特許

J-GLOBAL ID：201103073130946047

正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法

発明者： 金 堯 植 ,  盧 相 均 ,  鄭 閏 貞 ,  金 東 洙 ,  金 源 浩 ,  韓 侑 定 ,  尹 永 泰 ,  孫 基 郁 ,  李 哲 源
出願人/特許権者： 韓國電子通信研究院
代理人 (2件)： 三好 秀和 ,  伊藤 正和
公報種別：公開公報
出願番号（国際出願番号）：特願2010-177251
公開番号（公開出願番号）：特開2011-233126
出願日： 2010年08月06日
公開日（公表日）： 2011年11月17日
要約：

【課題】正常プロセスに仮装された悪性コードを検出する。【解決手段】悪性コード検出システム200は、コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別して前記識別されたコードの悪性可否を推定して前記悪性と推定されたコードを抽出する悪性コード検出モジュール211と、前記抽出されたコードを仮想環境で実行し、行為を分析した結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する悪性コード強制終了モジュール212と、を含み、コンピュータシステム上で実行中のプロセスから生成されたスレッドが悪性コードによって生成されたスレッドであるか否かを1次的に判断し、悪性と疑われれば、仮想環境での悪性コード行為を追加的に分析する。【選択図】図2

請求項（抜粋）：

コンピュータシステム上で実行中のプロセスから生成されたスレッド情報を抽出して前記スレッドと関連されたコードを識別し、前記識別されたコードの悪性可否を推定して前記悪性と推定されたコードを抽出する悪性コード検出モジュールと、 前記抽出されたコードを仮想環境で実行し、行為を分析した結果に基づいて前記コードを悪性コードとして最終判断し、前記コードの実行を強制終了する悪性コード強制終了モジュールと、を含むことを特徴とする悪性コード検出装置。

IPC (1件)：

G06F 21/22

FI (1件)：

G06F9/06 660N

Fターム (1件)：

5B276FD08

引用特許：

審査官引用 (7件)

• メモリを感染させるウイルスの治療方法、ウイルス治療プログラムを記録したコンピュータ判読可能の記録媒体及びウイルスの治療装置
  公報種別：公表公報   出願番号：特願2004-570578   出願人：ハウリインコーポレーテッド
• 既知や未知のコンピュータウィルスの検索・駆除方法
  公報種別：公開公報   出願番号：特願2001-345236   出願人：ベイジンライジングテクノロジーコーポレーションリミテッド
• 悪性コードによって挿入されたダイナミックリンクライブラリ検出装置及び方法
  公報種別：公開公報   出願番号：特願2008-294358   出願人：韓國電子通信研究院
• 特開平3-233629
  
• コンピュータウィルス検出システム
  公報種別：公開公報   出願番号：特願2008-215337   出願人：日立ソフトウエアエンジニアリング株式会社
• マルウェアの誤検出を低減する方法及び装置
  公報種別：公開公報   出願番号：特願2009-220611   出願人：シマンテックコーポレイション
• 情報記録装置
  公報種別：公開公報   出願番号：特願2004-246664   出願人：松下電器産業株式会社

引用文献：

審査官引用 (4件)

• デバッガによるx86プログラム解析入門, 20070715, 第1版, 第55-56頁
• Windows デバッグの極意, 20090430, 第1版, 第157-159頁
• ウイルス解析を目的としたメモリ上の不正コード検出システムの構築
• セキュリティ無効化攻撃を利用したマルウェアの検知と活動抑止手法の提案