 있어서, 상기 제4단계는, 상기 보안프로세스가 게임을 종료시키는 것을 특징으로 하는 접근차단 게임 핵 실행차단방법.