| 摘要 |
<p>본 발명은 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법에 관한 것으로서, 컴퓨터의 로딩 시점에서 프로세스가 생성되는 경우 또는 프로세스가 삭제되는 경부 호출하는 PsSetCreateProcessNotifyRoutine 함수 내부의 커널드라이버에 존재하는 함수를 콜백(Callback)함수로 등록하여, 프로세스의 생성 및 종료에 따른 프로세스 이벤트를 리턴(return)받는 프로세스 모니터 드라이버; 내부에 존재하는 함수를 드라이버 로딩 시점에서 레지스트리 접근 및 감시를 위해 호출하는 CmRegisterCallback 함수 내부에 콜백함수로 등록하여, 레지스트리 이벤트를 리턴받는 레지스트리 모니터 드라이버; 윈도우 시스템에서 존재하는 Filter Manager에 커널드라이버 자체를 mini filter 드라이버로 등록하여 파일관련 입출력 이벤트를 리턴받는 파일 모니터 드라이버; 및 프로세스 이벤트, 레지스트리 이벤트 및 입출력 이벤트를 커널 드라이버와 응용 프로그램이 동시에 접근할 수 있는 공유 메모리를 통해 인가받아 기 설정된 모니터링 대상 프로세스의 데이터만을 선별하여 기 정의된 공유 메모리 영역에 저장하는 행위 이벤트 컬렉터;를 포함한다.</p> |
